[Cybertruco]Recuperación paso a paso de cuentas de correo eliminadas en Exchange Online con Powershell
Exchange Online es un entorno muy seguro y robusto, ante el borrado por error de una cuenta de correo o ante la necesidad por cualquier motivo de recuperar un cuenta borrada correctamente, disponemos de herramientas para realizar el proceso rapida y efectivamente tanto a través de la interfaz web como de Powershell. Hoy vamos a ver que pasos deberíamos seguir para recuperar (en los escenarios que fuera posible) cuentas online a través de Powershell.
Replicando una guía paso a paso de Microsoft, hemos estructurado estos pasos en tres secciones principales. En la primera sección A comprobaremos el estado en el que se encuentra la cuenta de usuario en Azure Active Directory, posteriormente en la sección B comprobaremos el estado de la cuenta de correo de este usuario en Exchange Online y a partir de los datos obtenidos en ambas acudiremos a nuestro caso particular a la sección C.
A-Estado de la cuenta de usuario en Azure Active Directory
Conectamos a Azure Active Directory Powershell para comprobar el estado de la cuenta
- Si no lo tenemos, instalamos el módulo de Azure AD para Powershell y lo ejecutamos.
- Ejecutamos: $cred=Get-Credential e introducimos nuestros datos
- Ejecutamos: Connect-MsolService -Credential $cred. Para conectar a Office 365.
- Ejecutamos: Get-MSOLUser –UserPrincipalName ejemplo@cyberseguridad.net
- Si se nos devuelve información la cuenta online está presente (seguimos con las instrucciones en la sección B), en caso que no seguimos con el paso 6.
- Ejecutamos: Get-MSOLUser –UserPrincipalName ejemplo@cyberseguridad.net –ReturnDeletedUsers|SELECT-OBJECT
- Si se nos devuelve información, la cuenta online ha sido soft deleted (seguimos con las instrucciones en la sección B).
- Si no tenemos información en el paso 4 o 6 la cuenta online hard deleted (seguimos con las instrucciones en la sección B).
B-Estado de la cuenta de correo en Exchange Online
Conectamos al Exchange Online Powershell para verificar el estado de la cuenta
- Ejecutamos Windows Powershell en nuestra máquina
- Ejecutamos $Cred = Get-Credential e introducimos nuestras credenciales
- Ejecutamos $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell/ -Credential $Cred -Authentication Basic –AllowRedirection
- Ejecutamos Import-PSSession $Session
- Ejecutamos: Get-Mailbox –Identity ejemplo@cyberseguridad.net
- Si se nos devuelve la cuenta, esto significa que todo está funcionando correctamente, FIN. En caso que no, seguimos con los siguiente pasos.
- Ejecutamos: Get-Mailbox –SoftDeletedMailbox –identity ejemplo@cyberseguridad.net
- Si se nos devuelve la cuenta, la cuenta de correo ha sido soft deleted (vamos más abajo al escenario correspondiente). En caso contrario seguimos al siguiente paso
- Si no hemos recibido información en el paso 5 o 7 la cuenta de correo no está presente (vamos más abajo al escenario correspondiente).
C – Posibles escenarios
C.1-Cuenta Online presente
C.1.1-Cuenta de correo presente
Todo en orden podemos seguir trabajando con el usuario y su cuenta de correo con normalidad.
C.1.2-Cuenta de correo soft deleted
- Ejecutamos y nos logueamos en Exchange Online Powershell
- Ejecutamos el siguiente comando para recuperar la cuenta: Undo- SoftDeletedMailbox ejemplo@cyberseguridad.net -WindowsLiveID ejemplo@cyberseguridad.net -Password (ConvertTo-SecureString -String ‘Pa$$word1’ -AsPlainText -Force)
- El usuario ya debería aparecer en Office 365.
C.1.3-Cuenta de correo no presente
- En este caso la cuenta de correo no es recuperable. Podemos asignar una nueva licencia al usuario en Office 365 para crear una nueva cuenta.
C.2-Cuenta Online soft deleted
C.2.1-Cuenta de correo presente
- Esta opción no debería ser posible, se recomienda abrir un ticket con Microsoft.
C.2.2-Cuenta de correo soft deleted
- Conectamos a Azure AD Powershell
- Restauramos el usuario en Azure AD ejecutando los siguientes dos comandos
- $DelUser = Get-MsolUser -UserPrincipalName ejemplo@cyberseguridad.net -ReturnDeletedUsers
- Restore-MsolUser -ObjectId $DelUser.ObjectId
- Entramos a Office 365 y asignamos una licencia al usuario, esto restaurará su cuenta de correo (y su contenido)
C.2.3-Cuenta de correo no presente
- Cuando ejecutamos un borrado, se nos permite recuperarlo durante los siguientes 30 días. En este caso habremos superado este tiempo y ni la cuenta ni el correo pueden ser recuperados. Tenemos que crear una nueva cuenta para el usuario.
C.3-Cuenta online hard deleted
C.3.1-Cuenta de correo presente
- Esta opción no debería ser posible, se recomienda abrir un ticket con Microsoft.
C.3.2-Cuenta de correo soft deleted
- Conectamos a Exchange Online Powershell
- Determinado el estado de la cuenta de correo
- Ejecutamos: Get-mailbox –softdeletedmailbox –identity «ejemplo@cyberseguridad.net» |select-object IsInactiveMailbox
- Ahora dependiendo del valor retornado de IsInactiveMailbox:
- Si IsInactiveMailbox es True:
- Ejecutamos: Get-Mailbox «ejemplo@cyberseguridad.net» -softdeletedmailbox | Select Name, DisplayName, MicrosoftOnlineServicesID, ExchangeGuid
- Y con los valores “Name”, “ExchangeGuid” y MicrosoftOnlineServicesID” obtenidos en el paso anterior, ejecutamos: New-Mailbox -Name «Name» -inactivemailbox «ExchangeGuid» -MicrosoftOnlineServicesID «MicrosoftOnlineServicesID» -Password (ConvertTo-SecureString -String ‘Password’ -AsPlainText -Force)
- Si IsInactiveMailbox es False:
- Ejecutamos: Undo-SoftDeletedMailbox ejemplo@cyberseguridad.net -WindowsLiveID ejemplo@cyberseguridad.net -Password (ConvertTo-SecureString -String ‘Password’ -AsPlainText -Force)
- Conectamos con Azure AD PowerShell
- Ejecutamos: get-msoluser-userprincipalname ejemplo@cyberseguridad.net
- En este momento ya deberíamos tener la cuenta de correo recuperada, solo nos queda ir al portal Office 365 y asignar una nueva licencia al usuario en el caso que no la tenga.
C.3.3-Cuenta de correo no presente
- En este caso la cuenta de correo no es recuperable. Podemos asignar una nueva licencia al usuario en Office 365 para crear una nueva cuenta.
——-
Aquí únicamente hemos abordado el escenario de cuentas totalmente online, pero en el magnífico paso a paso de Microsoft podéis además seguir instrucciones para abordar situaciones similares en escenarios híbridos en las que las cuentas que queramos recuperar estén aún presentes en nuestros servidores “on-premises” o cuando se hayan borrado también de los mismos.
Fuente: Cyberseguridad.net