[Microsoft 365] ForcePasswordChangeOnLogOn 기능 설정

하이브리드 ID PHS 환경의 ForcePasswordChangeOnLogOn 기능 설명에 대해 포스팅합니다.​

일반적으로 Only Cloud(M365) 환경에서 계정을 생성한 후 사용자가 해당 계정으로 최초 로그인 시 비밀번호를 변경하게 하려면 아래 화면에 나타나는 "이 사용자가 처음 로그인할 때 암호를 변경하도록 설정" 옵션을 선택합니다.

​하지만 M365 Hybrid 환경에서 AD 동기화된 계정에 대해 "다음 로그온 시 사용자가 반드시 암호를 변경해야 함" 을 선택하더라도 M365 서비스에 로그인 시 암호 변경을 요구하는 화면이 나타나지 않습니다.

​

ForcePasswordChangeOnLogOn 기능을 활성화하면 동기화된 사용자에 대해 M365 에서도 다음 로그인 시 암호를 변경할 수 있도록 지원합니다.

전제 조건은 해당 테넌트에서 반드시 SSPR이 설정되어 있어야 하고, AADC 상에서 Password Writeback 기능이 활성화되어야 합니다. 이는 사용자가 SSPR을 통해 비밀번호를 변경하는 경우 Active Directory에 동기화되도록 하기 위한 것이기에 선행되어야 합니다.

ForcePasswordChangeOnLogOn 기능은 기본적으로 False 상태입니다.

Graph PowerShell 모듈을 사용하여 다음 명령을 실행하여 이 기능을 활성화할 수 있습니다.

 

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization $OnPremSync.Features.UserForcePasswordChangeOnLogonEnabled = $true ​ Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $OnPremSync.Id -Features $OnPremSync.Features

​

이 기능은 AADC 서버의 PowerShell에서도 조회 및 활성화할 수 있습니다.​

• Get-ADSyncAADCompanyFeature​

이후 다음 명령을 통해 기능을 활성화 합니다.

• Set-ADSyncAADCompanyFeature -ForcePasswordChangeOnLogOn $true

이 업데이트 내용이 적용되기까지는 약 30분~1시간 정도 소요됩니다.

​반영이 완료되면 동기화된 계정으로 M365 서비스에서 다음 로그인 시 암호를 변경하도록 요구하는 화면을 볼 수 있습니다.

이상입니다.