Office365では、パスワードポリシーとして「8-16文字」「大文字小文字混在」「1文字以上の数字/記号」「有効期限90日」「過去1世代使用不可」「ユーザ名を含めない」などが設定されております。
ただし、運用上パスワードの変更周期を無期限(もしくは、管理者側のタイミングに)設定したい場合が有ります。例えば、ディレクトリ同期ツールに設定された管理用アカウントなどです。PowerShellでアクセスして、特定アカウントのパスワードの有効期限を変更することができます。
Category Archives: Work
ディレクトリ同期ツールの同期間隔の変更
※注:このアーティクルの内容はMicrosoftよりサポートされていない手法になります。
Office365のディレクトリ同期ツールは、標準での同期間隔が3時間になっています。これにより、ローカルで作成したアカウントや変更したグループのメンバーシップの情報がOffice365側に同期されるまで、最大で約3時間のタイムラグが生じます。
BPOS時代のドキュメントですが、Microsoftの ディレクトリ同期を強制実行する を参照にして、%programfiles%Microsoft Online Directory SyncMicrosoft.Online.DirSync.Scheduler.exe.Config の内容を変更することにより、これを制御可能です。
Office365ディレクトリ手動同期スクリプト(リモート / WSH)
リモートで手動ディレクトリ同期の実行命令を出すスクリプトです。ディレクトリ同期サーバにPowerShell2.0を入れるのが一番楽な気もしますが、なるべくデフォルトのMicrosoftの環境をいじらないというポリシーなら、ということで。
Office365ディレクトリ手動同期スクリプト(PowerShell)
Office365のディレクトリ同期サービスでインストールされたCoexistence-Configurationスナップインを追加して、Start-Online-CoexistenceSync コマンドレットを叩くだけですけど。
Office365のディレクトリ同期で特定アカウントを非同期にする
※この手法はMicrosoftによりサポートされておりません
Office365のディレクトリ同期ツールを利用すると、ローカルのActive Directoryからユーザやグループの情報がOffice365側に同期されます。
この時、対象となるOUなどを絞ることはできず、フォレスト全体を対象として同期が実施されますが、一部条件に該当するのアカウント(例えば、isCriticalSystemObjectがTrueのオブジェクトなど)は同期されず、結果的にほとんどのビルトインアカウント(AdministratorやDomain Adminsなど)は同期されません。
しかし、DnsUpdateProxyグループやディレクトリ同期ツール専用のアカウントなど、同期する必要は無いのに同期されてしまっている物があって気持ち悪いと感じる方の為に、フィルタリングする方法を紹介します。
Office365のディレクトリ同期で残ったゴミを削除する
※この手法はMicrosoft社によってサポートされていません。
テスト用に作った検証環境から本番環境への移行や、Active Directoryのロールバックなどにより、ローカルのActive Directory上に無いユーザがOffice365側に残ってしまうことがあります。通常の利用の中ではなかなか発生しませんが、一度発生してしまうとなかなかハマってしまう事象です。
Office365を独自ドメインで利用する
登録時に作成されるxxxxx.onmicrosoft.comではなく、ログインIDやメールアドレスとして自社の所有するドメインを利用したい場合の手順です。(Office365オープンベータ版での手順です。詳しくて分かりやすいページが既にいくつか公開されてますが、5月中旬くらいに認証方法が変わったので、その方法をメモ代わりに。8月に確認したところ認証用のレコード名が一部変更になっていたので変更します)