Кто-нибудь нашел способ создать пользователя в локальной AD и установить флаг по умолчанию для «Принудительно сбросить пароль при следующем входе в систему», чтобы и этот пароль, и флаг синхронизировались с Azure AD? Мы открыли заявку в службу поддержки Azure при первом развертывании, и нам сказали, что единственный способ сбросить пароль для локальной учетной записи AD Azure AD <> И заставить пользователя сбросить пароль при следующем входе в систему - это сбросьте пароль на портале Azure AD. Если вы это сделаете, он снова синхронизируется с AD и пометит учетную запись AD, чтобы при входе в систему требовался новый пароль. Но попытка сделать это локально просто приведет к сбою синхронизации до Azure.
В результате нам нужно создать наших пользователей локально, подождать 30 минут, затем перейти в Azure и сбросить пароль, чтобы при первом входе пользователя в систему они были вынуждены изменить свой пароль. Очень утомительно.
У нас нет рабочих станций, присоединенных к домену, поэтому у пользователей нет локального способа изменить свой пароль локально. Если мы НЕ помечаем учетную запись для принудительной смены пароля и сброса пароля, она отлично синхронизируется с Azure, и именно так мы создаем их в Azure AD. Но тогда тот, кто установил пароль, знает его, и пользователя не заставляют сбрасывать его, что является плохой практикой. В конечном итоге мой вопрос заключается в том, действительно ли так устроена система, или кто-то видел это и нашел конфигурацию, которая позволит устанавливать / сбрасывать локальный пароль с установленным флагом «Принудить пользователя к сбросу»?