チュートリアル: クラウド同期のパスワードを自分でリセットできるオンプレミス環境へのライトバックを可能にする
Microsoft Entra Connect クラウド同期を使用すると、Microsoft Entra パスワードの変更を、切断されているオンプレミスの Active Directory Domain Services (AD DS) ドメインのユーザー間でリアルタイムに同期できます。 Microsoft Entra Connect クラウド同期は、ドメイン レベルで Microsoft Entra Connect とサイド バイ サイドで実行して、追加のシナリオ (たとえば、会社が分割または合併されたためにユーザーが切断されたドメインに含まれているなど) でのパスワード ライトバックを簡略化できます。 さまざまなドメイン内の各サービスを、ニーズに応じてさまざまなユーザー セットが対象になるように構成できます。 Microsoft Entra Connect クラウド同期では、軽量の Microsoft Entra クラウド プロビジョニング エージェントを使用してセルフサービス パスワード リセット (SSPR) のライトバックのセットアップを簡略化し、クラウド内のパスワード変更をオンプレミスのディレクトリに安全に送信できます。
前提条件
- Microsoft Entra ID P1 以上か試用版のライセンスが有効になっている Microsoft Entra テナント。 必要に応じて、無料で作成できます。
- ハイブリッド ID 管理者アカウント
- セルフサービス パスワード リセット用に構成された Microsoft Entra ID。 必要に応じて、このチュートリアルを完了して Microsoft Entra SSPR を有効にします。
- Microsoft Entra Connect クラウド同期のバージョン 1.1.977.0 以降を使用して構成されたオンプレミスの AD DS 環境。 エージェントの現在のバージョンを特定する方法について説明します。 必要に応じて、こちらのチュートリアルを使用して Microsoft Entra Connect クラウド同期を構成します。
デプロイメントの手順
- Microsoft Entra Connect クラウド同期サービス アカウントのアクセス許可を構成する
- Microsoft Entra Connect クラウド同期のパスワード ライトバックを有効にする
- SSPR のパスワード ライトバックを有効にする
Microsoft Entra Connect クラウド同期サービス アカウントのアクセス許可を構成する
クラウド同期のアクセス許可は、既定では構成済みになっています。 アクセス許可をリセットする必要がある場合は、「トラブルシューティング」を参照して、パスワード ライトバックに必要な特定のアクセス許可と PowerShell を使用してそれらを設定する方法の詳細を確認してください。
SSPR でパスワード ライトバックを有効にする
Microsoft Entra Connect クラウド同期のプロビジョニングの有効化は、Microsoft Entra 管理センターで直接行うことも、PowerShell を使って行うこともできます。
Microsoft Entra 管理センターでパスワード ライトバックを有効にする
Microsoft Entra Connect クラウド同期でパスワード ライトバックを有効にしたら、Microsoft Entra セルフサービス パスワード リセット (SSPR) をパスワード ライトバック用に検証して構成します。 SSPR でパスワード ライトバックを使用できるようにすると、自分のパスワードを変更またはリセットするユーザーは、その更新したパスワードがオンプレミスの AD DS 環境にも同期されるようになります。
SSPR でパスワード ライトバックを検証して有効にするには、次の手順を実行します。
少なくともハイブリッド ID 管理者として Microsoft Entra 管理センターにサインインします。
[保護]>[パスワードのリセット] を参照し、[オンプレミス統合] を選択します。
[同期されたユーザーのパスワード ライト バックを有効にする] のオプションをオンにします。
(省略可能) Microsoft Entra Connect プロビジョニング エージェントが検出された場合は、[Write back passwords with Microsoft Entra Connect cloud sync] (Microsoft Entra Connect クラウド同期を使用したパスワード ライトバック) オプションもオンにできます。
[パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する] オプションを [はい] にします。
準備ができたら、 [保存] を選択します。
PowerShell
PowerShell では、プロビジョニング エージェントがあるサーバーで Set-AADCloudSyncPasswordWritebackConfiguration コマンドレットを使用して、Microsoft Entra Connect クラウド同期を有効にすることができます。
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
リソースをクリーンアップする
このチュートリアルの一環として構成した SSPR の書き戻し機能を、もう使用しない場合は、次の手順を実行します。
- 少なくともハイブリッド ID 管理者として Microsoft Entra 管理センターにサインインします。
- [保護]>[パスワードのリセット] を参照し、[オンプレミス統合] を選択します。
- [同期されたユーザーのパスワード ライト バックを有効にする] のオプションをオフにします。
- [Write back passwords with Microsoft Entra Connect cloud sync] (Microsoft Entra Connect クラウド同期を使用したパスワード ライトバック) オプションをオフにします。
- [パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する] オプションをオフにします。
- 準備ができたら、 [保存] を選択します。
SSPR ライトバック機能に Microsoft Entra Connect クラウド同期を使用しなくなった場合に、ライトバックに Microsoft Entra Connect 同期エージェントを引き続き使用するには、次の手順を実行します。
- 少なくともハイブリッド ID 管理者として Microsoft Entra 管理センターにサインインします。
- [保護]>[パスワードのリセット] を参照し、[オンプレミス統合] を選択します。
- [Write back passwords with Microsoft Entra Connect cloud sync] (Microsoft Entra Connect クラウド同期を使用したパスワード ライトバック) オプションをオフにします。
- 準備ができたら、 [保存] を選択します。
PowerShell を使用して、SSPR ライトバック機能の Microsoft Entra Connect クラウド同期を無効にすることもできます。Microsoft Entra Connect クラウド同期サーバーから、ハイブリッド ID 管理者の資格情報を使用して Set-AADCloudSyncPasswordWritebackConfiguration を実行し、Microsoft Entra Connect クラウド同期でのパスワード ライトバックを無効にします。
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
サポート対象の操作
以下の状況において、エンドユーザーと管理者のパスワードが再度記録されます。
| アカウント | サポート対象の操作 |
|---|---|
| 最終利用者 | エンドユーザーが自らの意思で行う自己サービス型のパスワード変更操作。 エンドユーザーが行うセルフサービスによるパスワード変更操作(例: パスワードの期限切れ)。 パスワードのリセットから開始されたエンド ユーザーによるセルフサービス パスワード リセット。 |
| 管理者 | 管理者による自発的なセルフサービス パスワード操作。 管理者によるセルフサービスでの強制的なパスワード変更操作(例: パスワードの有効期限切れ)。 管理者自身によるセルフサービスのパスワードリセットが、パスワードリセットから始まる場合。 Microsoft Entra 管理センターから管理者が開始したエンドユーザー パスワードのリセット。 Microsoft Graph API から管理者が開始したエンドユーザー パスワードのリセット。 |
サポートされていない操作
パスワードは次の状況では書き戻されません。
| アカウント | サポートされていない操作 |
|---|---|
| 最終ユーザー | PowerShell コマンドレットまたは Microsoft Graph API を使った、エンド ユーザーによる自身のパスワードのリセット。 |
| 管理者 | PowerShell コマンドレットを使用して管理者が開始したエンド ユーザー パスワードのリセット。 Microsoft 365 管理センターから管理者が開始したエンドユーザー パスワードのリセット。 パスワード ライトバックの場合、管理者、または Microsoft Entra ID の他のどの管理者も、パスワードのリセット ツールを使用して自身のパスワードをリセットすることはできません。 |
検証シナリオ
パスワード ライトバックを使用してシナリオを検証する場合は、次の操作を行ってみてください。 すべての検証シナリオでは、クラウド同期がインストールされていて、ユーザーがパスワード ライトバックのスコープに含まれている必要があります。
| シナリオ | 詳細 |
|---|---|
| サインイン ページからパスワードをリセットする | 切断されているドメインとフォレストの 2 人のユーザーが SSPR を実行するようにします。 また、Microsoft Entra Connect とクラウド同期をサイド バイ サイドでデプロイし、クラウド同期構成のスコープ内に 1 人のユーザー、Microsoft Entra Connect のスコープ内にもう 1 人を用意し、それらのユーザーが自身のパスワードをリセットするようにすることもできます。 |
| 期限切れのパスワードの変更を強制する | 切断されているドメインとフォレストの 2 人のユーザーが期限切れのパスワードを変更するようにします。 また、Microsoft Entra Connect とクラウド同期をサイド バイ サイドでデプロイし、クラウド同期構成のスコープ内に 1 人のユーザー、Microsoft Entra Connect のスコープ内にもう 1 人を用意することもできます。 |
| 通常のパスワード変更 | 切断されているドメインとフォレストの 2 人のユーザーが通常のパスワード変更を行うようにします。 また、Microsoft Entra Connect とクラウド同期をサイド バイ サイドにして、クラウド同期構成のスコープ内に 1 人のユーザー、Microsoft Entra Connect のスコープ内にもう 1 人を用意することもできます。 |
| 管理者がユーザーのパスワードをリセットしました | 切断されたドメインとフォレストの 2 人のユーザーに、Microsoft Entra 管理センターまたはフロントライン ワーカー ポータルから自分のパスワードをリセットさせます。 また、Microsoft Entra Connect とクラウド同期をサイド バイ サイドにして、クラウド同期構成のスコープ内に 1 人のユーザー、Microsoft Entra Connect のスコープ内にもう 1 人を用意することもできます。 |
| セルフサービス アカウントのロック解除 | 切断されているドメインとフォレストの 2 人のユーザーが、SSPR ポータルでアカウントのロックを解除してパスワードをリセットするようにします。 また、Microsoft Entra Connect とクラウド同期をサイド バイ サイドにして、クラウド同期構成のスコープ内に 1 人のユーザー、Microsoft Entra Connect のスコープ内にもう 1 人を用意することもできます。 |
トラブルシューティング
Microsoft Entra Connect クラウド同期グループのマネージド サービス アカウントには、既定では、パスワード ライトバックを行うために次のアクセス許可が設定されている必要があります。
- [パスワードのリセット]
- lockoutTime に対する書き込みアクセス許可
- pwdLastSet に対する書き込みアクセス許可
- まだ設定していない場合は、そのフォレスト内の各ドメインのルート オブジェクトに対する「パスワードの有効期限を解除する」ための拡張された権限。
これらのアクセス許可が設定されていない場合は、Set-AADCloudSyncPermissions コマンドレットとオンプレミスのエンタープライズ管理者の資格情報を使用して、サービス アカウントに対する PasswordWriteBack アクセス許可を設定できます。
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)アクセス許可を更新した後、ディレクトリ内のすべてのオブジェクトにこれらのアクセス許可がレプリケートされるまで最大で 1 時間以上かかる場合があります。
一部のユーザー アカウントのパスワードがオンプレミスのディレクトリにライトバックされない場合は、オンプレミスの AD DS 環境でそのアカウントの継承が無効になっていないことを確認してください。 この機能を正常に動作させるには、パスワードの書き込みアクセス許可を子孫オブジェクトに適用する必要があります。
オンプレミスの AD DS 環境のパスワード ポリシーによって、パスワードのリセットが正しく処理されない場合があります。 この機能をテストしていて、ユーザーのパスワードを 1 日に複数回リセットする場合は、[パスワードの変更禁止期間] のグループ ポリシーを 0 に設定する必要があります。 この設定は、[コンピューターの構成] > [ポリシー] > [Windows の設定] > [セキュリティの設定] > [アカウント ポリシー] > [パスワード ポリシー] の下の gpmc.msc 内にあります。
グループ ポリシーを更新する場合は、更新されたポリシーがレプリケートされるまで待つか、gpupdate /force コマンドを使用します。
パスワードがすぐに変更されるようにするには、 [パスワードの変更禁止期間] を 0 に設定する必要があります。 ただし、ユーザーがオンプレミスのポリシーに従って、パスワードの最小有効期間が 0 より大きい値に設定している場合、オンプレミス ポリシーの評価後にパスワード ライトバックは機能しません。
適切なアクセス許可を検証または設定する方法の詳細については、「Microsoft Entra Connect に対するアカウントのアクセス許可を構成する」を参照してください。
次のステップ
- クラウド同期、および Microsoft Entra Connect とクラウド同期の比較の詳細については、「Microsoft Entra Connect クラウド同期とは」を参照してください。
- Microsoft Entra Connect を使用したパスワード ライトバックの設定に関するチュートリアルについては、「チュートリアル: オンプレミス環境への Microsoft Entra のセルフサービス パスワード リセットのライトバックを有効にする」を参照してください。