如何阻止网上广告用户通过同步登录到Office 365在线帐户？

Question

在Microsoft 365 Admin Portal (Azure)中，我可以阻止活动用户使用“阻止此用户”选项进行签名，如图所示：

但是，当我们的our服务器同步我们的用户名时，这个选项将被覆盖，并且允许该用户再次登录。

我需要在用户对象上的on服务器中设置哪些属性来匹配Microsoft 365中看到的“阻止此用户”选项？我认为当我发现这个设置时，这个值将同步到365并被保存在那里。

我试过的是：

1. 将on-prem AD用户帐户标记为禁用(同步后365不起作用)；
2. 将用户帐户移动到AD文件夹中的一个特殊/自定义“禁用用户”文件夹，但它会导致365将用户移动到365的已删除用户区域，而不是简单地禁止该活动用户登录。

Answer 1

禁用现场用户帐户将阻止Office 365登录。如果不是，那么您就没有等待下一个同步周期，或者您以某种方式错误地配置了Azure AD Connect。再次禁用现场用户帐户，并在Azure服务器上的提升的Powershell提示符中运行以下命令：Start-ADSyncSyncCycle -PolicyType Delta。然后在Office 365中检查登录状态。如果登录仍然没有被阻止，那么从Office 365管理门户打开Microsoft的支持案例。这是免费的，MS会解决您的问题。

否则，您可以通过将Office帐户上的adminDescription属性设置为User_NoAzureADSync，从Office 365用户帐户“取消”Office帐户的“链接”。

这将有效地“取消”这两个帐户的链接，并将删除Office 365用户帐户。请注意，Office 365中有关已删除用户帐户的任何数据也将被删除，但如果您愿意的话，您将有30天的时间访问它，并有30天的时间“重新链接”帐户。

Answer 2

迟到三年总比没有好！我们的域名也遇到了同样的问题，即使是使用“普通”安装的Azure and -在AD中禁用的用户没有M365用户的登录，并且手动阻止的用户在下一个Azure and同步上被恢复。

不确定是因为我们曾经在环境中安装了较旧的DirSync和/或Azure工具。无论如何，这是我们的解决办法：

1. 更新Azure连接到最新版本的
   • 不要跳过这一步，这是为我们解决问题的关键之一。

2. 打开Azure AD Connect的同步规则编辑器应用程序
3. 在方向筛选器上选择入站选项
4. 选择“添加新规则”按钮
5. 在描述步骤中，输入以下内容，然后选择Next按钮：
   • 连接系统:选择本地AD域
   • 连接系统对象类型:从下拉列表中选择用户
   • 元对象类型:从下拉列表中选择person
   • 优先顺序:输入低于100的任何值( 0的默认值很好)

6. 在作用域筛选步骤上，执行以下操作，然后选择Next按钮：
   1. 选择“添加组”按钮
   2. 选择Add子句按钮
   3. 在新创建的子句中，输入以下(上下文)：
      • 属性:从下拉列表中选择userAccountControl
      • 运算符:从下拉列表中选择ISBITSET
      • 值:输入2

7. 在联接规则步骤中，不做任何操作，并选择Next按钮。
8. 在转换步骤中，执行以下操作，然后选择Add按钮：
   1. 选择Add转换按钮
   2. 在新创建的转换中，输入以下内容：
      • FlowType:从下拉列表中选择常量
      • 目标属性:从下拉列表中选择accountEnabled
      • 来源:输入False

完成上述操作后，运行完全同步：

1. 在具有Azure的服务器上，打开管理员PowerShell会话
2. 运行以下命令: Start-ADSyncSyncCycle

一旦完成上述操作，M365 / Azure中的用户将在相关的本地AD用户被禁用时自动阻止他们的登录。

Answer 3

首先，我要感谢弥迦·耶格尔的解决方案！我们遵循你的教程，它的工作就像一个魅力！

准确地说:在第5步描述中，我们将链接类型设置为"Join“。

谢谢大家！