オンプレミスADユーザーが同期を介してOffice 365オンラインアカウントにサインインするのをブロックする方法
Microsoft 365管理ポータル(Azure)で、「????このユーザーをブロックする」オプションを使用して、アクティブユーザーのサインインをブロックできます。
ただし、オンプレミスのActive Directoryサーバーが365までのユーザーベースを同期すると、このオプションは上書きされ、そのユーザーは再度サインインできます。
Microsoft 365に表示される[このユーザーをブロックする]オプションと一致するように、ユーザーオブジェクトのオンプレミスActive Directoryサーバーに設定する必要がある属性は何ですか?この設定を見つけたら、値は365まで同期し、そこに保持されると思います。
私が試したこと:
- オンプレミスのADユーザーアカウントを無効としてマークします(同期後、365で影響はありません);
- ユーザーアカウントをADフォルダーの特別な/カスタムの「無効なユーザー」フォルダーに移動すると、アクティブユーザーがサインインするのを単に禁止するのではなく、365が代わりにユーザーを365の削除済みユーザー領域に移動します。
オンプレミスのユーザーアカウントを無効にすると、Office 365のサインインがブロックされます。無効になっていない場合は、次の同期サイクルを待機していないか、Azure AD Connectの構成が誤っています。オンプレミスのユーザーアカウントを再度無効にし、Azure AD Connectサーバーの管理者特権のPowershellプロンプトから次を実行します:Start-ADSyncSyncCycle -PolicyType Delta。次に、Office 365のサインインステータスを確認します。それでもサインインがブロックされない場合は、Office 365管理ポータルからMicrosoftのサポートケースを開きます。これは無料で、MSが問題のトラブルシューティングを行います。
それを除けば、オンプレミスユーザーアカウントのadminDescription属性をUser_NoAzureADSyncに設定することで、オンプレミスユーザーアカウントをOffice 365ユーザーアカウントから「リンク解除」できます。
これにより、2つのアカウントのリンクが実質的に解除され、Office 365ユーザーアカウントが削除されます。削除されたユーザーアカウントのOffice 365のデータもすべて削除されますが、必要に応じて、30日以内にアクセスして、アカウントを「再リンク」することができます。