Não há uma boa maneira de fazer isso. Você tem algumas opções (que não são realmente soluções, pois elas não corrigem o problema real) que permitirão reduzir as conseqüências de isso, mas nenhum deles resolverá completamente o problema. Aqui está o que nós reduzimos a isso, e no que finalmente recorremos, em nossa organização:
A) Increase the threshold of invalid attempts; gostamos de manter o nosso bastante alto (50 agora), pois algumas pessoas podem não verificar o telefone por um longo período (digamos, de 4 a 8 horas ou mais) de tempo e enquanto não podemos garantir que eles irão verificar antes que o limite os bloqueie, podemos pelo menos tentar aumentar a quantidade de tempo que eles têm antes de serem bloqueados por ter um alto limite de bloqueio.
B) Set up a script (VB or PowerShell) that emails users warning them that their passwords are about to expire; você também pode incluir um lembrete neste e-mail de que precisará alterar a senha em seus telefones depois que eles forem alterados em seus computadores. Novamente, esse método funciona apenas parcialmente, já que tenho certeza que você pode adivinhar. Eu ficaria feliz em fornecer-lhe o código PowerShell que eu usei para fazer isso, se quiser, é só me avisar.
C) Exclude the group of users who use EAS from the lockout policy; Isso anula todo o propósito da política de bloqueio e é um grande risco de segurança, por isso não é algo que eu recomendaria, mas, no entanto, é uma alternativa / opção.
Aparentemente, o TMG 2010 SP2 e superior agora tem um recurso de bloqueio de conta por isso , mas se você não estiver usando o TMG, isso é irrelevante.