Återställa borttagna användarkonton i Microsoft 365, Azure och Intune

Ursprungligt KB-nummer: 2619308

Symptom

Ett användarkonto som har tagits bort av misstag från Microsoft 365, Microsoft Azure eller Microsoft Intune måste återställas.

Åtgärd

Innan du börjar

När användare tas bort från Microsoft Entra ID flyttas de till ett "borttaget" tillstånd och visas inte längre i användarlistan. De tas dock inte bort helt och de kan återställas inom 30 dagar.

Använd Microsoft 365 och Azure Active Directory-modulen för PowerShell på följande sätt för att avgöra om en användare är berättigad att återställas från statusen "borttagen":

1. I Microsoft 365-portalen letar du upp användarkonton som har tagits bort via portalen. Gör så här:
   1. Logga in på Microsoft 365-portalen (https://portal.office.com) med administrativa autentiseringsuppgifter.
   2. Välj Användare och sedan Borttagna användare.
   3. Leta upp den användare som du vill återställa.
2. Följ dessa steg i Azure Active Directory-modulen för Windows PowerShell:
   1. Välj Starta>alla program>Windows Azure Active Directory>Windows Azure Active Directory-modulen för Windows PowerShell.
   2. Skriv följande kommandon i den ordning de visas och tryck på Retur efter varje kommando:

      • $cred = get-credential

        Obs!

        När du uppmanas att göra det anger du dina autentiseringsuppgifter för Microsoft 365.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Lösning 1: Återställa manuellt borttagna konton med hjälp av Microsoft 365-portalen eller Azure Active Directory-modulen

Om du vill återställa ett användarkonto som har tagits bort manuellt använder du någon av följande metoder:

• Använd Microsoft 365-portalen för att återställa användarkontot. Mer information om hur du gör detta finns i Återställa en användare.

• Använd Azure Active Directory-modulen för Windows PowerShell för att återställa användarkontot. Det gör du genom att skriva följande kommando och sedan trycka på Retur:

  Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

  Om det här kommandot inte fungerar kan du prova följande kommando:

  Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

  Obs!

  I dessa kommandon används följande konventioner:

  • Parametrarna UserPrincipalName och ObjectID identifierar unikt det användarobjekt som ska återställas.
  • Parametern AutoReconcileProxyConflicts är valfri och används i scenarier där ett annat användarobjekt beviljas målanvändarobjektets proxyadress efter att den adressen har tagits bort.
  • Parametern NewUserPrincipalName används om du vill i scenarier där ett annat användarobjekt beviljas med hjälp av målanvändarobjektets användarhuvudnamn (UPN) efter att UPN har tagits bort.

Lösning 2: Återställa borttagna konton eftersom omfångsändringar exkluderar lokal Active Directory användarobjekt

Om du vill återställa borttagna användarkonton kontrollerar du att katalogsynkroniseringsfiltrering (omfång) har angetts på ett sådant sätt att omfånget inkluderar de objekt som du vill återställa.

Mer information finns i Microsoft Entra Connect Sync: Konfigurera filtrering.

Lösning 3: Återställa konton som tagits bort eftersom det lokala användarobjektet togs bort från lokal Active Directory-schemat

Om du vill återställa ett objekt som har tagits bort från lokal Active Directory-schemat kan du prova följande metoder:

• Försök att återställa det borttagna objektet från Papperskorgen i Active Directory. Det gör du genom att gå till Steg-för-steg-guide för Papperskorgen i Active Directory.

  Obs!

  • Papperskorgen i Active Directory är endast tillgänglig genom att ha funktionsnivån för Windows 2008 R2 eller senare versioner.
  • För att Papperskorgen i Active Directory ska vara användbar när du återställer ett objekt måste det aktiveras innan objektet tas bort.

• Om Papperskorgen i Active Directory inte är tillgänglig eller om objektet i fråga inte längre finns i papperskorgen kan du försöka återställa det borttagna objektet med hjälp av adrestore-verktyget. Gör så här:

  1. Installera AdRestore-verktyget .

  2. Använd AdRestore tillsammans med ett sökfilter för att hitta det borttagna lokala användarobjektet. I följande exempel används en "UserA"-sträng för att söka efter användarnamn som matchar.

     1. Använd AdRestore för att räkna upp alla användarobjekt som har en "UserA"-sträng i namnet:

        C:\>adrestore.exe UserA
        AdRestore v1.1 by Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        Enumerating domain deleted objects:
        cn: MailboxA
        DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
        distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
        lastKnownParent: OU=OnPremises,DC=Domain,DC=com
        
        Found 1 item matching search criteria.
        

     2. Använd AdRestore tillsammans med växeln -r för att återställa användarobjektet.

        C:\>adrestore.exe Usera -r
        AdRestore v1.1 by Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        Enumerating domain deleted objects:
        cn: UserA
        DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
        distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
        lastKnownParent: OU=OnPremises,DC=Domain,DC=com
        
        Do you want to restore this object (y/n)? y
        Restore succeeded.
        
        Found 1 item matching search criteria.
        

• Aktivera användarobjektet i Active Directory. När objektet återställs inaktiveras det först. Därför måste du aktivera det. Vi rekommenderar att du först återställer användarlösenordet. Följ dessa steg för att aktivera användaren:

  1. I Active Directory - användare och datorer högerklickar du på användaren och väljer sedan Återställ lösenord.

  2. I rutorna Nytt lösenord och Bekräfta lösenord anger du ett nytt lösenord och väljer sedan OK.

  3. Högerklicka på användaren, välj Aktivera konto och välj sedan OK.

     

     Du får följande felmeddelande (förväntat):

     Det går inte att aktivera objektet <MailboxName> eftersom: Det går inte att uppdatera lösenordet. Värdet för det nya lösenordet uppfyller inte kraven på längd, komplexitet eller historik för domänen.

     När du har fått det här felmeddelandet återställer du användarens lösenord i Active Directory - användare och datorer.

• Konfigurera användarens inloggningsnamn

  Användarens inloggningsnamn (även kallat användarens huvudnamn eller UPN) anges inte från det återställde användarobjektet. Du måste uppdatera användarens inloggningsnamn, särskilt om användaren är ett federerat konto.

  Så här konfigurerar du användarens inloggningsnamn:

  1. Högerklicka på användaren i Active Directory - användare och datorer och välj sedan Egenskaper.
  2. Välj Konto, ange ett namn i rutan Användarinloggningsnamn och välj sedan OK.

  Om du inte kan återställa det borttagna användarkontot via Papperskorgen i Active Directory eller genom att använda AdRestore-verktyget kör du en auktoritativ återställning av de borttagna användarobjekten i Active Directory.

Varningar och varningar

• Kontrollera att endast de användarobjekt som du vill återställa är markerade som auktoritativa. Active Directory-objekt som har markerats som auktoritativa i återställningsprocessen kan orsaka många problem med Active Directory-tjänsten.

  Mer information om hur du kör en auktoritativ återställning av Active Directory-objekt finns i Utföra en auktoritativ återställning av Active Directory-objekt.

• När du har återställt objektet med någon lösning 3-metod kanske objektet inte har alla tjänstattribut (till exempel Exchange Online och Skype för företag Online) automatiskt återställt.

  För en användare som tidigare var e-postaktiverad i Exchange Online kan du till exempel använda Windows PowerShell cmdletar för att fylla i Exchange Online attributen igen.

  I följande exempel fylls User1-objektet i igen med hjälp av Exchange Online attribut för contoso.onmicrosoft.com klientorganisation:

  Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

• Om följande villkor är uppfyllda fungerar inte lösning 3:

  • Det är inte tillgängligt att återställa objektet med hjälp av Papperskorgen i Active Directory.
  • Det är inte tillgängligt att återställa objektet med hjälp av adrestore-verktyget.
  • Active Directory-auktoritativ återställning är inte ett tillgängligt alternativ.

I det här fallet kontaktar du Microsoft 365-supporten för att få hjälp.

Mer information

Efter användarborttagning och innan användaren återställs kan följande händelser inträffa och kan medföra konflikter som kan förändra användarupplevelsen:

• En ny användare har ett unikt användar-ID-värde som tidigare tilldelades den borttagna användaren.
• En ny användare har ett unikt e-postadressvärde som tidigare tilldelades den borttagna användaren.

Om dessa konflikter uppstår måste attribut i konflikt uppdateras för att ta bort konflikten innan användaråterställningen kan slutföras. Om en konflikt uppstår under användaråterställning returnerar Windows PowerShell något av följande felmeddelanden:

Fel 1

Restore-MsolUser: Det angivna användarkontot kan inte återställas på grund av följande fel: Feltyp UserPrincipalName

Fel 2

Restore-MsolUser: Det angivna användarkontot kan inte återställas på grund av följande fel: Proxyaddress för feltyp

Om du vill återställa användare som är i det här tillståndet kan du korrigera konflikten med hjälp av följande parametrar när du kör cmdleten Restore-MSOLUser :

• AutoReconcileProxyConflicts
• NewUserPrincipalName

Microsoft 365-portalen visar motsvarande felmeddelanden i form av Windows PowerShell "feltillstånd" som nämndes tidigare. Du får till exempel följande meddelande:

Användarnamnskonflikt Den användare som du vill återställa har samma användarnamn.

Om du vill återställa användare som är i det här tillståndet fyller du i den information som begärs i formuläret.

Behöver du fortfarande hjälp? Gå till Microsoft Community eller webbplatsen för Microsoft Entra Forum.