Come ripristinare gli account utente eliminati in Microsoft 365, Azure e Intune

  • Articolo
  • Si applica a:
    Microsoft 365, Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365 User and Domain Management

Numero KB originale: 2619308

Sintomi

È necessario ripristinare un account utente eliminato accidentalmente da Microsoft 365, Microsoft Azure o Microsoft Intune.

Risoluzione

Prima di iniziare

Quando gli utenti vengono eliminati da Microsoft Entra ID, vengono spostati in uno stato "eliminato" e non vengono più visualizzati nell'elenco utenti. Tuttavia, non vengono completamente rimossi e possono essere recuperati entro 30 giorni.

Usare Microsoft 365 e il modulo Azure Active Directory per PowerShell come indicato di seguito per determinare se un utente è idoneo per il ripristino dallo stato "eliminato":

  1. Nel portale di Microsoft 365 cercare gli account utente eliminati tramite il portale. A tal fine, attenersi alla seguente procedura:
    1. Accedere al portale di Microsoft 365 (https://portal.office.com) usando le credenziali amministrative.
    2. Selezionare Utenti e quindi Utenti eliminati.
    3. Individuare l'utente da ripristinare.
  2. Nel modulo Azure Active Directory per Windows PowerShell seguire questa procedura:
    1. Selezionare Avvia>tutti i programmi>Modulo Windows Azure Active Directory>Windows Azure Active Directory per Windows PowerShell.
    2. Digitare i comandi seguenti nell'ordine in cui vengono presentati e premere INVIO dopo ogni comando:

      • $cred = get-credential

        Nota

        Quando viene richiesto, immettere le credenziali di Microsoft 365.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Nota

I moduli di PowerShell di Azure AD e MSOnline sono deprecati a partire dal 30 marzo 2024. Per altre informazioni, vedere l'aggiornamento della deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni per la sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande frequenti sulla migrazione, vedere Domande frequenti sulla migrazione. Nota: Le versioni 1.0.x di MSOnline potrebbero verificarsi interruzioni dopo il 30 giugno 2024.

Risoluzione 1: Ripristinare gli account eliminati manualmente usando il portale di Microsoft 365 o il modulo Azure Active Directory

Per ripristinare un account utente eliminato manualmente, usare uno dei metodi seguenti:

  • Usare il portale di Microsoft 365 per ripristinare l'account utente. Per altre informazioni su come eseguire questa operazione, ripristinare un utente.

  • Usare il modulo Azure Active Directory per Windows PowerShell per ripristinare l'account utente. A tale scopo, digitare il comando seguente e quindi premere INVIO:

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Se questo comando non funziona, provare il comando seguente:

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Nota

    In questi comandi vengono usate le convenzioni seguenti:

    • I UserPrincipalName parametri e ObjectID identificano in modo univoco l'oggetto utente da ripristinare.
    • Il AutoReconcileProxyConflicts parametro è facoltativo e viene usato negli scenari in cui a un altro oggetto utente viene concesso l'indirizzo proxy dell'oggetto utente di destinazione dopo l'eliminazione di tale indirizzo.
    • Il NewUserPrincipalName parametro viene facoltativamente usato negli scenari in cui viene concesso un altro oggetto utente usando il nome dell'entità utente (UPN) dell'oggetto utente di destinazione dopo l'eliminazione dell'UPN.

Risoluzione 2: Ripristinare gli account eliminati perché le modifiche di ambito escludono l'oggetto utente Active Directory locale

Per ripristinare gli account utente eliminati, assicurarsi che il filtro di sincronizzazione della directory (ambito) sia impostato in modo che l'ambito includa gli oggetti da ripristinare.

Per altre informazioni, vedere Microsoft Entra Connect Sync: Configure filtering (Connetti sincronizzazione: configurare il filtro).

Risoluzione 3: Ripristinare gli account eliminati perché l'oggetto utente locale è stato eliminato dallo schema Active Directory locale

Per ripristinare un elemento eliminato dallo schema Active Directory locale, provare i metodi seguenti:

  • Provare a ripristinare l'elemento eliminato dal Cestino di Active Directory. A tale scopo, vedere Guida dettagliata al Cestino di Active Directory.

    Nota

    • Il Cestino di Active Directory è disponibile solo con il livello funzionale di Windows 2008 R2 o versioni successive.
    • Affinché il Cestino di Active Directory sia utile per il ripristino di un elemento, deve essere abilitato prima dell'eliminazione dell'elemento.

  • Se il Cestino di Active Directory non è disponibile o se l'oggetto in questione non è più nel Cestino, provare a ripristinare l'elemento eliminato usando lo strumento AdRestore. A tal fine, attenersi alla seguente procedura:

    1. Installare lo strumento AdRestore .

    2. Usare AdRestore insieme a un filtro di ricerca per individuare l'oggetto utente locale eliminato. Negli esempi seguenti viene usata una stringa "UserA" per cercare i nomi utente corrispondenti.

      1. Usare AdRestore per enumerare tutti gli oggetti utente con una stringa "UserA" nel nome:

        C:\>adrestore.exe UserA
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: MailboxA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Found 1 item matching search criteria.

      2. Usare AdRestore insieme all'opzione -r per ripristinare l'oggetto utente.

        C:\>adrestore.exe Usera -r
AdRestore v1.1 by Mark Russinovich
Sysinternals - www.sysinternals.com

Enumerating domain deleted objects:
cn: UserA
DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
lastKnownParent: OU=OnPremises,DC=Domain,DC=com

Do you want to restore this object (y/n)? y
Restore succeeded.

Found 1 item matching search criteria.

  • Abilitare l'oggetto utente in Active Directory. Quando l'oggetto viene ripristinato, viene disabilitato all'inizio. Pertanto, è necessario abilitarlo. È consigliabile reimpostare prima la password utente. Per abilitare l'utente, seguire questa procedura:

    1. In Utenti e computer di Active Directory fare clic con il pulsante destro del mouse sull'utente e quindi scegliere Reimposta password.

    2. Nelle caselle Nuova password e Conferma password immettere una nuova password e quindi selezionare OK.

    3. Fare clic con il pulsante destro del mouse sull'utente, selezionare Abilita account e quindi scegliere OK.

      Screenshot su come abilitare l'account in Active Directory.

      Viene visualizzato il messaggio di errore seguente (previsto):

      Impossibile abilitare l'oggetto <MailboxName> perché: Impossibile aggiornare la password. Il valore fornito per la nuova password non soddisfa i requisiti di lunghezza, complessità o cronologia del dominio.

      Dopo aver ricevuto questo messaggio di errore, reimpostare la password dell'utente in Utenti e computer di Active Directory.

  • Configurare il nome di accesso utente

    Il nome di accesso utente (noto anche come nome dell'entità utente o UPN) non è impostato dall'oggetto utente ripristinato. È necessario aggiornare il nome di accesso utente, soprattutto se l'utente è un account federato.

    Per configurare il nome di accesso utente, seguire questa procedura:

    1. In Utenti e computer di Active Directory fare clic con il pulsante destro del mouse sull'utente e quindi scegliere Proprietà.
    2. Selezionare Account, immettere un nome nella casella Nome accesso utente e quindi selezionare OK.

    Infine, se non è possibile ripristinare l'account utente eliminato tramite il Cestino di Active Directory o lo strumento AdRestore, eseguire un ripristino autorevole degli oggetti utente eliminati in Active Directory.

Avvisi e avvertenze

  • Assicurarsi che solo gli oggetti utente da ripristinare siano contrassegnati come autorevoli. Gli oggetti di Active Directory contrassegnati come autorevoli nel processo di ripristino possono causare molti problemi del servizio Active Directory.

    Per altre informazioni su come eseguire un ripristino autorevole di oggetti Active Directory, vedere Esecuzione di un ripristino autorevole di oggetti Active Directory.

  • Dopo aver ripristinato l'oggetto usando un metodo Resolution 3, è possibile che l'oggetto non abbia tutti gli attributi del servizio (ad esempio Exchange Online e Skype for Business Online) ripristinati automaticamente.

    Ad esempio, per un utente precedentemente abilitato alla posta elettronica in Exchange Online, è possibile usare Windows PowerShell cmdlet per ripopolare gli attributi Exchange Online.

    Nell'esempio seguente l'oggetto User1 viene ripopolato usando Exchange Online attributi per il tenant contoso.onmicrosoft.com:

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • Se le condizioni seguenti sono vere, la risoluzione 3 non funzionerà:

    • Il ripristino dell'oggetto tramite il Cestino di Active Directory non è un'opzione disponibile.
    • Il ripristino dell'oggetto tramite lo strumento AdRestore non è un'opzione disponibile.
    • Il ripristino autorevole di Active Directory non è un'opzione disponibile.

In questo caso, contattare il supporto tecnico di Microsoft 365 per assistenza.

Ulteriori informazioni

Dopo l'eliminazione dell'utente e prima del ripristino dell'utente, possono verificarsi gli eventi seguenti e possono presentare conflitti che possono modificare l'esperienza utente:

  • Un nuovo utente ha un valore id utente univoco precedentemente assegnato all'utente eliminato.
  • Un nuovo utente ha un valore di indirizzo di posta elettronica univoco precedentemente assegnato all'utente eliminato.

Se si verificano questi conflitti, è necessario aggiornare gli attributi in conflitto per rimuovere il conflitto prima che sia possibile completare il ripristino dell'utente. Se si verifica un conflitto durante il ripristino dell'utente, Windows PowerShell restituisce uno dei messaggi di errore seguenti:

Errore 1

Restore-MsolUser : impossibile ripristinare l'account utente specificato a causa dell'errore seguente: Error Type UserPrincipalName

Errore 2

Restore-MsolUser : impossibile ripristinare l'account utente specificato a causa dell'errore seguente: Error Type proxyAddress

Per ripristinare gli utenti che si trovano in questo stato, è possibile correggere il conflitto usando i parametri seguenti quando si esegue il cmdlet Restore-MSOLUser :

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

Nota

Quando si usa il AutoReconcileProxyConflicts parametro , tutti gli indirizzi di posta elettronica in conflitto vengono rimossi dall'utente eliminato in modo da poter continuare il processo di ripristino.

Il portale di Microsoft 365 mostra i messaggi di errore equivalenti sotto forma di Windows PowerShell "stati di errore" menzionati in precedenza. Ad esempio, si riceve il messaggio seguente:

Conflitto di nomi utente L'utente da ripristinare ha lo stesso nome utente.

Screenshot che mostra che il nome utente è in conflitto.

Per ripristinare gli utenti che si trovano in questo stato, completare le informazioni richieste nel modulo.

Ulteriore assistenza Accedere alla community Microsoft o al sito Web dei forum di Microsoft Entra.