Eliminar usuarios huérfanos en Azure AD sincronizados desde Active Directory local

viernes, 20 de noviembre de 2015

En esta ocasión vamos a ver cómo hacer para eliminar usuarios que se encuentran huérfanos en un directorio en Azure AD y los cuales fueron sincronizados desde un Active Directory local también conocido como on-premise.

Hay varias razones para que esto ocurra, por ejemplo puede ser que nuestro Active Directory local no esté disponible, que el dominio ya no exista o cualquier otra cosa que impida que volvamos a tener conexión entre nuestro entorno local y Azure. En casos menos comunes puede ocurrir que se elimine el usuario de manera local  y el cambio por alguna extraña razón no sea sincronizado en Azure.

Si lo anterior ocurre, veremos que desde el portal todos los usuarios que tienen como origen Active Directory local no puede ser eliminados, es más ni siquiera aparece la opción, si se intenta desde PowerShell tampoco es posible. Para lograr eliminarlos debemos hacer lo siguiente:

1. Conectarse a la suscripción desde el módulo de Azure Active Directory para PowerShell, si no sabes cómo hacerlo puedes consultar el artículo aquí

2. Una vez conectados a la suscripción desde PowerShell, se debe des habilitar la sincronización de directorios usando el siguiente comando:

Set-MsolDirSyncEnabled –EnableDirSync $false 



3. Debemos verificar que efectivamente la sincronización no esté habilitada utilizando el siguiente comando:

(Get-MSOLCompanyInformation).DirectorySynchronizationEnabled


El resultado debe ser False si aparece True es que aún no termina y debemos seguir ejecutando el comando hasta que el resultado sea False tal como se muestra en la imagen anterior.

4. Después de que la sincronización no se encuentre habilitada, ingresamos al portal y notaremos que todos los usuarios que tenían como origen Active Directory local, ahora tienen como origen Microsoft Azure Active Directory.


Y al tratarse de usuarios con origen en la nube, claramente nos mostrará la opción que permite eliminar.


Y de la misma manera, podemos realizar la operación desde PowerShell haciendo uso del cmdlet Remove-MsolUser


Y por último, para volver a reactivar la sincronización basta con ejecutar lo siguiente:


Set-MsolDirSyncEnabled -EnableDirSync $true

Si al intentar lo anterior te arroja un mensaje como el que se muestra a continuación:

Set-MsolDiorSyncEnabled: You cannot turn off Active Directory synchronization



Es porque la des activación de la sincronización aún está en proceso, Microsoft indica que puede tardar hasta 72 horas dependiendo la cantidad de objetos, esto mismo lo podemos verificar si ingresamos al portal de Office 365 y en la parte de usuarios activos podemos ver un mensaje que claramente lo indica.


E incluso, desde el portal de Azure podemos ver que la opción para habilitar la sincronización de directorio aparece inactiva.


Esto es todo, espero esta información les sea de utilidad. Hasta la próxima

No hay comentarios:

 

Aprende en Net University

Aprende en Net University
Aprende más de Azure con los cursos de Net University

MVP Award

MVP Award
Microsoft Azure

Lo más visto

Certificaciones

Comunidad

Comunidad
Comunidad Técnica

Sobre mi

Mi foto
Microsoft Azure MVP MCT|MCSE|MCSA

Visitantes


flags.es