オンプレAD でユーザーアカウントがロックアウトされたり、ユーザーアカウントを無効化とすると、Azure AD 上の同期ユーザーも認証が行われなくなります。
その具体的な動作をまとめました。
1. オンプレ AD でユーザー アカウントがロック アウト or 無効化される
2. AADC の同期によって、無効化状態が Azure AD に連携されます。
Synchronization Service Manager で同期処理されるユーザーを確認すると、userAccountControl が ”514” として連携されていることが確認できます。
512 (NORMAL_ACCOUNT) + 2 (ACCOUNTDISABLE) = 514 ということ。
3. Azure AD 上の同期ユーザーの accountEnabled 属性が “False“ に設定される
上記の AADC の同期処理によって、Azure AD 上の同期ユーザーの属性 "accountEnabled" が True -> False に変更されます。
Azure ポータル上で対象のユーザー アカウントを確認すると、“サインインのブロック” - “はい” に変更されていることが確認できます。
