У нас есть несколько учетных записей для долгосрочных заменителей, которые создаются с истечением срока действия на их счетах. В настоящее время мы используем Office 365 с ADConnect для синхронизации учетных записей AD.
Я обнаружил, что Office 365 игнорирует атрибут accountExpires и продолжает разрешать доступ. Единственный способ остановить доступ - удалить или отключить учетную запись. Я разговаривал с Microsoft, и они сказали, что не планируют заниматься этим.
Кто-нибудь еще испытал это и нашел обходной путь?
В дополнение к ссылке, предоставленной @joeqwerty, я использовал несколько методов.
Сценарий PowerShell, который запускает и проверяет просроченные учетные записи или пароли, где находятся пользователи, затем подключается к Office365 и блокирует вход для этих учетных записей. [Обновить], если у вас включен SSPR, вместо блокировки учетной записи вы можете просто сбросить пароль учетной записи на случайный сложный пароль. Таким образом, пользователь может сбросить его локально (через стандартную синхронизацию AD) или с портала SSPR.
Однако совсем недавно мы использовали Транспортировка AzureAD Connect. Это перемещает аутентификацию обратно на контроллеры домена. Благодаря этому все действия с вашей учетной записью будут соблюдены. Настроить с синхронизированными учетными записями невероятно просто. Вы можете соединить это с Простой вход в AzureAD Connect который позволяет AzureAD использовать билеты Kerberos для лучшего взаимодействия с пользователями, когда они находятся в офисе или в сети VPN.