¿"La contraseña nunca caduca" está atenuada?

Es posible que necesitesCree una política de contraseñas detallada

Primero, asegúrese de haber creado la VM de administración:

https://docs.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-create-management-vm

Puede configurar las políticas de contraseña en el dominio abriendo el "Centro administrativo de Active Directory yCree políticas de contraseña detalladas. Puede encontrar una guía aquí:

https://activedirectorypro.com/create-fine-grained-password-policies/

Sin embargo, si los usuarios inician sesión en O365 utilizando sus cuentas de Azure AD, entonces la investigación debería comenzar en el frente de Azure AD.

No está claro dónde se realiza la verificación de la contraseña del usuario:

• Si está utilizando Password Hash Sync: verifique las políticas de contraseña actuales que tiene en Azure AD:https://docs.microsoft.com/en-us/microsoft-365/admin/add-users/set-password-to-never-expire?view=o365-worldwide
• Si está utilizando ADFS/autenticación Pass-Through: verifique las políticas de contraseña de su dominio local, el servidor ADFS o el agente de autenticación Pass-Through.

Dudo mucho que esto esté relacionado, pero debido a que una contraseña caducada en AADDS no debería afectar a O365, vale la pena trabajar en esto también:https://docs.microsoft.com/en-us/azure/active-directory-domain-services/password-policy

¿Está utilizando sincronización de directorios (AD Connect) entre su AD y Azure AD? Ésta es la pregunta clave aquí.

Si la cuenta de usuario proviene de AD, la caducidad de la contraseña (y la autenticación en general) la administra su AD local; si por el contrario la cuenta de usuario es nativa de Azure AD, todo se gestiona desde allí.

Dado que mostró una captura de pantalla de la cuenta de usuario en ADUC, supongo que la cuenta de usuario existe en AD y está sincronizada con Azure AD; en este caso, es correcto configurar las propiedades de la cuenta de usuario (como la contraseña que nunca caduca) desde AD; Azure AD no tendrá ninguna función en esto, porque AD local es la principal fuente de información de la cuenta de usuario.

Ahora bien, ¿por qué tienes esas opciones atenuadas? De hecho, esto parece un problema de permiso; Los usuarios y computadoras de Active Directory (AUDC para abreviar) permitirán que cualquier persona (autenticada) vea los datos de AD, pero si no se le permite realizar una operación, aparecerá atenuada o ni siquiera se mostrará.

Si ve un objeto en AD que no puede editar, o si intenta editarlo y obtiene un error de "acceso denegado", significa que no tiene suficientes permisos para hacerlo.
Cuando eres administrador de dominio (y en realidad actúas como tal, porque UAC puede ser una verdadera molestia) deberías poder editarcualquier cosa. Pero esto sigue siendo una cuestión de permisos: los administradores de dominio pueden editar cualquier cosa porque el derecho a hacerlo se otorga automáticamente al grupo "Administradores de dominio". Si alguien cambió los permisos en una unidad organizativa o el objeto de usuario en sí y eliminó el derecho de acceso predeterminado "Los administradores de dominio tienen control total", no podrá tocarlo.

En pocas palabras: verifique los permisos en el objeto de usuario (y/o en la unidad organizativa donde está ubicado) y asegúrese de que los "Administradores de dominio" tengan control total. Si este no es el caso, consíguelo por la fuerza; Los administradores de dominio siempre pueden tomar posesión de todo lo que no les pertenece.