Microsoft 365、Azure、Intuneで削除されたユーザー アカウントを復元する方法

  • [アーティクル]
  • 適用対象:
    Microsoft 365, Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365 User and Domain Management

元の KB 番号: 2619308

現象

Microsoft 365、Microsoft Azure、またはMicrosoft Intuneから誤って削除されたユーザー アカウントを復元する必要があります。

解決方法

始める前に

ユーザーがMicrosoft Entra IDから削除されると、ユーザーは "削除済み" 状態に移動され、ユーザー一覧に表示されなくなります。 ただし、完全には削除されず、30 日以内に回復できます。

次のように、Microsoft 365 と PowerShell 用の Azure Active Directory モジュールを使用して、ユーザーが "削除済み" 状態から回復する資格があるかどうかを判断します。

  1. Microsoft 365 ポータルで、ポータルから削除されたユーザー アカウントを検索します。 これを行うには、次の手順を実行します。
    1. 管理資格情報を使用して Microsoft 365 ポータル (https://portal.office.com) にサインインします。
    2. [ ユーザー] を選択し、[ 削除されたユーザー] を選択します。
    3. 回復するユーザーを見つけます。
  2. Windows PowerShell用の Azure Active Directory モジュールで、次の手順に従います。
    1. [すべてのプログラムの>開始]>[Windows Azure Active Directory] [Windows Azure Active Directory> モジュール] の順に選択してWindows PowerShell。
    2. 表示される順序で次のコマンドを入力し、各コマンドの後で Enter キーを押します。

      • $cred = get-credential

        注:

        メッセージが表示されたら、Microsoft 365 資格情報を入力します。

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

注:

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となりました。 詳細については、 非推奨の更新プログラムに関するページを参照してください。 この日付以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) と対話するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、移行に関する FAQ を参照してください。 メモ: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

解決策 1: Microsoft 365 ポータルまたは Azure Active Directory モジュールを使用して手動で削除されたアカウントを回復する

手動で削除されたユーザー アカウントを回復するには、次のいずれかの方法を使用します。

  • Microsoft 365 ポータルを使用して、ユーザー アカウントを回復します。 これを行う方法の詳細については、「 ユーザーを復元する」を参照してください

  • ユーザー アカウントを回復するには、Windows PowerShellに Azure Active Directory モジュールを使用します。 これを行うには、次のコマンドを入力し、Enter キーを押します。

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    このコマンドが機能しない場合は、次のコマンドを試してください。

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    注:

    これらのコマンドでは、次の規則が使用されます。

    • パラメーターと ObjectID パラメーターはUserPrincipalName、復元するユーザー オブジェクトを一意に識別します。
    • パラメーターは AutoReconcileProxyConflicts 省略可能であり、そのアドレスが削除された後に別のユーザー オブジェクトにターゲット ユーザー オブジェクトのプロキシ アドレスが付与されるシナリオで使用されます。
    • パラメーターは NewUserPrincipalName 、必要に応じて、その UPN が削除された後にターゲット ユーザー オブジェクトのユーザー プリンシパル名 (UPN) を使用して別のユーザー オブジェクトが付与されるシナリオで使用されます。

解決策 2: スコープの変更によってオンプレミスの Active Directory ユーザー オブジェクトが除外されるため、削除されたアカウントを回復する

削除されたユーザー アカウントを回復するには、回復するオブジェクトがスコープに含まれるようにディレクトリ同期フィルター処理 (スコープ) が設定されていることを確認します。

詳細については、「Connect Sync: Configure filtering」Microsoft Entra参照してください。

解決策 3: オンプレミスのユーザー オブジェクトが オンプレミスの Active Directory スキーマから削除されたために削除されたアカウントを回復する

オンプレミスの Active Directory スキーマから削除された項目を回復するには、次の方法を試してください。

  • Active Directory のごみ箱から削除されたアイテムを復元してみてください。 これを行うには、「 Active Directory ごみ箱のステップ バイ ステップ ガイド」を参照してください。

    注:

    • Active Directory のごみ箱は、Windows 2008 R2 以降のバージョンの機能レベルを持つことによってのみ使用できます。
    • Active Directory のごみ箱をアイテムの回復に役立てるには、アイテムを削除する前に有効にする必要があります。

  • Active Directory のごみ箱が使用できない場合、または該当するオブジェクトがごみ箱に存在しなくなった場合は、AdRestore ツールを使用して削除済みアイテムを回復してみてください。 これを行うには、次の手順を実行します。

    1. AdRestore ツールをインストールします。

    2. AdRestore を検索フィルターと共に使用して、削除されたオンプレミス ユーザー オブジェクトを見つけます。 次の例では、"UserA" 文字列を使用して、一致するユーザー名を検索します。

      1. AdRestore を使用して、名前に "UserA" 文字列を含むすべてのユーザー オブジェクトを列挙します。

        C:\>adrestore.exe UserA
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: MailboxA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Found 1 item matching search criteria.

      2. AdRestore と -r スイッチを組み合わせて使用して、ユーザー オブジェクトを復元します。

        C:\>adrestore.exe Usera -r
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: UserA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Do you want to restore this object (y/n)? y
Restore succeeded.

Found 1 item matching search criteria.

  • Active Directory でユーザー オブジェクトを有効にします。 オブジェクトが復元されると、最初は無効になります。 そのため、有効にする必要があります。 最初にユーザー パスワードをリセットすることをお勧めします。 ユーザーを有効にするには、次の手順に従います。

    1. Active Directory ユーザーとコンピューターで、ユーザーを右クリックし、[パスワードのリセット] を選択します。

    2. [ 新しいパスワード ] ボックスと [ パスワードの確認 ] ボックスに新しいパスワードを入力し、[ OK] を選択します

    3. ユーザーを右クリックし、[ アカウントの有効化] を選択し、[ OK] を選択します

      Active Directory でアカウントを有効にする方法に関するスクリーンショット。

      次のエラー メッセージが表示されます (予期されます)。

      Windows では、オブジェクト <MailboxName を> 有効にできません。パスワードを更新できません。 新しいパスワードに指定された値が、ドメインの長さ、複雑さ、または履歴の要件を満たしていません。

      このエラー メッセージが表示されたら、Active Directory ユーザーとコンピューターでユーザーのパスワードをリセットします。

  • ユーザー ログオン名を構成する

    ユーザー ログオン名 (ユーザー プリンシパル名または UPN とも呼ばれます) は、復元されたユーザー オブジェクトから設定されません。 ユーザーがフェデレーション アカウントの場合は特に、ユーザー ログオン名を更新する必要があります。

    ユーザー ログオン名を構成するには、次の手順に従います。

    1. Active Directory ユーザーとコンピューターで、ユーザーを右クリックし、[プロパティ] を選択します
    2. [ アカウント] を選択し、[ユーザー ログオン名] ボックスに名前を入力し、[ OK] を選択します

    最後に、Active Directory のごみ箱または AdRestore ツールを使用して削除されたユーザー アカウントを回復できない場合は、Active Directory で削除されたユーザー オブジェクトの権限のある復元を実行します。

警告と注意

  • 復元するユーザー オブジェクトのみが権限のあるものとしてマークされていることを確認します。 復元プロセスで権限があるとマークされている Active Directory オブジェクトは、多くの Active Directory サービスの問題を引き起こす可能性があります。

    Active Directory オブジェクトの権限のある復元を実行する方法の詳細については、「Active Directory オブジェクト の権限のある復元の実行」を参照してください。

  • Resolution 3 メソッドを使用してオブジェクトを復元した後、オブジェクトにすべてのサービス属性 (Exchange Online や Skype for Business Online など) が自動的に復元されるとは限りません。

    たとえば、Exchange Onlineで以前メールが有効になっていたユーザーの場合、Windows PowerShell コマンドレットを使用して、Exchange Online属性を再入力できます。

    次の例では、user1 オブジェクトは、contoso.onmicrosoft.com テナントのExchange Online属性を使用して再入力されます。

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • 次の条件に該当する場合、解決策 3 は機能しません。

    • Active Directory のごみ箱を使用してオブジェクトを復元することはできません。
    • AdRestore ツールを使用してオブジェクトを復元することはできません。
    • Active Directory の権限のある復元は、使用できないオプションです。

このような場合は、Microsoft 365 サポートにお問い合わせください。

詳細

ユーザーの削除後とユーザーの回復前に、次のイベントが発生し、ユーザー エクスペリエンスを変更する可能性のある競合が発生する可能性があります。

  • 新しいユーザーには、以前は削除されたユーザーに割り当てられていた一意のユーザー ID 値があります。
  • 新しいユーザーには、以前は削除されたユーザーに割り当てられていた一意のメール アドレス値があります。

これらの競合が発生した場合は、競合する属性を更新して、ユーザーの回復を完了する前に競合を削除する必要があります。 ユーザーの回復中に競合が発生した場合、Windows PowerShellは次のいずれかのエラー メッセージを返します。

エラー 1

Restore-MsolUser: 指定したユーザー アカウントを復元できません。エラーの種類 UserPrincipalName

エラー 2

Restore-MsolUser: 指定したユーザー アカウントを復元できません。エラーの種類 proxyAddress

この状態のユーザーを復元するには、 Restore-MSOLUser コマンドレットを実行するときに次のパラメーターを使用して競合を修正できます。

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

注:

パラメーターを AutoReconcileProxyConflicts 使用すると、競合するすべてのメール アドレスが削除されたユーザーから削除され、回復プロセスを続行できます。

Microsoft 365 ポータルには、前述したWindows PowerShellの "エラー状態" の形式で同等のエラー メッセージが表示されます。 たとえば、次のメッセージが表示されます。

ユーザー名の競合 復元するユーザーのユーザー名は同じです。

ユーザー名が競合していることを示すスクリーンショット。

この状態のユーザーを復元するには、フォームで要求された情報を入力します。

さらにヘルプが必要ですか? Microsoft コミュニティまたはMicrosoft Entra フォーラム Web サイトに移動します。