次の方法で共有

Microsoft Entra Connect の選択的なパスワード ハッシュ同期の構成

  • [アーティクル]

パスワード ハッシュ同期は、ハイブリッド ID を実現するために使用されるサインイン方法の 1 つです。 Microsoft Entra Connect では、オンプレミスの Active Directory インスタンスからクラウドベースの Microsoft Entra インスタンスに、ユーザーのパスワードのハッシュを同期します。 既定では、設定が完了すると、同期しているすべてのユーザーに対してパスワード ハッシュ同期が行われます。

パスワード ハッシュを Microsoft Entra ID に同期しないようにユーザーのサブセットを除外する場合は、この記事のガイド付き手順を使用して、選択的なパスワード ハッシュ同期を構成できます。

重要

公式に文書化されている構成やアクションを除き、Microsoft では Microsoft Entra Connect 同期の変更や操作はサポートされていません。 これらの構成またはアクションは、Microsoft Entra Connect Sync の一貫性のない状態またはサポートされていない状態になる可能性があります。その結果、Microsoft はこのような展開に効率的なテクニカル サポートを提供する機能を保証できません。

実装について検討する

構成管理作業を軽減するために、まずパスワード ハッシュ同期から除外するユーザー オブジェクトの数を考慮する必要があります。 相互に排他的な次のシナリオが要件に合っていることを確認し、適切な構成オプションを選択します。

  • 除外するユーザーの数が、含めるユーザー数より小さい場合は、こちらのセクションの手順に従います。
  • 除外するユーザーの数が、含めるユーザー数より大きい場合は、こちらのセクションの手順に従います。

重要

いずれかの構成オプションを選択すると、変更を適用するために必要な初期同期 (完全同期) が、次の同期サイクルで自動的に実行されます。

重要

選択的なパスワード ハッシュ同期を構成すると、パスワード ライトバックに直接影響します。 Microsoft Entra ID で開始されたパスワードの変更またはパスワードのリセットは、ユーザーがパスワード ハッシュ同期の対象になっている場合にのみ、オンプレミスの Active Directory に書き戻されます。

重要

選択的なパスワード ハッシュ同期は、Microsoft Entra Connect 1.6.2.4 以降でサポートされています。 それより前のバージョンを使用している場合は、最新バージョンにアップグレードします。

AdminDescription 属性

どちらのシナリオも、ユーザーの adminDescription 属性を特定の値に設定することに依存しています。 これにより、規則が適用され、選択的な PHS が機能するようになります。

シナリオ adminDescription 値
除外するユーザーが含めるユーザーよりも少ない PHSFiltered
除外するユーザーが含めるユーザーよりも多い PHSIncluded

この属性は、以下のいずれかの方法で、手動で設定できます。

  • Active Directory ユーザーとコンピューター UI を使用
  • Set-ADUser PowerShell コマンドレットの使用 詳細については、「Set-ADUser」を参照してください。

同期スケジューラを無効にする

どちらのシナリオを開始する場合も、同期規則を変更している間、同期スケジューラを無効にしておく必要があります。

  1. Windows PowerShell を起動します。

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. 次のコマンドレットを実行して、スケジューラが無効になっていることを確認します。

    Get-ADSyncScheduler

スケジューラの詳細については、Microsoft Entra Connect 同期スケジューラを参照してください。

除外するユーザーが含めるユーザーよりも少ない

次のセクションでは、除外するユーザーの数が、含めるユーザー数より小さい場合に、選択的なパスワード ハッシュ同期を有効にする方法について説明します。

重要

先に進む前に、前述のように同期スケジューラが無効になっていることを確認します。

  • In from AD – User AccountEnabled の編集可能なコピーを作成し、パスワード ハッシュ同期を未選択にできるようにするオプションを選択します。そして、スコープ フィルターを定義します。
  • 既定の In from AD – User AccountEnabled の編集可能なコピーをもう 1 つ作成し、パスワード ハッシュ同期を選択できるようにするオプションを選択します。そして、スコープ フィルターを定義します。
  • 同期スケジューラを再度有効にする
  • パスワード ハッシュ同期で許可するユーザーに対してスコープ属性として定義されていた Active Directory の属性値を設定します。

重要

選択的なパスワード ハッシュ同期を構成するために指定された手順は、Active Directory で属性 adminDescription に値 PHSFilteredが設定されているユーザー オブジェクトにのみ影響します。 この属性が設定されていない場合、または値が PHSFiltered 以外の値である場合、これらのルールはユーザー オブジェクトに適用されません。

必要な同期規則を構成します。

  1. 同期規則エディターを起動し、フィルター [パスワード同期][オン] にし、 [規則の種類][標準] に設定します。 同期規則エディターを起動する
  2. Active Directory フォレスト コネクタに対して、選択的なパスワードのハッシュ同期を構成するために、AD のルール 、User AccountEnabled を選択し、編集を選択します。 次のダイアログ ボックスで [はい] を選択して、元の規則の編集可能なコピーを作成します。 規則の選択
  3. 最初のルールはパスワードハッシュ同期を無効にします。新しいカスタムルールには次の名前を指定してください: ADからの入力 - ユーザーアカウント有効 - PHSからユーザーをフィルター。 優先順位の値を 100 未満の数値に変更します (たとえば、90 または使用している環境で使用可能な最小値)。 [パスワード同期を有効にする] チェックボックスと [無効] チェックボックスがオフになっていることを確認します。 次に、を選択します。 受信の編集
  4. スコープ フィルター で、[句の追加]選択します。 [属性] 列で [adminDescription] 、[演算子] 列で [EQUAL] を選択し、値として「PHSFiltered」と入力します。 スコープ フィルター
  5. 他の変更は必要ありません。 結合ルール変換 をそれぞれ、デフォルトの設定を保持しておき、[保存] を今すぐ選択できるようにしてください。 警告ダイアログ ボックス [OK] を選択して、コネクタの次の同期サイクルで完全同期を実行するように通知します。 規則の保存
  6. 次に、パスワード ハッシュ同期を有効にする別のカスタム規則を作成します。 選択的なパスワードの同期を構成する Active Directory フォレストに対して、既定のルール In の [AD – User AccountEnabled] をもう一度選択し、の [編集] を選択します。 次のダイアログ ボックスで [はい] を選択して、元の規則の編集可能なコピーを作成します。 カスタム規則
  7. 新しいカスタム規則に、「In from AD - User AccountEnabled - Users included for PHS」という名前を指定します。 優先順位の値を、前に作成した規則より小さい数値に変更します (この例では、89)。 [パスワード同期を有効にする] チェックボックスがオンで、 [無効] チェックボックスがオフになっていることを確認します。 [次へ]を選択します。
    新しい規則の編集
  8. スコープ フィルター で、[句の追加]を選択します。 [属性] 列で [adminDescription] 、[演算子] 列で [NOTEQUAL] を選択し、値として「PHSFiltered」と入力します。 スコープ規則
  9. 他の変更は必要ありません。 結合ルール変換 は、コピーした既定の設定のままにして、今すぐ 保存 を選択できるようにする必要があります。 警告ダイアログ ボックス [OK] を選択して、コネクタの次の同期サイクルで完全同期を実行するように通知します。 結合規則
  10. 規則の作成を確認します。 [パスワード同期]オンで、[規則の種類][標準] のフィルターを削除します。 先ほど作成した新しい規則が両方とも表示されます。 規則の確認

同期スケジューラを再度有効にする:

必要な同期規則を構成する手順を完了したら、次の手順で同期スケジューラを再度有効にします。

  1. Windows PowerShell で次を実行します。

    set-adsyncscheduler -synccycleenabled:$true

  2. 次を実行して、正常に有効にされたことを確認します。

    get-adsyncscheduler

スケジューラの詳細については、Microsoft Entra Connect 同期スケジューラを参照してください。

ユーザーの adminDescription 属性の編集:

すべての構成が完了したら、Active Directory でパスワード ハッシュ同期から除外するすべてのユーザーの属性 adminDescription を編集し、スコープ フィルターで使用される文字列「PHSFiltered」を追加する必要があります。

属性を編集する

次の PowerShell コマンドを使用して、ユーザーの adminDescription 属性を編集することもできます。

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

除外するユーザーが含めるユーザーよりも多い

次のセクションでは、除外するユーザーの数が、含めるユーザー数より大きい場合に、選択的なパスワード ハッシュ同期を有効にする方法について説明します。

重要

既に説明したように、続行する前に、同期スケジューラが無効になっていることを確認してください。

実行するアクションの概要を次に示します。

  • In from AD – User AccountEnabled の編集可能なコピーを作成し、パスワード ハッシュ同期を未選択にできるようにするオプションを選択します。そして、スコープ フィルターを定義します。
  • 既定の In from AD – User AccountEnabled の編集可能なコピーをもう 1 つ作成し、パスワード ハッシュ同期を選択できるようにするオプションを選択します。そして、スコープ フィルターを定義します。
  • 同期スケジューラを再度有効にする
  • パスワード ハッシュ同期で許可するユーザーに対してスコープ属性として定義されていた Active Directory の属性値を設定します。

重要

選択的なパスワード ハッシュ同期を構成するために指定した手順は、active Directory に設定 adminDescription 属性を持つユーザー オブジェクト PHSIncludedの値を持つユーザー オブジェクトにのみ影響します。 この属性が設定されていない場合、または値が PHSIncluded 以外の値である場合、これらのルールはユーザー オブジェクトに適用されません。

必要な同期規則を構成します。

  1. 同期規則エディターを起動し、フィルター [パスワード同期][オン] にし、[規則の種類][標準] に設定します。 規則の種類
  2. 選択のパスワード同期を構成したい Active Directory フォレストのために、[AD – ユーザーアカウント有効] の 規則 を選択し、[編集 ] を選択します。 次のダイアログ ボックスで [はい] を選択して、元の規則の編集可能なコピーを作成します。 In from AD
  3. 最初の規則では、パスワード ハッシュ同期が無効になります。新しいカスタム規則には次の名前を指定します: ADからインポート - ユーザーアカウント有効 - PHSからユーザーをフィルター。 優先順位の値を 100 未満の数値に変更します (たとえば、90 または使用している環境で使用可能な最小値)。 [パスワード同期を有効にする] チェックボックスと [無効] チェックボックスがオフになっていることを確認します。 を選択します。 優先順位の設定
  4. スコープ フィルターで、句の追加を選択します。 [属性] 列で [adminDescription] 、[演算子] 列で [NOTEQUAL] を選択し、値として「PHSIncluded」と入力します。 句の追加
  5. 他の変更は必要ありません。 結合ルール変換 は、コピーされた既定の設定をそのまま残しておく必要があります。その後、保存 を今すぐ選択することができます。 警告ダイアログ ボックス [OK] を選択して、コネクタの次の同期サイクルで完全同期を実行するように通知します。 変換
  6. 次に、パスワード ハッシュ同期を有効にする別のカスタム規則を作成します。 選択的なパスワードの同期を構成する Active Directory フォレストの既定のルール [Ad - User AccountEnabled] をもう一度選択し、[の編集] 選択します。 次のダイアログ ボックスで [はい] を選択して、元の規則の編集可能なコピーを作成します。 User AccountEnabled
  7. 新しいカスタム規則に、「In from AD - User AccountEnabled - Users included for PHS」という名前を指定します。 優先順位の値を、前に作成した規則より小さい数値に変更します (この例では、89)。 [パスワード同期を有効にする] チェックボックスがオンで、 [無効] チェックボックスがオフになっていることを確認します。 を選択します。 パスワード同期を有効にする
  8. スコープ フィルター で、句の追加を選択します。 [属性] 列で [adminDescription] 、[演算子] 列で [EQUAL] を選択し、値として「PHSIncluded」と入力します。 PHSIncluded
  9. 他の変更は必要ありません。 結合ルール および 変換 は、デフォルトのコピー設定をそのままにしておくことで、今 保存 を選択できるようにする必要があります。 警告ダイアログ ボックス [OK] を選択して、コネクタの次の同期サイクルで完全同期を実行するように通知します。 今すぐ保存
  10. 規則の作成を確認します。 [パスワード同期]オンで、[規則の種類][標準] のフィルターを削除します。 先ほど作成した新しい規則が両方とも表示されます。 同期オン

同期スケジューラを再度有効にする:

必要な同期規則を構成する手順を完了したら、次の手順で同期スケジューラを再度有効にします。

  1. Windows PowerShell で次を実行します。

    set-adsyncscheduler-synccycleenabled$true

  2. 次を実行して、正常に有効にされたことを確認します。

    get-adsyncscheduler

スケジューラの詳細については、Microsoft Entra Connect 同期スケジューラを参照してください。

ユーザーの adminDescription 属性の編集:

すべての構成が完了したら、Active Directory でパスワード ハッシュ同期に含めるすべてのユーザーの属性 adminDescription を編集し、スコープ フィルターで使用される文字列「PHSIncluded」を追加する必要があります。

属性の編集

次の PowerShell コマンドを使用して、ユーザーの adminDescription 属性を編集することもできます。

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

次の手順