У нас есть несколько учетных записей для долгосрочных замен, которые созданы с истечением срока действия на их счетах. В настоящее время мы используем Office 365 с ADConnect для синхронизации учетных записей AD.
Я обнаружил, что Office 365 игнорирует атрибут accountExpires и продолжает разрешать доступ. Единственный способ остановить доступ - удалить или отключить учетную запись. Я разговаривал с Microsoft, и они сказали, что у них нет планов решать эту проблему.
Кто-нибудь еще сталкивался с этим и нашел обходной путь?
В дополнение к ссылке, предоставленной @joeqwerty, я использовал несколько методов.
Сценарий PowerShell, который запускает и проверяет просроченные учетные записи или пароли, где находятся пользователи, затем подключается к Office365 и блокирует вход для них. Счета. [Обновить], если у вас включен SSPR, вместо блокировки учетной записи вы можете просто сбросить пароль учетной записи на случайный сложный пароль. Таким образом, пользователь может сбросить его локально (через стандартную синхронизацию AD) или с портала SSPR.
Однако совсем недавно мы использовали сквозную передачу AzureAD Connect . Это перемещает аутентификацию обратно на контроллеры домена. Благодаря этому все действия с вашей учетной записью будут соблюдены. Настроить синхронизированные учетные записи невероятно просто. Вы можете соединить это с AzureAD Connect Seamless Sign on , что позволяет AzureAD использовать билеты Kerberos для повышения удобства работы пользователей, когда они находятся в офисе или в сети VPN.