AADクラウドユーザーのパスワード無期限化/確認方法

パスワードが失効すると困るサービス用のアカウントとかに

Azure AD上のクラウドユーザーのパスワードを無期限にする方法、無期限に設定されているか確認する方法のメモです。
オンプレミスのADだとユーザーのプロパティを開いてチェックボックスにチェックを入れるだけで無期限にできますが、365やAADからはできなそうなので手段はPowerShell (+ Azure AD PowerShellモジュール)です。

パスワード無期限化/パスワード無期限確認方法

AAD PowerShellモジュールのインストールについてはこちら

PowerShellモジュールのインストールが済んでいれば、まずはAADにつなぎます。
Connect-AzureAD
管理者の認証情報を入力後、以下cmdletで対象ユーザーのパスワードが無期限に設定されているか確認できます。

対象AADユーザーのパスワードが無期限に設定されているか確認する

実行cmdlet
Get-AzureADUser -ObjectId <対象ユーザーのUPN> | Select-Object UserprincipalName,@{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}
結果
無期限に設定されている場合
UserPrincipalName                                     PasswordNeverExpires-----------------                                     --------------------<対象ユーザーのUPN>                                                      True
無期限に設定されていない場合
UserPrincipalName                  PasswordNeverExpires-----------------                  --------------------<対象ユーザーのUPN>                                  False
AzureADUserオブジェクトを取得して、PasswordPoliciesリストの中に”DisablePasswordExpiration”があるかないかで判定していますね。
他にどんな値がPasswordPolicies内に格納されうるのかは未確認です。

パスワードを無期限にする

Set-AzureADUser -ObjectId <対象ユーザーのUPN> -PasswordPolicies DisablePasswordExpiration

パスワード無期限を解除する

Set-AzureADUser -ObjectId <対象ユーザーのUPN> -PasswordPolicies None
無期限を解除した場合は組織全体のポリシーが適用されます。
365管理ポータルからはOrg Settings (組織の設定)内にあります。

 

AADCでユーザー同期している場合はオンプレミスADのパスワードポリシーが優先されるので、その場合上記作業が必要になるのはAADのクラウドIDのみですね。

Reference

コメント

コメントを投稿

Popular Posts

Outlookの検索フォルダー(Search Folders)配下に未読で件名が空のメールが 沢山ある

見に覚えのない未読メールが数千も? 数千の未読メールが検索フォルダー配下の未読のメールに表示されることがあるそうです。 発生するのはOutlook2013以降。 Outlook の検索フォルダーに、件名が空白の予期しないメール アイテムが表示されます。 – Outlook Outlook 2013、Outlook 2016、Outlook 2019 または Outlook Office 365 ですべてのメール アイテム用の検索フォルダーを作成すると、フォルダーに件名が空白の予期しないアイテムが含まれます。 これらの項目にマウスを移動すると、次の情報が表示されます。 フォルダー内: PersonMetadata PersonMetadata フォルダは、 Outlook Customer Manager (OCM) によって作成および使用されます。 フォルダーは通常、Outlook ユーザー インターフェイスの他の部分から隠されています。 ただし、検索フォルダーには、このフォルダーのメール アイテムが含まれます。 これらの項目には空白の件名がありますが、OCM によってアクティブに使用されているため、削除または変更しないでください。 検索フォルダーの制約により、隠しフォルダー内のメール アイテムが含まれます。 廃止後も、PersonMetaData フォルダーとその中のアイテムは期間限定で使用できます。 このフォルダー内のアイテムを変更または削除すると、アイテムが再作成されたり、新しいアイテムが表示されたりする場合があります。 近い将来にサービスが変更されると、PersonMetaData フォルダーとそのアイテムがサービスから削除されます。 それまでは、次の回避策を使用して、非表示フォルダーのメールアイテムが検索結果に含まれないようにしてください。 [検索フォルダー] を右クリックし、[この検索フォルダーのカスタマイズ] をクリックします。 [参照] をクリックし、[サブフォルダの検索] オプションの選択を解除します。 含めるフォルダを手動で選択します。 要諦 検索フォルダー(Search Folders)下では、通常では見えないPersonMetaDataフォルダーとその中のアイテムが表示されてしまう。これはシステムが利用するものなので消してもまた出てきてしまう...
Read more »

[Exchange] 会議室の予定が主催者の名前になってしまうのが嫌な場合

Teams Roomsシステムとかで使ったり ExchangeやExchange Online上でリソースメールボックスを作り、会議室としてユーザーにOutlookやOWAから予約させたり予定を確認してもらうことがあります。Teams Roomsシステムなど、Teamsと連携した会議室システムの導入も増えてリソースメールボックスの作成も増えてるかもしれません。 Microsoft Teams Rooms 主催者の名前じゃなくて会議のSubject(タイトル)を見せたい デフォルトでリソースメールボックスの予定表は、予約された会議のSubject(タイトル)ではなく、予約者の表示名になります。 これは会議室を確認・予約しようとするユーザーが不特定多数いる場合を考えると、センシティブであったりショッキングな会議タイトルを秘匿できるので有用な設定です。 (”人員削減計画会議”とか”A社買収の計画について”とか見せたくないと思うので) しかし場合によっては予約者ではなく会議のタイトルが見える方がありがたい場合もあります。 そうした場合は会議室であるリソースメールボックスの以下の設定をを変更します。リソースメールボックスとして他にも設定しそうなパラメーターと共に紹介します。 Cmdlet Set-CalendarProcessing <リソースメールボックスの名前> Parameter -BookingWindowInDays 何日後の予定まで予約可能か -MaximumDurationInMinutes 1会議の最長時間を分で -AutomateProcessing 予約を自動で承諾、処理するか 選択肢はNone, AutoUpdate, AutoAccept オンプレミスかExchange Onlineか、GUIかPowerShellでデフォルト値が異なるようです。 -DeleteSubject 予約のSubject(タイトル)を削除するか この値がデフォルトTrueなので作ったまんまだと会議のタイトルはリソースメールボックス上の予定には表示されません。 -AddOrganizerToSubject 予約者の表示名を予約のSubject(タイトル)に追加するか この値がデフォルトTrueなので予約のタイトルには予約...
Read more »

Edge (Chromium版) で個人アカウントでのサインインを禁止する

Edgeに個人アカウントでのサインインをブロックする Block personal accounts from syncing in Microsoft Edge with Microsoft Intune | Peter Klapwijk – In The cloud 24-7 Today another blog post related to the new Microsoft Edge Chromium based browser and managing the browser with Microsoft Intune (Microsoft Endpoint Manager). This time about blocking personal accounts from syncing in Microsoft Edge. In the new Edge browser we have to option to sign-in to the browser and sync data like Favorites, Passwords and more. Chromium版Edge Chromium版のEdgeが数ヶ月前に正式リリースされました。Chromium版になってから動作が速くなったり、シンプルなUIでわりといいんじゃないでしょうか。特に自社Office 365内をインターネットと同じ感覚で検索できるMicrosoft Searchは便利ですね。 こうなってくると社内標準ブラウザーを定めている企業で標準のEdgeへの変更も大分視野に入ってくるのではないでしょうか、特に標準がまだIEだったりすると先がなさそうですからね。 個人的には依然EdgeよりChromeが好きなんですが、Office 365などと使うのにMicrosoft製のブラウザーの方が将来的に安心な気もするので業務利用ならEdgeでもいいかなと思います。 Edgeはサインインできます このEdgeですが、AADアカウントや個人のマイクロソフトアカウントでサインインができます。 ChromeやFirefoxをお使いなら想像がつくかと思いますが、お気に入り、アクセス履歴、パスワードなどをアカウントごとに同期できるので、同一アカウントでサインインすれば会社のEdgeでお気に入りに...
Read more »