我们为长期替代人员创建了多个帐户,这些帐户都有到期日期。我们目前使用 Office 365 和 ADConnect 来同步 AD 帐户。
我发现的问题是 Office 365 忽略了 accountExpires 属性并继续允许访问。停止访问的唯一方法是删除或禁用该帐户。我已与 Microsoft 进行了交谈,他们表示没有计划解决这个问题。
还有其他人遇到过这种情况并找到了解决方法吗?
答案1
除了@joeqwerty 提供的链接之外,我还使用了几种方法。
PowerShell 脚本运行并检查过期的帐户或密码,如果发现用户,它将连接到 Office365 并阻止这些帐户的登录。[更新] 如果您启用了 SSPR,则可以将帐户密码重置为随机复杂密码,而不是阻止帐户。这样,用户可以在本地重置它(通过标准 AD 同步),或者从 SSPR 门户重置它。
然而,最近我们一直在使用AzureAD 连接直通。这会将身份验证移回您的域控制器。有了这个,您的所有帐户操作都会得到尊重。使用同步帐户进行设置非常简单。您可以将其与AzureAD Connect 无缝登录这允许 AzureAD 使用 Kerberos 票证,为您的用户在办公室或使用 VPN 时提供更好的用户体验。