[Cybertruco]Recuperación paso a paso de cuentas de correo eliminadas en Exchange Online con Powershell

Replicando una guía paso a paso de Microsoft, hemos estructurado estos pasos en tres secciones principales. En la primera sección A comprobaremos el estado en el que se encuentra la cuenta de usuario en Azure Active Directory, posteriormente en la sección B comprobaremos el estado de la cuenta de correo de este usuario en Exchange Online y a partir de los datos obtenidos en ambas acudiremos a nuestro caso particular a la sección C.

A-Estado de la cuenta de usuario en Azure Active Directory

Conectamos a Azure Active Directory Powershell para comprobar el estado de la cuenta

1. Si no lo tenemos, instalamos el módulo de Azure AD para Powershell y lo ejecutamos.
2. Ejecutamos: $cred=Get-Credential e introducimos nuestros datos
3. Ejecutamos: Connect-MsolService -Credential $cred. Para conectar a Office 365.
4. Ejecutamos: Get-MSOLUser –UserPrincipalName ejemplo@cyberseguridad.net
5. Si se nos devuelve información la cuenta online está presente (seguimos con las instrucciones en la sección B), en caso que no seguimos con el paso 6.
6. Ejecutamos: Get-MSOLUser –UserPrincipalName ejemplo@cyberseguridad.net –ReturnDeletedUsers|SELECT-OBJECT
7. Si se nos devuelve información, la cuenta online ha sido soft deleted (seguimos con las instrucciones en la sección B).
8. Si no tenemos información en el paso 4 o 6 la cuenta online hard deleted (seguimos con las instrucciones en la sección B).

 B-Estado de la cuenta de correo en Exchange Online

Conectamos al Exchange Online Powershell para verificar el estado de la cuenta

1. Ejecutamos Windows Powershell en nuestra máquina
2. Ejecutamos $Cred = Get-Credential e introducimos nuestras credenciales
3. Ejecutamos $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell/ -Credential $Cred -Authentication Basic –AllowRedirection
4. Ejecutamos Import-PSSession $Session
5. Ejecutamos: Get-Mailbox –Identity ejemplo@cyberseguridad.net
6. Si se nos devuelve la cuenta, esto significa que todo está funcionando correctamente, FIN. En caso que no, seguimos con los siguiente pasos.
7. Ejecutamos: Get-Mailbox –SoftDeletedMailbox –identity ejemplo@cyberseguridad.net
8. Si se nos devuelve la cuenta, la cuenta de correo ha sido soft deleted (vamos más abajo al escenario correspondiente). En caso contrario seguimos al siguiente paso
9. Si no hemos recibido información en el paso 5 o 7 la cuenta de correo no está presente (vamos más abajo al escenario correspondiente).

 C – Posibles escenarios

C.1-Cuenta Online presente

C.1.1-Cuenta de correo presente

Todo en orden podemos seguir trabajando con el usuario y su cuenta de correo con normalidad.

C.1.2-Cuenta de correo soft deleted

1. Ejecutamos y nos logueamos en Exchange Online Powershell
2. Ejecutamos el siguiente comando para recuperar la cuenta: Undo- SoftDeletedMailbox ejemplo@cyberseguridad.net -WindowsLiveID ejemplo@cyberseguridad.net -Password (ConvertTo-SecureString -String ‘Pa$$word1’ -AsPlainText -Force)
3. El usuario ya debería aparecer en Office 365.

C.1.3-Cuenta de correo no presente

1. En este caso la cuenta de correo no es recuperable. Podemos asignar una nueva licencia al usuario en Office 365 para crear una nueva cuenta.

C.2-Cuenta Online soft deleted

C.2.1-Cuenta de correo presente

1. Esta opción no debería ser posible, se recomienda abrir un ticket con Microsoft.

C.2.2-Cuenta de correo soft deleted

1. Conectamos a Azure AD Powershell
2. Restauramos el usuario en Azure AD ejecutando los siguientes dos comandos
3. $DelUser = Get-MsolUser -UserPrincipalName ejemplo@cyberseguridad.net -ReturnDeletedUsers
4. Restore-MsolUser -ObjectId $DelUser.ObjectId
5. Entramos a Office 365 y asignamos una licencia al usuario, esto restaurará su cuenta de correo (y su contenido)

C.2.3-Cuenta de correo no presente

1. Cuando ejecutamos un borrado, se nos permite recuperarlo durante los siguientes 30 días. En este caso habremos superado este tiempo y ni la cuenta ni el correo pueden ser recuperados. Tenemos que crear una nueva cuenta para el usuario.

C.3-Cuenta online hard deleted

C.3.1-Cuenta de correo presente

1. Esta opción no debería ser posible, se recomienda abrir un ticket con Microsoft.

C.3.2-Cuenta de correo soft deleted

1. Conectamos a Exchange Online Powershell
2. Determinado el estado de la cuenta de correo
3. Ejecutamos: Get-mailbox –softdeletedmailbox –identity “ejemplo@cyberseguridad.net” |select-object IsInactiveMailbox
4. Ahora dependiendo del valor retornado de IsInactiveMailbox:
5. Si IsInactiveMailbox es True:
   1. Ejecutamos: Get-Mailbox “ejemplo@cyberseguridad.net” -softdeletedmailbox | Select Name, DisplayName, MicrosoftOnlineServicesID, ExchangeGuid
   2. Y con los valores “Name”, “ExchangeGuid” y MicrosoftOnlineServicesID” obtenidos en el paso anterior, ejecutamos: New-Mailbox -Name “Name” -inactivemailbox “ExchangeGuid” -MicrosoftOnlineServicesID “MicrosoftOnlineServicesID” -Password (ConvertTo-SecureString -String ‘Password’ -AsPlainText -Force)
6. Si IsInactiveMailbox es False:
   1. Ejecutamos: Undo-SoftDeletedMailbox ejemplo@cyberseguridad.net -WindowsLiveID ejemplo@cyberseguridad.net -Password (ConvertTo-SecureString -String ‘Password’ -AsPlainText -Force)
7. Conectamos con Azure AD PowerShell
8. Ejecutamos: get-msoluser-userprincipalname ejemplo@cyberseguridad.net
9. En este momento ya deberíamos tener la cuenta de correo recuperada, solo nos queda ir al portal Office 365 y asignar una nueva licencia al usuario en el caso que no la tenga.

C.3.3-Cuenta de correo no presente

1. En este caso la cuenta de correo no es recuperable. Podemos asignar una nueva licencia al usuario en Office 365 para crear una nueva cuenta.

——-

Aquí únicamente hemos abordado el escenario de cuentas totalmente online, pero en el magnífico paso a paso de Microsoft podéis además seguir instrucciones para abordar situaciones similares en escenarios híbridos en las que las cuentas que queramos recuperar estén aún presentes en nuestros servidores “on-premises” o cuando se hayan borrado también de los mismos.

Fuente: Cyberseguridad.net