チュートリアル: Azure Directory フェデレーション サービスのバックアップとしてパスワード ハッシュ同期を設定する
このチュートリアルでは、Microsoft Entra Connect で Azure Directory フェデレーション サービス (AD FS) のバックアップおよびフェールオーバーとして、パスワード ハッシュ同期を設定する手順について説明します。 このチュートリアルでは、AD FS で障害が発生した場合や使用できなくなった場合に、パスワード ハッシュ同期をプライマリ認証方法として設定する方法についても説明します。
注意
通常、これらの手順は緊急または障害の状況時に実行されますが、障害が発生する前に、これらの手順をテストして、手順を確認しておくことをお勧めします。
前提条件
このチュートリアルは、「チュートリアル: 1 つの Active Directory フォレストでハイブリッド ID にフェデレーションを使用する」に基づいています。 そのチュートリアルを完了することは、このチュートリアルの手順を完了するための前提条件です。
Note
Microsoft Entra Connect サーバーにアクセスできない場合、またはそのサーバーがインターネットにアクセスできない場合は、Microsoft サポートに連絡して、Microsoft Entra ID の変更を支援してもらうことができます。
Microsoft Entra ID Connect でパスワード ハッシュ同期を有効にする
「チュートリアル: 1 つの Active Directory フォレストでハイブリッド ID にフェデレーションを使用する」では、フェデレーションを使用する Microsoft Entra Connect 環境を作成しました。
フェデレーションのバックアップを設定する最初の手順は、以下のように、パスワード ハッシュ同期をオンにし、Microsoft Entra Connect を設定してハッシュを同期することです。
インストール中にデスクトップに作成された Microsoft Entra Connect アイコンをダブルクリックします。
[構成] をクリックします。
[追加のタスク] で [同期オプションのカスタマイズ] を選んで、[次へ] を選びます。
フェデレーションを設定するためにチュートリアルで作成したハイブリッド ID 管理者アカウント のユーザー名とパスワードを入力します。
[ディレクトリの接続] で、[次へ] を選択します。
[ドメインと OU のフィルタリング] で、[次へ] を選択します。
[オプション機能] で [パスワード ハッシュ同期] を選択し、[次へ] を選択します。
[構成の準備完了] で、 [構成] を選択します。
構成が完了したら、[終了] を選択します。
これで完了です。 以上で完了です。 パスワード ハッシュの同期が行われるようになり、AD FS が使用できなくなった場合のバックアップとして使用できます。
パスワード ハッシュ同期への切り替え
重要
パスワード ハッシュ同期に切り替える前に、AD FS 環境のバックアップを作成します。 AD FS の迅速な復元ツールを使用して、バックアップを作成できます。
パスワード ハッシュが Microsoft Entra ID に同期されるまでしばらく時間がかかります。 同期が完了するまでに最大 3 時間かかる場合があります。パスワード ハッシュを使用して認証を開始できます。
次に、パスワード ハッシュ同期に切り替えます。 開始する前に、どのような状況で切り替えるべきかを検討してください。 ネットワークの機能停止、軽微な AD FS の問題、ユーザーの一部に影響する問題など、一時的な理由で切り替えることは避けてください。
問題の解消に時間がかかりすぎることから切り替えに踏み切る場合は、以下の手順を完了します。
- Microsoft Entra Connect で [構成] を選択します。
- [ユーザー サインインの変更] を選択し、 [次へ] を選択します。
- フェデレーションを設定するためにチュートリアルで作成したハイブリッド ID 管理者アカウント のユーザー名とパスワードを入力します。
- [ユーザー サインイン] で [パスワード ハッシュ同期] を選択し、[ユーザー アカウントを変換しない] チェック ボックスを選択します。
- [シングル サインオンを有効にする] を選択状態 (既定) のままにし、[次へ] を選択します。
- [シングル サインオンを有効にする] で、[次へ] を選択します。
- [構成の準備完了] で、 [構成] を選択します。
- 構成が完了したら、[終了] を選択します。
これで、ユーザーが自分のパスワードを使用して Azure および Azure サービスにサインインできるようになりました。
ユーザー アカウントでサインインして同期をテスト
新しい Web ブラウザー ウィンドウで https://myapps.microsoft.com に移動します。
新しいテナントで作成されたユーザー アカウントを使用してサインインします。
ユーザー名には、
user@domain.onmicrosoft.com
という形式を使用します。 ユーザーがオンプレミスの Active Directory へのサインインに使用するのと同じパスワードを使用します。
フェデレーションに切り替える
次に、フェデレーションに戻ります。
Microsoft Entra Connect で [構成] を選択します。
[ユーザー サインインの変更] を選択し、 [次へ] を選択します。
ハイブリッド ID の管理者アカウントのユーザー名とパスワードを入力します。
[ユーザー サインイン] で [AD FS とのフェデレーション] を選択してから、[次へ] を選択します。
[ドメイン管理者の資格情報] で contoso\Administrator のユーザー名とパスワードを入力してから、[次へ] をクリックします。
AD FS ファームで、[次へ] を選択します。
[Microsoft Entra ドメイン] で、ドメインを選び、[次へ] を選択します。
[構成の準備完了] で、 [構成] を選択します。
構成が完了したら、[次へ] を選択します。
[フェデレーションの接続性の検証] で [確認] を選択します。 正常に完了するには、DNS レコードを構成 (A および AAAA レコードを追加) する必要がある場合があります。
[終了] を選択します。
AD FS と Azure の信頼をリセットする
最後のタスクは、AD FS と Azure の間の信頼のリセットです。
Microsoft Entra Connect で [構成] を選択します。
[フェデレーションの管理] を選択してから、[次へ] を選択します。
[Microsoft Entra ID 信頼のリセット] を選んでから、[次へ] を選択します。
[Microsoft Entra ID に接続] で、ハイブリッド ID 管理者アカウントのユーザー名とパスワードを入力します。
[AD FS に接続] で contoso\Administrator のユーザー名とパスワードを入力してから、[次へ] を選択します。
[証明書] で [次へ] を選択します。
「ユーザー アカウントでサインインして同期をテスト」の手順を繰り返します。
ハイブリッド ID 環境を正常に設定できました。これは、Azure で提供されるものをテストしたり習熟したりするために使用できます。
次のステップ
- Microsoft Entra Connect のハードウェアと前提条件を確認します。
- Microsoft Entra Connect で簡単設定を使用する方法について学習します。
- Microsoft Entra Connect でのパスワード ハッシュの同期の詳細を確認します。