Назад | Перейти на главную страницу

Как запретить локальному пользователю AD входить в свою учетную запись Office 365 через синхронизацию?

На портале администрирования Microsoft 365 (Azure) я могу заблокировать вход активного пользователя в систему с помощью параметра «🚫 Заблокировать этого пользователя», как показано на рисунке:

Однако, когда наш локальный сервер Active Directory синхронизирует нашу базу пользователей до 365, эта опция отменяется, и этому пользователю разрешается входить снова.

Какой атрибут мне нужно установить на нашем локальном сервере Active Directory для объекта пользователя, чтобы он соответствовал параметру «Заблокировать этого пользователя» в Microsoft 365? Думаю, когда я узнаю об этом параметре, значение синхронизируется до 365 и будет там сохраняться.

Что я пробовал:

  1. отметка локальной учетной записи пользователя AD как отключенной (не действует в 365 после синхронизации);
  2. Перемещение учетной записи пользователя в специальную / настраиваемую папку «Disabled Users» в нашей папке AD, но это приводит к тому, что 365 вместо этого перемещает пользователя в область «Удаленные пользователи» 365 вместо того, чтобы просто запретить этому активному пользователю вход в систему.

Отключение локальной учетной записи пользователя заблокирует вход в Office 365. Если это не так, вы не дождались следующего цикла синхронизации или каким-то образом неправильно настроили Azure AD Connect. Снова отключите локальную учетную запись пользователя и выполните следующее из командной строки Powershell с повышенными привилегиями на сервере Azure AD Connect: Start-ADSyncSyncCycle -PolicyType Delta. Затем проверьте статус входа в Office 365. Если вход по-прежнему не заблокирован, откройте запрос в службу поддержки Microsoft на портале управления Office 365. Это бесплатно, и MS решит проблему вместе с вами.

Запретив это, вы можете «отсоединить» локальную учетную запись пользователя от учетной записи пользователя Office 365, установив для атрибута adminDescription в локальной учетной записи пользователя значение User_NoAzureADSync.

Это эффективно «разорвет связь» между двумя учетными записями и удалит учетную запись пользователя Office 365. Обратите внимание, что любые данные в Office 365 для удаленной учетной записи пользователя также будут удалены, но у вас будет 30 дней для доступа к ним и 30 дней для «повторного связывания» учетных записей, если вы того пожелаете.