Azure AD: EnforceCloudPasswordPolicyForPasswordSyncedUsers не работает для существующего клиента - PullRequest
Новая
       43

Azure AD: EnforceCloudPasswordPolicyForPasswordSyncedUsers не работает для существующего клиента

0 голосов
/ 04 августа 2020

В настоящее время мы тестируем функцию EnforceCloudPasswordPolicyForPasswordSyncedUsers (https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-password-hash-synchronization#public -preview-of-the-enforcecloudpasswordpolicyforpasswordsyncedusers-feature ), которая позволяет клиенту соблюдать политику Azure срока действия пароля AD, когда срок действия пароля пользователя истек.

По умолчанию, если клиент использует пароль Ha sh Synchronization (PHS), значение DisablePasswordExpiration устанавливается для каждого пользователя. Это означает, что если срок действия пароля истек на месте, пользователь по-прежнему может использовать любые интегрированные службы Azure AD. Поскольку мы хотим, чтобы они соответствовали политике истечения срока действия пароля, установленной в AD / AAD, мы хотим, чтобы эта функция была настроена.

У меня эта функция работает в среде LAB с демонстрационным клиентом M365. Ситуация LAB: 1 сервер AAD Connect - 1 клиент M365 - PHS включен - Specifi c OU синхронизировано - функция ForcePasswordChangeOnLogOn включена Когда я создаю нового пользователя с включенной функцией, он устанавливает значение DisablePasswordExpiration, когда Я инициирую смену пароля локально, он меняет значение с DisablePasswordExpiration на None, как и ожидалось.

Теперь проблема в среде разработки клиента. Ситуация: 1 сервер AAD Connect - 1 клиент M365 - PHS включен - Specifi c OU синхронизировано - функция ForcePasswordChangeOnLogOn включена Когда я создаю нового пользователя, для него не устанавливается никакого значения. У него должен быть установлен DisablePasswordExpiration, но его нет. Когда я инициирую синхронизацию c между локальной системой и AAD, значение не отображается. Когда я изменяю пароль локально для существующего пользователя с установленным значением DisablePasswordExpiration, он меняет значение на «None». Таким образом, в приведенном выше сценарии функция не работает для вновь созданных пользователей, но работает для существующих пользователей.

Функция EnforceCloudPasswordPolicyForPasswordSyncedUsers включена в обоих случаях.

...