Office365: Die mit der lokalen Active Directory synchronisierten Benutzer wurden gelöscht
Es ist eine Situation, die einen Administrator am Freitagnachmittag erschrecken kann. Sie melden sich im O365 Portal an und plötzlich sehen Sie, dass sich mehrere Benutzerkonten in den gelöschten Benutzern befinden. Das O365 Portal teilt Ihnen mit, dass diese Konten in 30 Tagen vollständig mit all ihren Daten gelöscht werden.
Das bedeutet: Ihre Kollegen können keine O365 Dienste, inklusive der eigenen Postfächer, mehr benutzen und können schon Feierabend machen. Manchmal passieren wirklich seltsame Dinge. Alle O365 Administratoren wissen, dass nur O365 Benutzer, die im O365 Portal erstellt wurden (@.onmicrosoft.com), im O365 Portal gelöscht werden können. Sie können im Office365 Portal jedoch keine Benutzer löschen, die mithilfe der Azure AD Connect oder einer ähnlichen Software in Ihrer lokalen Domäne gewählt bzw. gefiltert und mit Office365 synchronisiert wurden. Diesen Benutzer können Sie logischerweise nur in Ihrer lokalen Domäne editieren oder löschen bzw. in eine OU verschieben, die mit Azure Active Directory nicht synchronisiert wird.
Auch die grauen, nicht aktiven Einstellungen für den synchronisierten Benutzer im Office365 Portal geben Ihnen Auskunft über den Status. Diese Information können Sie auch in den Microsoft Technet- und Support-Bibliotheken nachlesen.
Das ist der Stand der Dinge, falls Sie erfolglos versuchen, Benutzer im Office365 Portal zu löschen. Andere Microsoft Webservices haben dieses Problem nicht. Wenn Sie Ihr Microsoft Partner Portal administrieren und den Zugang für die Benutzer beschränken, die nicht zugangsberechtigt sind, wartet eine böse Überraschung auf Sie.
Um dies zu realisieren, müssen Sie die Benutzer im Partner-Portal löschen. Gleichzeitig werden diese Benutzer in Azure AD gelöscht und im Office365 Portal als gelöscht angezeigt. Ups. Ab sofort können Ihre Kollegen keine Office365-Dienste mehr nutzen, sie können sich im Office365 nicht mehr anmelden. Die nächste Synchronisation Ihrer Domäne mit Azure AD bestätigt dem AD Connect Tool, dass die Benutzer in Azure AD gelöscht wurden und nicht mehr synchronisiert werden müssen. Das war’s. Es ist höchste Zeit, den Microsoft Support anzurufen.
Relativ schnell hat uns ein MS Support-Mitarbeiter angerufen und uns freundlich mitgeteilt, dass das Problem Microsoft schon seit Längerem bekannt ist und dass es kein Bug, sondern ein Feature ist! (It’s not a bug, it’s a feature). Wow, super Feature . Auf jedem Fall wollte der MS Support-Techniker uns nicht bestätigen, dass man diese „undokumentierte Möglichkeit“ , die synchronisierten „read only“-Benutzer in der Azure AD löschen zu können, als Bug ansehen könnte. Der MS Support-Mitarbeiter war auch nicht 100% sicher, was und in welcher Reinfolge gemacht werden muss. Er hat auch gefragt, ob wir die betroffenen Benutzer im Microsoft Partner-Portal irgendwie wieder herstellen können. Letztendlich fand er eine Lösung. Diese Lösung hat uns geholfen, deswegen möchten wir diese hier mit Ihnen teilen. Es ist nichts anderes als ein Workaround, alle Synchronisationsparameter zurückzusetzten und die AD Synchronisation als eine volle initiale Synchronisation zu starten. Natürlich werden alle von Ihnen konfigurierten Einstellungen bzw. Filter berücksichtigt. In unserem Fall nutzen wir die letzte Microsoft Entwicklung – Azure Active Directory Connect (August 2015).
1. Sie benötigen den Synchronization Service des Azure AD Connects
2. Reiter Connectors
2.1 2.1 Wählen Sie den Connector Active Directory Domain Services. Stellen Sie sicher, dass die Filter (OU in unserem Fall) nicht verändert wurden. Natürlich nur, wenn Sie nicht alle Objekte Ihrer lokalen Domäne vollständig synchronisieren möchten.
2.2 Connector Active Directory Domain Services -> Delete -> Delete Connector space only (Vorsicht! – Sie müssen genau diese Option wählen)
2.3 Connector Windows Azure Actice Directory(Microsoft) -> Delete -> Delete Connector space only (Vorsicht! – Sie müssen genau diese Option wählen):
2.4 Connector Active Directory Domain Services (der Connector liest Ihre Active Directory). Führen Sie folgende Optionen nacheinander durch: Run-> Full Import und dann Full Synchronization
2.5 Connector Windows Azure Actice Directory(Microsoft). Ähnlich dem letzten Punkt: Run -> Full Import, Full Synchronization, Export
2.6 Reiter Operations. Die Reinfolge der durchgeführten Synchronisationen sieht wie folgt aus:
Jetzt können Sie im O365 Portal überprüfen, ob Ihre gelöschten Benutzer wieder hergestellt wurden. Hurra – alle sind wieder da!
Viel Spaß!