Além do link fornecido por @joeqwerty, há alguns métodos que usei.
O script do PowerShell que é executado e verifica contas expiradas ou senhas, onde os usuários são encontrados, se conectará ao Office365 e bloqueará o login para essas contas. [Atualizar] se você tiver o SSPR ativado, em vez de bloquear a conta, basta redefinir a senha da conta para uma senha complexa aleatória. Dessa forma, o usuário pode redefinir o local (via sincronização padrão do AD) ou a partir do portal SSPR.
Mais recentemente, no entanto, estamos usando o AzureAD Connect Passthrough . Isso move a autenticação de volta para seus controladores de domínio. Com isso, todas as ações da sua conta são honradas. É incrivelmente fácil de configurar com contas sincronizadas. Você pode emparelhá-lo com AzureAD Connect Seamless Sign on , que permite que o AzureAD use os tíquetes Kerberos para melhor experiência do usuário para seus usuários quando eles estiverem no escritório ou na VPN.