User Anmeldung blockieren

[c-mate]

Hallo, ein user soll daran gehindert werden, sich mit seinem useraccount anzumelden.
Dafür gehe ich ins Office 365 Admin Center --> Aktive Benutzer --> Username --> Anmeldung sperren

Danach ist der user für die Anmeldung blockiert.

Aber das Komische bzw das Problem ist dabei, nach ca. 1 Std. wird diese Blockierung ohne mein Zutun wieder aufgehoben.
Warum?

THX

 

[Asghan]

Was sagt der Microsoft Support dazu?

 

[Masamune2]

Synchronisierst du die Benutzer mit Azure AD Connect von einem lokalen Server? Dann musst du den Account dort sperren sonst überschreibst dir der Sync die Einstellung immer wieder.

 

[c-mate]

Mhm das ist tatsächlich der Fall, mit dem AD Sync hast du völlig recht.
Mit "im lokalen AD sperren" meinst du aber nicht den user deaktivieren, denn das Postfach soll weiter aktiv sein.
Ich könnte in den user Eigenschaften den Account auf "expired" setzen (mit Datum rückwirend auf gestern) und zusätzlich die Logon Hours komplett auf "Logon Denied" setzen.
Oder welchen Weg gibt es im AD einen user zu sperren?

Zusätzlich habe ich auch das Passwort geändet und alle Berechtigungsgruppen entfernt, aber da für die Anmeldung am Notebook die PIN oder Fingerabdruck verwendet wird, reicht das alleine halt nicht aus. Es soll komplett die Anmeldung unterbunden werden, aber gleichzeitig das Postfach weiter aktiv sein.

 

[Zensai]

Sind wir hier in einem "Mitarbeiter verlässt Firma, aber wir brauchen die Mails noch"-Szenario?
In dem Fall willst du dir "Litigation Hold" ansehen, euren Leave-Prozess überarbeiten und anschließend in solchen fällen den Coworker die Mails aussortieren lassen oder die Mailbox in eine Shared Mailbox konvertieren.
Datenschutztechnisch muss da ggf je nach euren Regulierungen der zuständige DSB dabei sein.

Quelle: Perficient. https://blogs.perficient.com/2015/04/30/office-365-how-to-handle-departed-users-part-1-of-2/ (DIe haben übrigens viele hilfreiche Blogposts zum Thema M365)

 

[c-mate]

Nein wir sind in einem "Wir wollen nicht, dass der Mitarbeiter, der sich extern aufhält, anmelden kann" Szenario.
Es geht rein um die Anmeldung (am Notebook oder auch Admin Portal), die unterbunden werden soll.
Liquidation Hold ist übrigens aktiviert.
Ich könnte natürlich auch sein Notebook über Endpoint resetten, aber dann wären die außerhalb des Onedrive lokal gespeicherten Daten weg, sollten welche vorhanden sein.

 

[Zensai]

Aber diese SMTP Adresse muss weiterhin erreichbar sein? Oder braucht ihr die Mailboxinhalte? Wenn ja: Wer braucht die? Müssen die ständig abrufbar sien oder einmalig, muss die SMTP Adresse aktiv bleiben?
Leider sind das ein paar wenig infos. Der richtige weg wäre definitiv das Account Disablen (oder eben das Passwort ändern, zumindest für kurzfristig dadurch bleibt die Mailbox ja auch aktiv). Für alles weitere müsste man euer Szenario besser kennen. (Cloud Mialbox? Oder ist die Mailbox noch onprem? Gibts überhaupt einen Exchange Hybrid?

 

[c-mate]

Ok das würde jetzt vermutlich zu weit führen, aber schon mal vielen Dank.
Der account und das Postfach sollen "ganz normal" weiter bestehen, nur der momentane user soll sich nicht mehr daran anmelden können, hier gibt es Klärungsbedarf.
Die primary mail address soll weiter erreichbar sein und der Inhalt der mailbox soll bestehen bleiben.
Daher ist ein Deaktivieren des Account keine Lösung.
Es handelt sich um Exchange Online.
Die Daten im Onedrive sollen ebenfalls noch bestehen bleiben.
Die Funktion "Anmeldung blockieren" im 365 Admin Center ist genau die richtige, aber leider unnütz, wenn sie durch den AD Sync wieder deaktiviert wird. Leider gibt es diese Funktion nicht in der Form im AD.

Na ja, dann muss PW ändern jetzt halt erst mal ausreichen.

 

[Masamune2]

Die Mailbox eines deaktivieren Benutzers bleibt natürlich bestehen und kann auch weiterhin Mails empfangen. Den Account im lokalen AD deaktivieren ist das korrekte vorgehen.

 

[Kenny [CH]]

Man kann - mit geschickten rules - auch verhindern, dass sich ein nutzter an o365 anmelden kann, wenn dies nicht vom firmennetz kommt - conditional access und so. Habe mich damit aber nie tiefer beschäftigt.

 

[Masamune2]

Für Conditional Access brauchst du aber die passende Lizenz, mindestes mit Azure AD Premium Plan 1.

 

[Kenny [CH]]

Ja und ist das ein Problem? Sonderanforderung und Sonderwünsche erfordern evtl die eine oder andere Anpassungen am System und evtl zusätzliche Lizenzen. Ich sage nicht das dies die einzige Lösung ist. Geo IP Blocking etc PP alle das wäre möglich mit Conditional Access.

 

[c-mate]

Die Mailbox eines deaktivieren Benutzers bleibt natürlich bestehen und kann auch weiterhin Mails empfangen. Den Account im lokalen AD deaktivieren ist das korrekte vorgehen.

Bist du dir da sicher?
Der Benutzer ist die grundlegende Basis und wenn der deaktiviert wurde, dann macht es doch eigentlich keinen Sinn, wenn seine Mailadresse weiterhin aktiv ist?

 

[BlubbsDE]

Ja sicher. Warum sollte das deaktivieren im AD sein Postfach sperren? Da fehlt es dem Admin aber an grundsätzlichem.

 

[Kenny [CH]]

Mailbox bleibt aktiv nur er kann sich nicht mehr anmelden / keiner kann mit diesem Account anmelden -> Lese/Sende Berechtigung sind nicht betroffen.
Wichtig ist nur - du darfst nicht die O365 Lizenz auf dem User entfernen - er braucht mindestens eine Exchange Online Plan 1 oder 2, Office 365 Lizenz zugewiesen, damit der Online Exchange funktioniert.
Ohne Lizenz -> Mail werden abgewiesen vom Exchange!

 

[Masamune2]

Doch das geht. Wenn andere Benutzer Zugriff auf die Mailbox haben können sie die Mails auch immer noch lesen und sofern die Berechtigungen dafür gegeben sind auch damit senden. Der Benutzer muss dazu natürlich auch seine Lizenz behalten.

 

[c-mate]

Alles klar, danke!