Восстановление удаленного пользователя в Azure AD (Microsoft 365)

При удалении учетной записи пользователя в Azure (Microsoft 365), пользователь не удаляется немедленно. В течении 30 дней учетная запись продолжает храниться в AAD в отключенном состоянии. В этой статье мы рассмотрим, как восстановить удаленного пользователя в Azure AD (AAD) с помощью Azure Portal или PowerShell.

В Azure AD есть два режима удаления объектов (пользователей):

• Soft delete – пользователь удаляется из активных пользователей тенанта и учетная запись пользователя переводится в приостановленное состояние (перемещается в корзину AAD). При этом все атрибуты пользователя (в том членство в группах M365, права доступа к папкам и ящикам Exchange Online , права в календарях , переписка в Teams) сохраняются в неизменно состоянии. Через 30 дней такая учетная запись будет удалена автоматически службами Azure;
• Hard delete (permanent) – когда объект удалятся из корзины Azure и не может быть восстановлен штатными средствами (вы можете принудительно удалять любой объект из Azure AD не выжидая 30 дней для его автоматического удаления).

Для удаления и восстановления пользователей вашей учетной записи должна быть назначена роль Global administrator или User administrator

Самый простой способ восстановить удаленного пользователя в AAD – воспользоваться Azure Portal:

1. Список удаленных пользователей, которые доступны для восстановления можно найти в Azure AD admin center ( https://aad.portal.azure.com/ );
2. Перейдите в раздел Users и выберите Deleted Users. Здесь отображается список удаленных пользователей, включая дату, когда пользователь был удален (Deletion date) и когда эта учетная будет полностью удалена из AAD (Permanent deletion date);
3. Найдите пользователя (можно искать по User principal name или добавить другие атрибуты пользователя в качестве фильтров), которого нужно восстановить, выделите его и нажмите на кнопку Restore user;
   Обратите внимание, что атрибуты userPrincipalName у пользователя при удалении меняется. Если ранее он был, например, [email protected] , то после удаления, в его начало добавляется ID объекта в AAD: [email protected] .

4. Подтвердите восстановление. Должна появится надпись User successfully restored;
5. При восстановлении удаленного пользователя состав его групп Azure/Microsoft 365 и набор назначенных лицензий восстанавливается в исходное состояние.

Вы можете восстановить пользователя в AAD/Microsoft 365 с помощью PowerShell. Для этого придется использовать Powershell модули MSOnline и AzureAD Powershell или Microsoft Graph API .

Вы можете вывести список всех удаленных пользователей (с полным набором атрибутов) с помощью команды:

Get-MsolUser -ReturnDeletedUsers | fl *

Можно вывести только некоторые поля (имя, ID, дату создания и удаления пользователя)

Get-MsolUser -ReturnDeletedUsers | select DisplayName, ObjectId,SoftDeletionTimestamp, WhenCreated

Вы можете восстановить пользователя по его Object ID:

Restore-AzureADMSDeletedDirectoryObject -Id 98813128-ffb1-4с55-885e-7231234564c

Также можно восстановить пользователя по UPN с помощью Restore-MsolUser:

Restore-MsolUser -UserPrincipalName " [email protected] "

• В предыдущей команде можно использовать необязательный параметр -AutoReconcileProxyConflicts , который позволяет автоматически назначить пользователю новый proxy адрес, если старый адрес занят.
• Либо вы можете сразу задать новый UPN с помощью параметра -NewUserPrincipalName " [email protected] "

Также вы можете использовать логи аудита Azure AD для поиска событий удаления пользователя. Например, следующий скрипт найдет событие удаления пользователя (видно кто и когда удалил пользователя), вернет UPN и ObjectID удаленного пользователя:

Import-Module AzureADPreview -UseWindowsPowerShell

Get-AzureADAuditDirectoryLogs  -Filter "category eq 'UserManagement' and OperationType eq 'Delete'" |where-object TargetResources -like ("*AlexTest*")|select-object -ExpandProperty TargetResources

Вы можете восстановить пользователя по его object ID с помощью Restore-AzureADMSDeletedDirectoryObject .