チュートリアル: Microsoft Entra セルフサービス パスワード リセットのオンプレミス環境へのライトバックを有効にする
Microsoft Entra のセルフサービス パスワード リセット (SSPR) を使用すると、ユーザーは Web ブラウザーを使用して自分のパスワードを更新したり、自分のアカウントのロックを解除したりできます。 Microsoft Entra ID の SSPR を有効にして構成する方法に関する動画をぜひご覧ください。 Microsoft Entra ID がオンプレミスの Active Directory Domain Services (AD DS) 環境に接続されているハイブリッド環境では、このシナリオにより、パスワードが 2 つのディレクトリ間で異なる場合があります。
パスワード ライトバックを使用すると、Microsoft Entra でのパスワード変更をオンプレミスの AD DS 環境に同期することができます。 Microsoft Entra Connect には、これらのパスワード変更を Microsoft Entra ID から既存のオンプレミス ディレクトリに送信するための安全なメカニズムが用意されています。
重要
このチュートリアルでは、セルフサービス パスワード リセットをオンプレミス環境にライトバックする方法を管理者に示します。 既にセルフサービス パスワード リセットの登録が済んでいて、自分のアカウントに戻る必要があるエンド ユーザーは、 https://aka.ms/sspr にアクセスしてください。
ユーザーが自分でパスワードをリセットする機能が IT チームによって有効にされていない場合は、ヘルプデスクに連絡して追加のサポートを依頼してください。
このチュートリアルでは、以下の内容を学習します。
- パスワード ライトバックに必要なアクセス許可を構成する
- Microsoft Entra Connect でパスワード ライトバック オプションを有効にする
- Microsoft Entra SSPR でパスワード ライトバックを有効にする
前提条件
このチュートリアルを完了するには、以下のリソースと特権が必要です。
- Microsoft Entra ID P1 以上か試用版のライセンスが有効になっている稼働中の Microsoft Entra テナント。
- 必要に応じて、無料で作成できます。
- 詳細については、Microsoft Entra SSPR のライセンス要件に関するページを参照してください。
- ハイブリッド ID 管理者を持つアカウント。
- セルフサービス パスワード リセット用に構成された Microsoft Entra ID。
- Microsoft Entra Connect の現在のバージョンを使って構成された既存のオンプレミスの AD DS 環境。
Microsoft Entra Connect のアカウントのアクセス許可を構成する
Microsoft Entra Connect を使用すると、オンプレミスの AD DS 環境と Microsoft Entra ID の間でユーザー、グループ、資格情報を同期できます。 通常は、オンプレミスの AD DS ドメインに参加している Windows Server 2016 以降のコンピューターに Microsoft Entra をインストールします。
SSPR のライトバックを正しく操作するには、Microsoft Entra Connect で指定されたアカウントに適切なアクセス許可とオプションが設定されている必要があります。 現在どのアカウントが使用されているかわからない場合は、Microsoft Entra Connect を開き、[現在の構成を表示] オプションを選択します。 アクセス許可を追加する必要があるアカウントが、 [同期されたディレクトリ] の下に表示されます。 このアカウントには、次のアクセス許可とオプションを設定する必要があります。
- パスワードのリセット
- [パスワードの変更]
lockoutTime
での書き込みアクセス許可pwdLastSet
での書き込みアクセス許可- まだ設定して場合は、そのフォレスト内の "各ドメイン" のルート オブジェクトに、 "期限切れではないパ スワード" のを拡張する権限。
これらのアクセス許可を割り当てないと、ライトバックが正しく構成されているように見えても、ユーザーがクラウドからオンプレミスのパスワードを管理するときにエラーが発生することがあります。 Active Directory で "期限切れではないパスワード" のアクセス許可を設定する場合は、"このオブジェクトとすべての子孫オブジェクト"、"このオブジェクトのみ"、または "すべての子孫オブジェクト" に適用する必要があります。そうしないと、"期限切れではないパスワード" のアクセス許可を表示することはできません。
ヒント
一部のユーザー アカウントのパスワードがオンプレミスのディレクトリに書き戻されない場合は、オンプレミスの AD DS 環境でそのアカウントの継承が無効になっていないことを確認してください。 この機能を正常に動作させるには、パスワードの書き込みアクセス許可を子孫オブジェクトに適用する必要があります。
パスワード ライトバックを行うための適切なアクセス許可を設定するには、以下の手順を完了します。
- オンプレミスの AD DS 環境で、適切なドメイン管理者のアクセス許可を持つアカウントを使用して [Active Directory ユーザーとコンピューター] を開きます。
- [表示] メニューで、 [高度な機能] がオンになっていることを確認します。
- 左側のパネルで、ドメインのルートを表すオブジェクトを右クリックし、 [プロパティ]>[セキュリティ]>[Advanced](詳細設定) の順に選択します。
- [アクセス許可] タブで [追加] を選びます。
- [プリンシパル] で、アクセス許可を適用するアカウント (Microsoft Entra Connect で使用されているアカウント) を選択します。
- [適用対象] ドロップダウン ボックスの一覧で、 [ユーザーの子孫オブジェクト] オブジェクトを選びます。
- [アクセス許可] で次のオプションのボックスを選択します。
- パスワードのリセット
- [プロパティ] で次のオプションのボックスを選択します。 これらのオプションを見つけるには、リストをスクロールします。これらは、既定で設定されている場合があります。
- 準備ができたら、[適用] または [OK] を選択して変更を適用します。
- [アクセス許可] タブで [追加] を選びます。
- [プリンシパル] で、アクセス許可を適用するアカウント (Microsoft Entra Connect で使用されているアカウント) を選択します。
- [適用先] ドロップダウン リストで、[このオブジェクトとすべての子オブジェクト] を選択します
- [アクセス許可] で次のオプションのボックスを選択します。
- 無期限パスワード
- 準備ができたら、 [適用] または [OK] を選択して変更を適用し、開いているすべてのダイアログ ボックスを終了します。
アクセス許可を更新すると、ディレクトリ内のすべてのオブジェクトにこれらのアクセス許可がレプリケートされるまで最大で 1 時間以上かかる場合があります。
オンプレミスの AD DS 環境のパスワード ポリシーによって、パスワードのリセットが正しく処理されない場合があります。 パスワード ライトバックが最も効率よく機能させるには、"パスワードの変更禁止期間" のグループ ポリシーを 0 に設定する必要があります。 この設定は、[コンピューターの構成] > [ポリシー] > [Windows の設定] > [セキュリティの設定] > [アカウント ポリシー] の下の gpmc.msc
にあります。
グループ ポリシーを更新する場合は、更新されたポリシーがレプリケートされるまで待つか、gpupdate /force
コマンドを使用します。
注意
ユーザー*が 1 日に 1 回以上パスワード*を変更またはリセット*する必要がある場合は、パスワード*の最小使用期間を 0 に設定する必要があります。 パスワード ライトバック*は、オンプレミスの*パスワード* ポリシーが正常に評価された後に機能します。
Microsoft Entra Connect でパスワード ライトバックを有効にする
Microsoft Entra Connect の構成オプションの 1 つはパスワード ライトバック用です。 このオプションが有効になっていると、パスワード変更イベントにより、Microsoft Entra Connect は更新された資格情報をオンプレミスの AD DS 環境に同期します。
SSPR のライトバックを有効にするには、まず、Microsoft Entra Connect でライトバック オプションを有効にします。 Microsoft Entra Connect サーバーから、次の手順を実行します。
- Microsoft Entra Connect サーバーにサインインし、Microsoft Entra Connect 構成ウィザードを開始します。
- [ようこそ] ページで [構成] を選びます。
- [追加のタスク] ページで [同期オプションのカスタマイズ] を選んで、 [次へ] を選びます。
- [Microsoft Entra ID に接続] ページで、お使いの Azure テナントのハイブリッド管理者の資格情報を入力し、[次へ] を選びます。
- [Connect ディレクトリ] ページおよび [ドメイン/OU のフィルタリング] ページで、 [次へ] を選びます。
- [オプション機能] ページで [パスワード ライトバック] の横にあるチェック ボックスをオンにし、 [次へ] を選びます。
- [ディレクトリ拡張機能] ページで、 [次へ] を選択します。
- [構成の準備完了] ページで [構成] を選び、処理が完了するまで待ちます。
- 構成の完了が表示されたら、 [終了] を選びます。
Note
OnPremDirectorySynchronization サービスの機能からの PasswordWritebackEnabled
の更新はサポートされていません。この機能フラグは使用されていないためです。
SSPR のパスワード ライトバックを有効にする
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
Microsoft Entra Connect でパスワード ライトバックが有効になっているので、書き戻し用に Microsoft Entra SSPR を構成します。 SSPR を構成して、Microsoft Entra Connect 同期エージェントと Microsoft Entra Connect プロビジョニング エージェントを介して書き戻すように構成できます (クラウド同期)。 SSPR でパスワード ライトバックを使用できるようにすると、自分のパスワードを変更またはリセットするユーザーは、その更新したパスワードがオンプレミスの AD DS 環境にも同期されるようになります。
SSPR でパスワード ライトバックを有効にするには、次の手順を実行します。
- Microsoft Entra 管理センターにグローバル管理者としてサインインします。
- [保護]>[パスワードのリセット] を参照し、[オンプレミス統合] を選択します。
- [オンプレミス ディレクトリへのパスワード ライトバック] オプションをオンにします。
- (省略可能) Microsoft Entra Connect プロビジョニング エージェントが検出された場合は、[Write back passwords with Microsoft Entra Connect cloud sync] (Microsoft Entra Connect クラウド同期を使用したパスワード ライトバック) オプションもオンにできます。
- [パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する] オプションを [はい] にします。
- 準備ができたら、 [保存] を選択します。
リソースをクリーンアップする
このチュートリアルの一環として構成した SSPR のライトバック機能をもう使用しない場合は、次の手順を実行します。
- Microsoft Entra 管理センターに全体管理者としてサインインします。
- [保護]>[パスワードのリセット] を参照し、[オンプレミス統合] を選択します。
- [オンプレミス ディレクトリへのパスワード ライトバック] オプションをオフにします。
- [Write back passwords with Microsoft Entra Connect cloud sync] (Microsoft Entra Connect クラウド同期を使用したパスワード ライトバック) オプションをオフにします。
- [パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する] オプションをオフにします。
- 準備ができたら、 [保存] を選択します。
SSPR ライトバック機能に Microsoft Entra Connect クラウド同期を使用しなくなった場合に、ライトバックに Microsoft Entra Connect 同期エージェントを引き続き使用するには、次の手順を実行します。
- Microsoft Entra 管理センターにグローバル管理者としてサインインします。
- [保護]>[パスワードのリセット] を参照し、[オンプレミス統合] を選択します。
- [Write back passwords with Microsoft Entra Connect cloud sync] (Microsoft Entra Connect クラウド同期を使用したパスワード ライトバック) オプションをオフにします。
- 準備ができたら、 [保存] を選択します。
パスワード機能を使用する必要がなくなった場合は、Microsoft Entra Connect サーバーから次の手順を実行します。
- Microsoft Entra Connect サーバーにサインインし、Microsoft Entra Connect 構成ウィザードを開始します。
- [ようこそ] ページで [構成] を選びます。
- [追加のタスク] ページで [同期オプションのカスタマイズ] を選んで、 [次へ] を選びます。
- [Microsoft Entra ID に接続] ページでハイブリッド管理者の資格情報を入力し、[次へ] を選択します。
- [Connect ディレクトリ] ページおよび [ドメイン/OU のフィルタリング] ページで、 [次へ] を選びます。
- [オプション機能] ページで [パスワード ライトバック] の横にあるチェック ボックスをオフにし、 [次へ] を選択します。
- [構成の準備完了] ページで [構成] を選び、処理が完了するまで待ちます。
- 構成の完了が表示されたら、 [終了] を選びます。
重要
パスワードの変更が発生していない場合でも、パスワード ライトバックを初めて有効にすると、パスワード変更イベント 656 と 657 がトリガーされる場合があります。 これは、パスワード ハッシュ同期サイクルの実行後に、すべてのパスワード ハッシュが再同期されるためです。
次のステップ
このチュートリアルでは、オンプレミスの AD DS 環境に対する Microsoft Entra SSPR のライトバックを有効にしました。 以下の方法を学習しました。
- パスワード ライトバックに必要なアクセス許可を構成する
- Microsoft Entra Connect でパスワード ライトバック オプションを有効にする
- Microsoft Entra SSPR でパスワード ライトバックを有効にする