Como restaurar contas de utilizador eliminadas no Microsoft 365, Azure e Intune

  • Artigo
  • Aplica-se a:
    Microsoft 365, Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365 User and Domain Management

Número original da BDC: 2619308

Sintomas

Uma conta de utilizador eliminada acidentalmente do Microsoft 365, microsoft Azure ou Microsoft Intune tem de ser restaurada.

Resolução

Antes de começar

Quando os utilizadores são eliminados do Microsoft Entra ID, são movidos para um estado "eliminado" e já não aparecem na lista de utilizadores. No entanto, não são completamente removidos e podem ser recuperados no prazo de 30 dias.

Utilize o Microsoft 365 e o módulo do Azure Active Directory para o PowerShell da seguinte forma para determinar se um utilizador é elegível para ser recuperado do estado "eliminado":

  1. No portal do Microsoft 365 , procure as contas de utilizador que foram eliminadas através do portal. Para tal, siga estes passos:
    1. Inicie sessão no portal do Microsoft 365 (https://portal.office.com) com as credenciais administrativas.
    2. Selecione Utilizadores e, em seguida, selecione Utilizadores Eliminados.
    3. Localize o utilizador que pretende recuperar.
  2. No módulo do Azure Active Directory para Windows PowerShell, siga estes passos:
    1. Selecione Iniciar>Todos os Programas> Módulo windowsAzure Active Directory> doWindows Azure Active Directory para Windows PowerShell.
    2. Escreva os seguintes comandos pela ordem em que são apresentados e prima Enter após cada comando:

      • $cred = get-credential

        Nota

        Quando lhe for pedido, introduza as suas credenciais do Microsoft 365.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Nota

Azure AD e os módulos do PowerShell do MSOnline são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após esta data, o suporte para estes módulos está limitado à assistência de migração para o SDK do PowerShell do Microsoft Graph e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos que migre para o Microsoft Graph PowerShell para interagir com Microsoft Entra ID (anteriormente Azure AD). Para perguntas de migração comuns, veja as FAQ sobre Migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Resolução 1: Recuperar contas eliminadas manualmente com o portal do Microsoft 365 ou o módulo do Azure Active Directory

Para recuperar uma conta de utilizador que foi eliminada manualmente, utilize um dos seguintes métodos:

  • Utilize o portal do Microsoft 365 para recuperar a conta de utilizador. Para obter mais informações sobre como fazê-lo, restaure um utilizador.

  • Utilize o módulo do Azure Active Directory para Windows PowerShell para recuperar a conta de utilizador. Para tal, escreva o seguinte comando e, em seguida, prima Enter:

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Se este comando não funcionar, experimente o seguinte comando:

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Nota

    Nestes comandos, são utilizadas as seguintes convenções:

    • Os UserPrincipalName parâmetros e ObjectID identificam exclusivamente o objeto de utilizador a restaurar.
    • O AutoReconcileProxyConflicts parâmetro é opcional e é utilizado em cenários em que outro objeto de utilizador recebe o endereço proxy do objeto de utilizador de destino depois de esse endereço ser eliminado.
    • Opcionalmente NewUserPrincipalName , o parâmetro é utilizado em cenários em que outro objeto de utilizador é concedido através da utilização do nome principal de utilizador (UPN) do objeto de utilizador de destino após a eliminação desse UPN.

Resolução 2: Recuperar contas eliminadas porque as alterações de âmbito excluem o objeto de utilizador Active Directory no local

Para recuperar contas de utilizador eliminadas, certifique-se de que a filtragem de sincronização de diretórios (âmbito) está definida de forma a que o âmbito inclua os objetos que pretende recuperar.

Para obter mais informações, veja Microsoft Entra Connect Sync: Configurar a filtragem.

Resolução 3: Recuperar contas eliminadas porque o objeto de utilizador no local foi eliminado do esquema de Active Directory no local

Para recuperar um item que foi eliminado do esquema Active Directory no local, experimente os seguintes métodos:

  • Tente restaurar o item eliminado a partir da reciclagem do Active Directory. Para tal, veja Guia Passo a Passo da Reciclagem do Active Directory.

    Nota

    • A reciclagem do Active Directory só está disponível ao ter o nível funcional do Windows 2008 R2 ou versões posteriores.
    • Para que a reciclagem do Active Directory seja útil na recuperação de um item, tem de ser ativada antes de o item ser eliminado.

  • Se a reciclagem do Active Directory não estiver disponível ou se o objeto em questão já não estiver na reciclagem, tente recuperar o item eliminado com a ferramenta AdRestore. Para tal, siga estes passos:

    1. Instale a ferramenta AdRestore .

    2. Utilize o AdRestore juntamente com um filtro de pesquisa para localizar o objeto de utilizador eliminado no local. Os exemplos seguintes utilizam uma cadeia "UserA" para procurar nomes de utilizador que correspondam.

      1. Utilize a AdRestore para enumerar todos os objetos de utilizador que tenham uma cadeia "UserA" no respetivo nome:

        C:\>adrestore.exe UserA
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: MailboxA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Found 1 item matching search criteria.

      2. Utilize o AdRestore juntamente com o comutador -r para restaurar o objeto de utilizador.

        C:\>adrestore.exe Usera -r
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: UserA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Do you want to restore this object (y/n)? y
Restore succeeded.

Found 1 item matching search criteria.

  • Ative o objeto de utilizador no Active Directory. Quando o objeto é restaurado, é desativado no início. Por conseguinte, tem de ativá-la. Recomendamos que reponha primeiro a palavra-passe de utilizador. Para ativar o utilizador, siga estes passos:

    1. No Utilizadores e Computadores do Active Directory, clique com o botão direito do rato no utilizador e, em seguida, selecione Repor Palavra-passe.

    2. Nas caixas Nova palavra-passe e Confirmar palavra-passe , introduza uma nova palavra-passe e, em seguida, selecione OK.

    3. Clique com o botão direito do rato no utilizador, selecione Ativar Conta e, em seguida, selecione OK.

      Captura de ecrã a mostrar como ativar a conta no Active Directory.

      Recebe a seguinte mensagem de erro (esperada):

      O Windows não consegue ativar o objeto <MailboxName> porque: Não é possível atualizar a palavra-passe. O valor fornecido para a nova palavra-passe não cumpre os requisitos de comprimento, complexidade ou histórico do domínio.

      Depois de receber esta mensagem de erro, reponha a palavra-passe do utilizador no Utilizadores e Computadores do Active Directory.

  • Configurar o nome de início de sessão do utilizador

    O nome de início de sessão do utilizador (também conhecido como nome principal de utilizador ou UPN) não está definido a partir do objeto de utilizador restaurado. Tem de atualizar o nome de início de sessão do utilizador, especialmente se o utilizador for uma conta federada.

    Para configurar o nome de início de sessão do utilizador, siga estes passos:

    1. Em Utilizadores e Computadores do Active Directory, clique com o botão direito do rato no utilizador e, em seguida, selecione Propriedades.
    2. Selecione Conta, introduza um nome na caixa Nome de início de sessão do utilizador e, em seguida, selecione OK.

    Por fim, se não conseguir recuperar a conta de utilizador eliminada através da reciclagem do Active Directory ou através da ferramenta AdRestore, execute um restauro autoritativo dos objetos de utilizador eliminados no Active Directory.

Avisos e precauções

  • Certifique-se de que apenas os objetos de utilizador que pretende restaurar estão marcados como autoritativos. Os objetos do Active Directory que estão marcados como autoritativos no processo de restauro podem causar muitos problemas de serviço do Active Directory.

    Para obter mais informações sobre como executar um restauro autoritativo de objetos do Active Directory, veja Executar um Restauro Autoritativo de Objetos do Active Directory.

  • Depois de restaurar o objeto com qualquer método de Resolução 3, o objeto poderá não ter todos os atributos de serviço (como Exchange Online e Skype para Empresas Online) restaurados automaticamente.

    Por exemplo, para um utilizador anteriormente com capacidade de correio no Exchange Online, pode utilizar Windows PowerShell cmdlets para repovoar os atributos Exchange Online.

    No exemplo seguinte, o objeto User1 é repovoado com Exchange Online atributos para o inquilino contoso.onmicrosoft.com:

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • Se as seguintes condições forem verdadeiras, a Resolução 3 não funcionará:

    • Restaurar o objeto com a reciclagem do Active Directory não é uma opção disponível.
    • Restaurar o objeto com a ferramenta AdRestore não é uma opção disponível.
    • O restauro autoritativo do Active Directory não é uma opção disponível.

Nesta situação, contacte o Suporte do Microsoft 365 para obter ajuda.

Mais informações

Após a eliminação do utilizador e antes da recuperação do utilizador, podem ocorrer os seguintes eventos e podem apresentar conflitos que podem alterar a experiência do utilizador:

  • Um novo utilizador tem um valor de ID de utilizador exclusivo que foi anteriormente atribuído ao utilizador eliminado.
  • Um novo utilizador tem um valor de endereço de e-mail exclusivo que foi anteriormente atribuído ao utilizador eliminado.

Se estes conflitos ocorrerem, os atributos em conflito têm de ser atualizados para remover o conflito antes de a recuperação do utilizador poder ser concluída. Se ocorrer um conflito durante a recuperação do utilizador, Windows PowerShell devolve uma das seguintes mensagens de erro:

Erro 1

Restore-MsolUser: Não é possível restaurar a conta de utilizador especificada devido ao seguinte erro: Tipo de Erro UserPrincipalName

Erro 2

Restore-MsolUser: Não é possível restaurar a conta de utilizador especificada devido ao seguinte erro: ProxyAddress do Tipo de Erro

Para restaurar os utilizadores que estão neste estado, pode corrigir o conflito com os seguintes parâmetros ao executar o cmdlet Restore-MSOLUser :

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

Nota

Quando utiliza o parâmetro , todos os AutoReconcileProxyConflicts endereços de e-mail em conflito são removidos do utilizador eliminado para que possa continuar o processo de recuperação.

O portal do Microsoft 365 mostra as mensagens de erro equivalentes sob a forma do Windows PowerShell "estados de erro" mencionados anteriormente. Por exemplo, recebe a seguinte mensagem:

Conflito de nome de utilizador O utilizador que pretende restaurar tem o mesmo nome de utilizador.

Captura de ecrã a mostrar que o nome de utilizador está em conflito.

Para restaurar os utilizadores que estão neste estado, preencha as informações pedidas no formulário.

Ainda necessita de ajuda? Aceda ao site Microsoft Community ou Microsoft Entra Forums.