Nézd meg a ExcludeExplicitO365Endpoint -t Továbbá szerintem célszerű lenne megszüntetni a *.onmicrosoft.com-os elérést, helyette saját domaint lenne kellene használni Azure AD Connect-tel, erre találták ki.