如何在 Microsoft 365、Azure 和 Intune 中還原已刪除的用戶帳戶
原始 KB 編號: 2619308
徵狀
必須還原從 Microsoft 365、Microsoft Azure 或 Microsoft Intune 意外刪除的用戶帳戶。
解決方案
開始之前
從 Microsoft Entra ID 刪除使用者時,使用者會移至「已刪除」狀態,且不再出現在使用者清單中。 不過,它們不會完全移除,而且可以在 30 天內復原。
使用 Microsoft 365 和適用於 PowerShell 的 Azure Active Directory 模組,如下所示,判斷使用者是否有資格從「已刪除」狀態復原:
- 在 Microsoft 365 入口網站中,查閱透過入口網站刪除的用戶帳戶。 如果要執行這項操作,請依照下列步驟執行:
- 使用系統管理認證登入 Microsoft 365 入口網站 (https://portal.office.com) 。
- 選 取 [使用者],然後選取 [ 已刪除的使用者]。
- 找出您想要復原的使用者。
- 在適用於 Windows PowerShell 的 Azure Active Directory 模組中,遵循下列步驟:
- 選 取 [啟動>所有程式>] Windows Azure Active Directory>適用於 Windows PowerShell 的 Windows Azure Active Directory 模組。
- 以顯示命令的順序輸入下列命令,然後在每個命令之後按 Enter:
$cred = get-credential
注意事項
當系統提示您時,請輸入Microsoft 365 認證。
Connect-MSOLService -credential:$cred
Get-MsolUser -ReturnDeletedUsers
注意事項
自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被取代。 若要深入瞭解,請閱讀 淘汰更新。 在此日期之後,這些模組的支援僅限於移轉協助Microsoft Graph PowerShell SDK 和安全性修正。 已淘汰的模組會繼續運作到 2025 年 3 月 30 日。
建議您移轉至 Microsoft Graph PowerShell ,以與Microsoft Entra ID 互動, (先前稱為 Azure AD) 。 如需常見的移轉問題,請參閱 移轉常見問題。 注意: 1.0.x 版的 MSOnline 可能會在 2024 年 6 月 30 日之後中斷。
解決方案 1:使用 Microsoft 365 入口網站或 Azure Active Directory 模組來復原手動刪除的帳戶
若要復原手動刪除的用戶帳戶,請使用下列其中一種方法:
使用 Microsoft 365 入口網站來復原用戶帳戶。 如需如何執行這項操作的詳細資訊,請參閱 還原使用者。
使用適用於 Windows PowerShell 的 Azure Active Directory 模組來復原用戶帳戶。 若要這樣做,請輸入下列命令,然後按 Enter:
Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>
如果此指令無法運作,請嘗試下列命令:
Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>
注意事項
在這些命令中,會使用下列慣例:
- 和
UserPrincipalName
ObjectID
參數可唯一識別要還原的用戶物件。 - 參數
AutoReconcileProxyConflicts
是選擇性的,而且用於另一個用戶物件在刪除該地址之後被授與目標用戶物件 Proxy 位址的案例中。 - 在
NewUserPrincipalName
刪除該 UPN 之後,使用目標使用者物件的用戶主體名稱 (UPN) 授與另一個使用者對象的情況下,可以選擇性地使用 參數。
- 和
解決方案 2:復原已刪除的帳戶,因為範圍變更排除內部部署 Active Directory 用戶物件
若要復原已刪除的用戶帳戶,請確定已設定目錄同步處理篩選 (範圍) ,讓範圍包含您想要復原的物件。
如需詳細資訊,請參閱 Microsoft Entra Connect 同步處理:設定篩選。
解決方法 3:復原已刪除的帳戶,因為內部部署用戶物件已從內部部署 Active Directory 架構中刪除
若要復原已從內部部署 Active Directory 架構中刪除的專案,請嘗試下列方法:
嘗試從 Active Directory 回收站還原已刪除的專案。 若要這樣做,請參閱 Active Directory 回收站逐步指南。
注意事項
- Active Directory 回收站只能透過具有 Windows 2008 R2 或更新版本的功能等級來使用。
- 若要讓 Active Directory 回收站在復原專案時很有用,必須先啟用它,才能刪除專案。
如果 Active Directory 回收站無法使用,或有問題的物件不再位於回收站中,請嘗試使用 AdRestore 工具復原已刪除的專案。 如果要執行這項操作,請依照下列步驟執行:
安裝 AdRestore 工具。
使用 AdRestore 搭配搜尋篩選來尋找已刪除的內部部署用戶物件。 下列範例會使用 「UserA」 字串來搜尋相符的用戶名稱。
使用 AdRestore 列舉名稱中具有 「UserA」 字串的所有使用者物件:
C:\>adrestore.exe UserA AdRestore v1.1 by Mark Russinovich Sysinternals - www.sysinternals.com Enumerating domain deleted objects: cn: MailboxA DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com lastKnownParent: OU=OnPremises,DC=Domain,DC=com Found 1 item matching search criteria.
使用 AdRestore 搭配 -r 參數來還原用戶物件。
C:\>adrestore.exe Usera -r AdRestore v1.1 by Mark Russinovich Sysinternals - www.sysinternals.com Enumerating domain deleted objects: cn: UserA DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com lastKnownParent: OU=OnPremises,DC=Domain,DC=com Do you want to restore this object (y/n)? y Restore succeeded. Found 1 item matching search criteria.
在 Active Directory 中啟用用戶 物件。 還原物件時,一開始會停用。 因此,您必須加以啟用。 建議您先重設用戶密碼。 若要啟用使用者,請遵循下列步驟:
在 [Active Directory 使用者和計算機] 中,以滑鼠右鍵按兩下使用者,然後選取 [ 重設密碼]。
在 [ 新增密碼 ] 和 [ 確認密碼] 方塊中,輸入新的密碼,然後選取 [ 確定]。
以滑鼠右鍵按兩下使用者,選取 [ 啟用帳戶],然後選取 [ 確定]。
您會在預期 (收到下列錯誤訊息) :
Windows 無法啟用 MailboxName> 對象<,因為:無法更新密碼。 為新密碼提供的值不符合網域的長度、複雜度或歷程記錄需求。
收到此錯誤訊息之後,請在 Active Directory 使用者和計算機中重設用戶的密碼。
設定使用者登入名稱
使用者登入名稱 (也稱為用戶主體名稱,或未從還原的用戶物件設定 UPN) 。 您必須更新使用者登入名稱,特別是當使用者是同盟帳戶時。
若要設定使用者登入名稱,請遵循下列步驟:
- 在 [Active Directory 使用者和計算機] 中,以滑鼠右鍵按兩下使用者,然後選取 [ 屬性]。
- 選 取 [帳戶],在 [使用者登入名稱] 方塊中輸入名稱,然後選取 [ 確定]。
最後,如果您無法透過 Active Directory 回收站或使用 AdRestore 工具復原已刪除的用戶帳戶,請在 Active Directory 中執行已刪除使用者對象的授權還原。
警告和警告
請確定只有您想要還原的用戶物件會標示為授權。 在還原程式中標示為授權的 Active Directory 物件可能會導致許多 Active Directory 服務問題。
如需如何執行 Active Directory 對象授權還原的詳細資訊,請參閱 執行 Active Directory 對象的授權還原。
使用任何 Resolution 3 方法還原對象之後,物件可能沒有所有服務屬性 (,例如 Exchange Online 和商務用 Skype Online) 自動還原。
例如,對於先前在 Exchange Online 中啟用郵件功能的使用者,您可以使用 Windows PowerShell Cmdlet 來重新填入 Exchange Online 屬性。
在下列範例中,使用者 1 物件會使用 contoso.onmicrosoft.com 租使用者的 Exchange Online 屬性重新填 入 :
Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com
如果下列條件成立,解決方法 3 將無法運作:
- 使用 Active Directory 回收站還原物件不是可用的選項。
- 使用 AdRestore 工具還原物件不是可用的選項。
- Active Directory 授權還原不是可用的選項。
在此情況下,請連絡 Microsoft 365 支援服務以取得協助。
其他相關資訊
在使用者刪除之後和用戶復原之前,可能會發生下列事件,而且可能會發生衝突,進而改變用戶體驗:
- 新使用者具有先前指派給已刪除使用者的唯一使用者標識碼值。
- 新使用者具有先前指派給已刪除使用者的唯一電子郵件位址值。
如果發生這些衝突,則必須先更新衝突的屬性以移除衝突,用戶復原才能完成。 如果在用戶復原期間發生衝突,Windows PowerShell 會傳回下列其中一個錯誤訊息:
錯誤 1
Restore-MsolUser:無法還原指定的用戶帳戶,因為發生下列錯誤:錯誤類型 UserPrincipalName
錯誤 2
Restore-MsolUser:無法還原指定的用戶帳戶,因為發生下列錯誤:錯誤類型 proxyAddress
若要還原處於此狀態的使用者,您可以在執行 Restore-MSOLUser Cmdlet 時使用下列參數來更正衝突:
AutoReconcileProxyConflicts
NewUserPrincipalName
注意事項
當您使用 參數 AutoReconcileProxyConflicts
時,會從已刪除的使用者移除任何衝突的電子郵件位址,以便您繼續復原程式。
Microsoft 365 入口網站會以先前提及的 Windows PowerShell「錯誤狀態」形式顯示對等的錯誤訊息。 例如,您會收到下列訊息:
使用者名稱衝突 您想要還原的使用者具有相同的用戶名稱。
若要還原處於此狀態的使用者,請完成表單中要求的資訊。
是否仍需要協助? 移至 Microsoft 社 群或 Microsoft Entra Forums 網站。