Azure Active Directory User lassen sich nicht löschen

Azure Active Directory
Standard

Das Active Active Directory Connect (AD-Connect) synchronisiert Benutzer-IDs (AD-Account) nach Azure Active Directory (AAD).  Wenn man nun das AD-Connect abschaltet oder deinstalliert bevor man die Benutzer löscht, so verbleiben diese Benutzer im Azure Active Directory erhalten und lassen sich durch beide Portale nicht mehr löschen. Die Schaltfläche ist einfach ausgegraut.

Wie man Sie dennoch löschen kann?

Warum diese Aktion durch die Portale nicht möglich ist, erschließt sich mir nicht ganz. Vielleicht liefert dies Microsoft im Zuge der Migration auf nach „neue“ Portal irgendwann mal nach.

Diese Situation kann aber auch auf ganz natürlichem Wege entstehen. Sobald man in einen anderen Azure Active Directoty Tenant umziehen möchte, so würde man ja keinesfalls die Benutze aus dem lokalem Active Directory löschen. Also, würde man einfach die Synchronisation abschalten und gegen den neuen Tenant einrichten.

Anleitung Azure Active Directory User löschen

  1. Zuerst einmal benötige ich das richtige PowerShell Modul, um auf die Msol-Service-Schnittstelle zugreifen zu können.

http://go.microsoft.com/fwlink/p/?linkid=236297

Dies muss auf dem Rechner installiert werden, der die PowerShell ausführt.

Mit dem folgenden Befehl kann ich prüfen, ob die Installation vom Msol-Modul erfolgreich.

(get-item C:\Windows\System32\WindowsPowerShell\v1.0\Modules\MSOnline\Microsoft.Online.Administration.Automation.PSModule.dll).VersionInfo.FileVersion

Der Befehl zeigt bei erfolgreicher Installation eine Version an.

2. Dann lege ich einen User im AAD an, der GlobalAdmin-Rechte hat. Wichtig! Ein Live.com-Account akzeptiert die Schnittstelle nicht.

3. Dann logge ich mich per PowerShell ein:

$msolcred = get-credential
connect-msolservice -credential $msolcred
Set-MsolDirSyncEnabled –EnableDirSync $false

4. Nun kann ich die Benutzer löschen:

Remove-MsolUser -UserPrincipalName „UPN“

5. Ggf. muss ich auch noch Gruppen löschen

Remove-MsolGroup -ObjectId „b2de31b9-a00c-4a74-bc8b-b1ede10c619b“

6. Danach lösche ich den temporären User mit GlobalAdmin-Rechten aus Sicherheitsgründen wieder.

Fazit

Wichtig ist einfach, dass man einen User im AAD-Tenant anlegt. Ein Microsoft-Account reicht nicht aus, um die Msol-Schnittstelle zu nutzen.