onkel-ossi
Goto Top

Account sperrt sich immer wieder durch unbekannte O365-Anmeldungen

Moin,

ich habe das Problem, dass sich ein Nutzer-Account hier bei uns immer wieder automatisch sperrt.
Der Account liegt in unserem AD und synchronisiert sich mit der O365-Umgebung.

Soweit ich es nachvollziehen kann scheinen hierfür Anmeldungen von Microsoft-Rechnern verantwortlich zu sein. Zumindest zeigt mir die Auswertung der Log-Files beispielswiese folgende Client-Namen:

The 'domain.dom\mein.benutzer' user account is locked. Some of the following applications and services may be using this account with an invalid password:  

on AM6PR08MB4454
Unable to connect to the workstation.

on HE1PR0801MB1739
Unable to connect to the workstation.

on VI1PR0801MB1741
Unable to connect to the workstation.

Gibt es eine Möglichkeit heraus zu finden woher diese Anmeldeversuche kommen?
Ich meine ausschliessen zu können, dass die fehlerhaften Logins durch den User selbst erfolgen bzw. eine App oder Anwendung die von dem Nutzer verwendet wird dafür verantwortlich ist.

Ein zurücksetzen des Kennworts auf das vorherige hat vorübergehend geholfen, jetzt aber auch nicht mehr (und ist natürlich keine Option).
Für den User ist die Zweifaktor-Authentifizierung aktiviert, ich dachte eigentlich, dass ich so Account-Sperren verhindern kann.

Leider handelt es sich um einen "Prio-A"-Account und das ändern des Anmeldenamens möchte ich eigentlich umgehen.

Bin für eure Tipps dankbar
Thomas

Content-ID: 652473

Url: https://administrator.de/forum/account-sperrt-sich-immer-wieder-durch-unbekannte-o365-anmeldungen-652473.html

Ausgedruckt am: 30.12.2024 um 18:12 Uhr

psannz
psannz 15.02.2021 um 11:40:24 Uhr
Goto Top
Sers,

hast du alle Smartphones und Tablets des "Prio-A"-Accounts schon auf das korrekte Passwort für die Emailkonten geprüft?
Klassiker: "Prio-A" gibt das "alte" iPad an die Kinder weiter, ohne die Zugangsdaten für die Geschäftsaccounts zu entfernen. Die eigene IT wird darüber selbstverständlich genauso wenig informiert wie die Buchhaltung ;)

Grüße,
Philip
onkel-ossi
onkel-ossi 15.02.2021 um 17:42:45 Uhr
Goto Top
Hallo Philip,

das wird es am Ende vermutlich sein - irgendein Gerät versucht es noch, aber gibt es keine Möglichkeit mehr Infos überdiese Versuche zu erhalten?

Mir würde ja schon ein Client-Typ, ein Betriebs-System, eine Anwendung oder zur Not auch nur eine IP reichen um weitere Ansätze zu bekommen.

Ganz ehrlich kann es doch auch nicht sein, dass ich Accounts durch solche Maßnahmen dauerhaft blockieren kann und der Admin keine Chance hat etwas dagegen zu unternehmen.
psannz
psannz 15.02.2021 um 17:59:37 Uhr
Goto Top
Mal in den AzureAD Logs nachgelesen? Log Analytics Workplace in Azure aktiviert?
Da steht eigentlich alles drin.
Pjordorf
Pjordorf 17.02.2021 um 03:17:14 Uhr
Goto Top
Hallo,

Zitat von @onkel-ossi:
das wird es am Ende vermutlich sein - irgendein Gerät versucht es noch, aber gibt es keine Möglichkeit mehr Infos überdiese Versuche zu erhalten?
Stehen die Rechnernamen nicht oben?
AM6PR08MB4454
HE1PR0801MB1739
VI1PR0801MB1741

Gruß,
Peter