在 Microsoft 365 管理门户 (Azure) 中,我可以使用“
答案1
禁用本地用户帐户将阻止 Office 365 登录。如果没有,则说明您没有等待下一个同步周期,或者您以某种方式错误配置了 Azure AD Connect。再次禁用本地用户帐户,并从 Azure AD Connect 服务器上的提升的 Powershell 提示符运行以下命令:Start-ADSyncSyncCycle -PolicyType Delta
。然后检查 Office 365 中的登录状态。如果登录仍未被阻止,请从 Office 365 管理门户向 Microsoft 提交支持案例。它是免费的,MS 将与您一起解决问题。
除此之外,您可以通过将本地用户帐户上的 adminDescription 属性设置为 来“取消链接”本地用户帐户与 Office 365 用户帐户User_NoAzureADSync
。
这将有效地“取消”两个帐户的链接,并删除 Office 365 用户帐户。请注意,已删除用户帐户在 Office 365 中的所有数据也将被删除,但您有 30 天的时间访问这些数据,并且有 30 天的时间“重新链接”帐户(如果您愿意)。
答案2
迟到三年总比没有好!即使安装了 Azure AD Connect 的“原始版本”,我们的域也遇到了同样的问题 — 在 AD 中禁用的用户的 M365 用户登录没有被阻止,并且手动阻止的用户在下一次 Azure AD Connect 同步时被恢复。
不确定是否因为我们曾经在环境中安装了较旧的 DirSync 和/或 Azure AD Sync 工具。无论如何,这对我们来说是修复方法:
- 更新 Azure AD Connect 到最新版本
- 不要跳过这个步骤,这是为我们解决问题的部分之一。
- 打开 Azure AD Connect同步规则编辑器应用程序
- 选择入站选项方向筛选
- 选择添加新规则按钮
- 在描述步骤,输入以下内容,然后选择下一个按钮:
- 互联系统:选择您的本地 AD 域
- 已连接系统对象类型: 选择用户从下拉菜单中
- Metaverse 对象类型: 选择人从下拉菜单中
- 优先级:输入 100 以下的任意值(默认值
0
即可)
- 在范围筛选器步骤,执行以下操作,然后选择下一个按钮:
- 选择添加组按钮
- 选择添加子句按钮
- 在新创建的子句中,输入以下内容(语境):
- 属性: 选择用户帐户控制从下拉菜单中
- 操作员: 选择信息安全局从下拉菜单中
- 价值: 进入
2
- 在连接规则步骤,不执行任何操作并选择下一个按钮
- 在变换步骤,执行以下操作,然后选择添加按钮:
- 选择添加变换按钮
- 在新创建的转换中,输入以下内容:
- 流类型: 选择持续的从下拉菜单中
- 目标属性: 选择已启用帐户从下拉菜单中
- 来源: 进入
False
完成上述操作后,运行完全同步:
- 在具有 Azure AD Connect 的服务器上,打开管理员 PowerShell 会话
- 运行以下命令:
Start-ADSyncSyncCycle -PolicyType Initial
完成上述操作后,每当关联的本地 AD 用户被禁用时,M365/Azure AD 中的用户的登录都会被自动阻止。
答案3
首先,我要感谢 Micah Yeager 提供的解决方案!我们按照您的教程操作,效果非常好!
准确地说:我们在步骤5的描述中将链接类型设置为“加入”。
谢谢大家!