AzureAD sync nelze smazat uživatele v cloudu

Nelze vám smazat uživatele v AzureAD a přes web management Office 365 protože vám to hlásí že je synclý přes Azure Sync z lokální AD jenže tam je uživatel už smazaný? Postupy co jsem dogooglil většinou byly už nefunkční nebo měly rozbité odkazy na tooly.

Narazil jsem na tenhle problém v jedné firmě, kde mají nasazenou synchronizaci s AzureAD (účty a hesla) aby jej měly shodné pro Office365 tak pro lokální síť s Active Directory. Šlo o uživatele, který byl ve firmě už od počátku syncu tzn. od nasazení Azure Sync. Jiné uživatele šlo normálně mazat a změna se při synchronizacích propisovala bez potíží.

Nejdříve než se v tom začtnete vrtat si zkontrolujte:

  1. V AD Sync Manageru (C:\Program Files\Microsoft Azure AD Sync\UIShell\miisclient.exe) v záložce “Connectors” vynuťte synchronizaci nejdříve u “Active Directory Domain Services” a následně to samé u “Windows Azure Active Directory (Microsoft). Vždy nechte job doběhnout než pustítě další.
    1. pravým tlačítkem myši > run.
    2. Full Synchronization
    3. Full Import
  2. Koukněte jestli to problém nevyřešilo pokud ne tak se podívejte do Event vieweru > Applications jestli tam nejsou nějaké další chyby a vyřeště nejdříve ty přes google
  3. Pokud stále nedošlo k výmazu uživatele ani po plné synchronizaci tak už nezbývá než ho odstranit pomocí powershellu. Budete potřebovat adminovský účet pro správu uživatelů AzureAD. Ten kterým lze spravovat uživatele a přiřazení plánu v Office 365

Výmaz uživatele přes powershell

Budete potřebovat powershellový modul AzureAD. Ten nainstalujete pomocí příkazu:

Install-Module -Name AzureAD

Pokud to děláte poprvé tak by se vás to mělo zeptat zda li chcete nainstalovat NuGet a následně jestli chcete nainstalovat modul z nedůvěrného zdroje powershell gallery. V obou případech odpovězte ano.

Pokud se vám stane jako mě že PS hlásí že nezná funkci “Install-Module” musíte si nainstalovat Windows Management Framework 5.1 nebo vyšší. Do powershellu napiště command “HOST” a pokud v řádce Version máte 4.0 jako tomu bylo v mém případě Windows Server 2012 R2 musíte si nejdříve nainstalovat zmíněnou verzi 5.1. U nových verzí Windows Serveru 2016 je verze 5.1 už v základu.

Následují už jen 3 příkazy:

Connect-AzureAD

Odentrováním by měl vyskočit dialog žádající zadaní pověření pro přihlášení do služby AzureAD, zadejte adminovský account. Nyní by jste měli být přihlášení do AzureAD a dále už stačí zadat jen příkaz:

Remove-AzureADUser -ObjectID "emailova.adresa@domena.cz"

Kde místo “emailova.adresa@domena.cz” zadejte email uživatele kterého nešlo smazat přes web management. A máte hotovo, přes web pak následně zkotrolujte že uživatel z Azure opravdu zmizel a v powershellu se ještě nezapomeňte odpojit pomocí příkazu:

Disconnect-AzureAD

A to je všechno!

Štítky , , , , , , , , , , .Záložka pro permanentní odkaz.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *