Nelze vám smazat uživatele v AzureAD a přes web management Office 365 protože vám to hlásí že je synclý přes Azure Sync z lokální AD jenže tam je uživatel už smazaný? Postupy co jsem dogooglil většinou byly už nefunkční nebo měly rozbité odkazy na tooly.
Narazil jsem na tenhle problém v jedné firmě, kde mají nasazenou synchronizaci s AzureAD (účty a hesla) aby jej měly shodné pro Office365 tak pro lokální síť s Active Directory. Šlo o uživatele, který byl ve firmě už od počátku syncu tzn. od nasazení Azure Sync. Jiné uživatele šlo normálně mazat a změna se při synchronizacích propisovala bez potíží.
Nejdříve než se v tom začtnete vrtat si zkontrolujte:
- V AD Sync Manageru (C:\Program Files\Microsoft Azure AD Sync\UIShell\miisclient.exe) v záložce “Connectors” vynuťte synchronizaci nejdříve u “Active Directory Domain Services” a následně to samé u “Windows Azure Active Directory (Microsoft). Vždy nechte job doběhnout než pustítě další.
- pravým tlačítkem myši > run.
- Full Synchronization
- Full Import
- Koukněte jestli to problém nevyřešilo pokud ne tak se podívejte do Event vieweru > Applications jestli tam nejsou nějaké další chyby a vyřeště nejdříve ty přes google
- Pokud stále nedošlo k výmazu uživatele ani po plné synchronizaci tak už nezbývá než ho odstranit pomocí powershellu. Budete potřebovat adminovský účet pro správu uživatelů AzureAD. Ten kterým lze spravovat uživatele a přiřazení plánu v Office 365
Výmaz uživatele přes powershell
Budete potřebovat powershellový modul AzureAD. Ten nainstalujete pomocí příkazu:
Install-Module -Name AzureAD
Pokud to děláte poprvé tak by se vás to mělo zeptat zda li chcete nainstalovat NuGet a následně jestli chcete nainstalovat modul z nedůvěrného zdroje powershell gallery. V obou případech odpovězte ano.
Pokud se vám stane jako mě že PS hlásí že nezná funkci “Install-Module” musíte si nainstalovat Windows Management Framework 5.1 nebo vyšší. Do powershellu napiště command “HOST” a pokud v řádce Version máte 4.0 jako tomu bylo v mém případě Windows Server 2012 R2 musíte si nejdříve nainstalovat zmíněnou verzi 5.1. U nových verzí Windows Serveru 2016 je verze 5.1 už v základu.
Následují už jen 3 příkazy:
Connect-AzureAD
Odentrováním by měl vyskočit dialog žádající zadaní pověření pro přihlášení do služby AzureAD, zadejte adminovský account. Nyní by jste měli být přihlášení do AzureAD a dále už stačí zadat jen příkaz:
Remove-AzureADUser -ObjectID "emailova.adresa@domena.cz"
Kde místo “emailova.adresa@domena.cz” zadejte email uživatele kterého nešlo smazat přes web management. A máte hotovo, přes web pak následně zkotrolujte že uživatel z Azure opravdu zmizel a v powershellu se ještě nezapomeňte odpojit pomocí příkazu:
Disconnect-AzureAD
A to je všechno!