Come ripristinare gli account utente eliminati in Microsoft 365, Azure e Intune
Numero KB originale: 2619308
Sintomi
È necessario ripristinare un account utente eliminato accidentalmente da Microsoft 365, Microsoft Azure o Microsoft Intune.
Risoluzione
Prima di iniziare
Quando gli utenti vengono eliminati dall'ID Microsoft Entra, vengono spostati in uno stato "eliminato" e non vengono più visualizzati nell'elenco utenti. Tuttavia, non vengono completamente rimossi e possono essere recuperati entro 30 giorni.
Usare Microsoft 365 e il modulo Azure Active Directory per PowerShell come indicato di seguito per determinare se un utente è idoneo per il ripristino dallo stato "eliminato":
- Nel portale di Microsoft 365 cercare gli account utente eliminati tramite il portale. A tal fine, attenersi alla seguente procedura:
- Accedere al portale di Microsoft 365 (https://portal.office.com) usando le credenziali amministrative.
- Selezionare Utenti e quindi Utenti eliminati.
- Individuare l'utente da ripristinare.
- Nel modulo Azure Active Directory per Windows PowerShell seguire questa procedura:
- Selezionare Avvia>tutti i programmi>Modulo Windows Azure Active Directory>Windows Azure Active Directory per Windows PowerShell.
- Digitare i comandi seguenti nell'ordine in cui vengono presentati e premere INVIO dopo ogni comando:
$cred = get-credential
Nota
Quando viene richiesto, immettere le credenziali di Microsoft 365.
Connect-MSOLService -credential:$cred
Get-MsolUser -ReturnDeletedUsers
Nota
I moduli PowerShell di Azure AD e MSOnline saranno deprecati a partire dal 30 marzo 2024. Per ulteriori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni per la sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.
È consigliabile effettuare la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per le domande più comuni sulla migrazione, consultare Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.
Risoluzione 1: Ripristinare gli account eliminati manualmente usando il portale di Microsoft 365 o il modulo Azure Active Directory
Per ripristinare un account utente eliminato manualmente, usare uno dei metodi seguenti:
Usare il portale di Microsoft 365 per ripristinare l'account utente. Per altre informazioni su come eseguire questa operazione, ripristinare un utente.
Usare il modulo Azure Active Directory per Windows PowerShell per ripristinare l'account utente. A tale scopo, digitare il comando seguente e quindi premere INVIO:
Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>
Se questo comando non funziona, provare il comando seguente:
Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>
Nota
In questi comandi vengono usate le convenzioni seguenti:
- I
UserPrincipalName
parametri eObjectID
identificano in modo univoco l'oggetto utente da ripristinare. - Il
AutoReconcileProxyConflicts
parametro è facoltativo e viene usato negli scenari in cui a un altro oggetto utente viene concesso l'indirizzo proxy dell'oggetto utente di destinazione dopo l'eliminazione di tale indirizzo. - Il
NewUserPrincipalName
parametro viene facoltativamente usato negli scenari in cui viene concesso un altro oggetto utente usando il nome dell'entità utente (UPN) dell'oggetto utente di destinazione dopo l'eliminazione dell'UPN.
- I
Risoluzione 2: Ripristinare gli account eliminati perché le modifiche di ambito escludono l'oggetto utente di Active Directory locale
Per ripristinare gli account utente eliminati, assicurarsi che il filtro di sincronizzazione della directory (ambito) sia impostato in modo che l'ambito includa gli oggetti da ripristinare.
Per altre informazioni, vedere Sincronizzazione Di Microsoft Entra Connect: Configurare il filtro.
Risoluzione 3: Ripristinare gli account eliminati perché l'oggetto utente locale è stato eliminato dallo schema di Active Directory locale
Per ripristinare un elemento eliminato dallo schema di Active Directory locale, provare i metodi seguenti:
Provare a ripristinare l'elemento eliminato dal Cestino di Active Directory. A tale scopo, vedere Guida dettagliata al Cestino di Active Directory.
Nota
- Il Cestino di Active Directory è disponibile solo con il livello funzionale di Windows 2008 R2 o versioni successive.
- Affinché il Cestino di Active Directory sia utile per il ripristino di un elemento, deve essere abilitato prima dell'eliminazione dell'elemento.
Se il Cestino di Active Directory non è disponibile o se l'oggetto in questione non è più nel Cestino, provare a ripristinare l'elemento eliminato usando lo strumento AdRestore. A tal fine, attenersi alla seguente procedura:
Installare lo strumento AdRestore .
Usare AdRestore insieme a un filtro di ricerca per individuare l'oggetto utente locale eliminato. Negli esempi seguenti viene usata una stringa "UserA" per cercare i nomi utente corrispondenti.
Usare AdRestore per enumerare tutti gli oggetti utente con una stringa "UserA" nel nome:
C:\>adrestore.exe UserA AdRestore v1.1 by Mark Russinovich Sysinternals - www.sysinternals.com Enumerating domain deleted objects: cn: MailboxA DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com lastKnownParent: OU=OnPremises,DC=Domain,DC=com Found 1 item matching search criteria.
Usare AdRestore insieme all'opzione -r per ripristinare l'oggetto utente.
C:\>adrestore.exe Usera -r AdRestore v1.1 by Mark Russinovich Sysinternals - www.sysinternals.com Enumerating domain deleted objects: cn: UserA DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com lastKnownParent: OU=OnPremises,DC=Domain,DC=com Do you want to restore this object (y/n)? y Restore succeeded. Found 1 item matching search criteria.
Abilitare l'oggetto utente in Active Directory. Quando l'oggetto viene ripristinato, viene disabilitato all'inizio. Pertanto, è necessario abilitarlo. È consigliabile reimpostare prima la password utente. Per abilitare l'utente, seguire questa procedura:
In Utenti e computer di Active Directory fare clic con il pulsante destro del mouse sull'utente e quindi scegliere Reimposta password.
Nelle caselle Nuova password e Conferma password immettere una nuova password e quindi selezionare OK.
Fare clic con il pulsante destro del mouse sull'utente, selezionare Abilita account e quindi scegliere OK.
Viene visualizzato il messaggio di errore seguente (previsto):
Impossibile abilitare l'oggetto <MailboxName> perché: Impossibile aggiornare la password. Il valore fornito per la nuova password non soddisfa i requisiti di lunghezza, complessità o cronologia del dominio.
Dopo aver ricevuto questo messaggio di errore, reimpostare la password dell'utente in Utenti e computer di Active Directory.
Configurare il nome di accesso utente
Il nome di accesso utente (noto anche come nome dell'entità utente o UPN) non è impostato dall'oggetto utente ripristinato. È necessario aggiornare il nome di accesso utente, soprattutto se l'utente è un account federato.
Per configurare il nome di accesso utente, seguire questa procedura:
- In Utenti e computer di Active Directory fare clic con il pulsante destro del mouse sull'utente e quindi scegliere Proprietà.
- Selezionare Account, immettere un nome nella casella Nome accesso utente e quindi selezionare OK.
Infine, se non è possibile ripristinare l'account utente eliminato tramite il Cestino di Active Directory o lo strumento AdRestore, eseguire un ripristino autorevole degli oggetti utente eliminati in Active Directory.
Avvisi e avvertenze
Assicurarsi che solo gli oggetti utente da ripristinare siano contrassegnati come autorevoli. Gli oggetti di Active Directory contrassegnati come autorevoli nel processo di ripristino possono causare molti problemi del servizio Active Directory.
Per altre informazioni su come eseguire un ripristino autorevole di oggetti Active Directory, vedere Esecuzione di un ripristino autorevole di oggetti Active Directory.
Dopo aver ripristinato l'oggetto usando qualsiasi metodo Resolution 3, l'oggetto potrebbe non avere tutti gli attributi del servizio (ad esempio Exchange Online e Skype for Business Online) ripristinati automaticamente.
Ad esempio, per un utente precedentemente abilitato alla posta elettronica in Exchange Online, è possibile usare i cmdlet di Windows PowerShell per ripopolare gli attributi di Exchange Online.
Nell'esempio seguente l'oggetto User1 viene ripopolato usando gli attributi di Exchange Online per il tenant contoso.onmicrosoft.com :
Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com
Se le condizioni seguenti sono vere, la risoluzione 3 non funzionerà:
- Il ripristino dell'oggetto tramite il Cestino di Active Directory non è un'opzione disponibile.
- Il ripristino dell'oggetto tramite lo strumento AdRestore non è un'opzione disponibile.
- Il ripristino autorevole di Active Directory non è un'opzione disponibile.
In questo caso, contattare il supporto tecnico di Microsoft 365 per assistenza.
Ulteriori informazioni
Dopo l'eliminazione dell'utente e prima del ripristino dell'utente, possono verificarsi gli eventi seguenti e possono presentare conflitti che possono modificare l'esperienza utente:
- Un nuovo utente ha un valore id utente univoco precedentemente assegnato all'utente eliminato.
- Un nuovo utente ha un valore di indirizzo di posta elettronica univoco precedentemente assegnato all'utente eliminato.
Se si verificano questi conflitti, è necessario aggiornare gli attributi in conflitto per rimuovere il conflitto prima che sia possibile completare il ripristino dell'utente. Se si verifica un conflitto durante il ripristino dell'utente, Windows PowerShell restituisce uno dei messaggi di errore seguenti:
Errore 1
Restore-MsolUser : impossibile ripristinare l'account utente specificato a causa dell'errore seguente: Error Type UserPrincipalName
Errore 2
Restore-MsolUser : impossibile ripristinare l'account utente specificato a causa dell'errore seguente: Error Type proxyAddress
Per ripristinare gli utenti che si trovano in questo stato, è possibile correggere il conflitto usando i parametri seguenti quando si esegue il cmdlet Restore-MSOLUser :
AutoReconcileProxyConflicts
NewUserPrincipalName
Nota
Quando si usa il AutoReconcileProxyConflicts
parametro , tutti gli indirizzi di posta elettronica in conflitto vengono rimossi dall'utente eliminato in modo da poter continuare il processo di ripristino.
Il portale di Microsoft 365 mostra i messaggi di errore equivalenti sotto forma di "stati di errore" di Windows PowerShell menzionati in precedenza. Ad esempio, si riceve il messaggio seguente:
Conflitto di nomi utente L'utente da ripristinare ha lo stesso nome utente.
Per ripristinare gli utenti che si trovano in questo stato, completare le informazioni richieste nel modulo.
Ulteriore assistenza Accedere alla community Microsoft o al sito Web dei forum di Microsoft Entra.