Уведомление об истечении срока действия пароля Azure AD B2C

Question

У нас есть множество арендаторов Azure B2C - около 30. Мы заметили - и клиенты теперь жалуются - что пароли «кажутся» истекающими.Однако уведомление об истечении срока действия пароля не отправляется.(Это в дополнение к сообщению об ошибке B2C для паролей с истекшим сроком действия «Неверное имя пользователя или пароль», не очень информативное).

Это локальные учетные записи, для входа в которые используется адрес электронной почты.Есть ли какие-либо подсказки о том, почему до истечения срока действия пароля не отправляются уведомления (электронные письма)?

Обратите внимание, что, очевидно, что для B2C нет политики истечения срока действия пароля:

https://feedback.azure.com/forums/169401-azure-active-directory/suggestions/16861060-aadb2c-password-expiration

Это данные, возвращаемые с B2CGraphClient:

{
  "odata.type": "Microsoft.DirectoryServices.User",
  "objectType": "User",
  "objectId": "<redacted objectid>",
  "deletionTimestamp": null,
  "accountEnabled": true,
  "ageGroup": null,
  "assignedLicenses": [],
  "assignedPlans": [],
  "city": null,
  "companyName": null,
  "consentProvidedForMinor": null,
  "country": null,
  "createdDateTime": "2018-03-08T00:46:29Z",
  "creationType": "LocalAccount",
  "department": null,
  "dirSyncEnabled": null,
  "displayName": "Super Admin",
  "employeeId": null,
  "facsimileTelephoneNumber": null,
  "givenName": null,
  "immutableId": null,
  "isCompromised": null,
  "jobTitle": null,
  "lastDirSyncTime": null,
  "legalAgeGroupClassification": null,
  "mail": null,
  "mailNickname": "<redacted other id>",
  "mobile": null,
  "onPremisesDistinguishedName": null,
  "onPremisesSecurityIdentifier": null,
  "otherMails": [],
  "passwordPolicies": null,
  "passwordProfile": null,
  "physicalDeliveryOfficeName": null,
  "postalCode": null,
  "preferredLanguage": null,
  "provisionedPlans": [],
  "provisioningErrors": [],
  "proxyAddresses": [],
  "refreshTokensValidFromDateTime": "2018-06-11T16:53:48Z",
  "showInAddressList": null,
  "signInNames": [
    {
      "type": "emailAddress",
      "value": "<redacted email address>"
    }
  ],
  "sipProxyAddress": null,
  "state": null,
  "streetAddress": null,
  "surname": null,
  "telephoneNumber": null,
  "thumbnailPhoto@odata.mediaEditLink": "directoryObjects/<redacted objectid>/Microsoft.DirectoryServices.User/thumbnailPhoto",
  "usageLocation": null,
  "userIdentities": [],
  "userPrincipalName": "<redacted other id>@<redacted tenant>.onmicrosoft.com",
  "userState": null,
  "userStateChangedOn": null,
  "userType": "Guest"
}

Вот данные, возвращаемые с Get-MSOLUser:

ExtensionData                          : System.Runtime.Serialization.ExtensionDataObject
AlternateEmailAddresses                : {}
AlternateMobilePhones                  : {}
AlternativeSecurityIds                 : {}
BlockCredential                        : False
City                                   :
CloudExchangeRecipientDisplayType      :
Country                                :
Department                             :
DirSyncProvisioningErrors              : {}
DisplayName                            : Super Admin
Errors                                 :
Fax                                    :
FirstName                              :
ImmutableId                            :
IndirectLicenseErrors                  : {}
IsBlackberryUser                       : False
IsLicensed                             : False
LastDirSyncTime                        :
LastName                               :
LastPasswordChangeTimestamp            : 6/11/2018 4:53:48 PM
LicenseReconciliationNeeded            : False
Licenses                               : {}
LiveId                                 : <redacted id>
MSExchRecipientTypeDetails             :
MobilePhone                            :
ObjectId                               : <redacted objectid>
Office                                 :
OverallProvisioningStatus              : None
PasswordNeverExpires                   :
PasswordResetNotRequiredDuringActivate :
PhoneNumber                            :
PortalSettings                         :
PostalCode                             :
PreferredDataLocation                  :
PreferredLanguage                      :
ProxyAddresses                         : {}
ReleaseTrack                           :
ServiceInformation                     : {}
SignInName                             : <redacted other id>@<tenant>.onmicrosoft.com
SoftDeletionTimestamp                  :
State                                  :
StreetAddress                          :
StrongAuthenticationMethods            : {}
StrongAuthenticationPhoneAppDetails    : {}
StrongAuthenticationProofupTime        :
StrongAuthenticationRequirements       : {}
StrongAuthenticationUserDetails        : Microsoft.Online.Administration.StrongAuthenticationUserDetails
StrongPasswordRequired                 :
StsRefreshTokensValidFrom              : 6/11/2018 4:53:48 PM
Title                                  :
UsageLocation                          :
UserLandingPageIdentifierForO365Shell  :
UserPrincipalName                      : <redacted other id>@<tenant>.onmicrosoft.com
UserThemeIdentifierForO365Shell        :
UserType                               : Guest
ValidationStatus                       : Healthy
WhenCreated                            : 3/8/2018 12:46:29 AM

Answer 1

Я считаю, что срок действия паролей истекает, потому что локальные учетные записи были созданы без свойство passwordPolicies , установленное на DisablePasswordExpiration.

Следовательно, срок действия паролей истекает после90 дней и, к сожалению, затронутые конечные пользователи не уведомляются об этом.

Если локальная учетная запись создается с использованием встроенной политики, то эта политика устанавливает для этого свойства значение DisablePasswordExpiration.

Если локальная учетная запись создается с использованием настраиваемой политики или API-интерфейса Azure AD Graph, для свойства необходимо установить значение DisablePasswordExpiration.

Для API-интерфейса Azure AD Graph см. Создайте учетные записи пользователей раздел из Azure AD B2C: используйте API Azure AD Graph статья , например,

Комуисправить это, возможно, вам придется:

1. ПАТЧИРОВАТЬ все локальные учетные записи, чтобы установить для свойства passwordPolicies значение DisablePasswordExpiration.
2. .затронутым конечным пользователям, что они должны сбросить пароли.