アカウントに有効期限が設定された長期代替品のアカウントがいくつかあります。現在、ADConnectでOffice 365を使用してADアカウントを同期しています。
私が見つけた問題は、Office 365がaccountExpires属性を無視し、アクセスを許可し続けることです。アクセスを停止する唯一の方法は、アカウントを削除または無効にすることです。私はマイクロソフトと話しました、そして彼らはそれに対処する計画はないと言いました。
他の誰かがこれを経験し、回避策を見つけましたか?
@joeqwertyによって提供されるリンクに加えて、私が使用したいくつかの方法があります。
ユーザーが見つかった期限切れのアカウントまたはパスワードを実行およびチェックするPowerShellスクリプトは、Office365に接続し、これらのアカウントのサインインをブロックします。 [更新] SSPRを有効にしている場合は、アカウントをブロックする代わりに、アカウントのパスワードをランダムで複雑なパスワードにリセットできます。このようにして、ユーザーはローカル(標準のAD同期を介して)またはSSPRポータルからリセットできます。
ただし、最近では AzureAD Connect Passthrough を使用しています。これにより、認証がドメインコントローラに戻ります。これで、すべてのアカウントアクションが有効になります。同期されたアカウントでのセットアップは非常に簡単です。これを AzureAD Connectシームレスサインオン と組み合わせると、AzureADがKerberosチケットを使用して、ユーザーがオフィスやVPNにいるときのユーザーエクスペリエンスが向上します。