チュートリアル: クラウド同期セルフサービス パスワード リセットのオンプレミス環境へのライトバックを有効にする
Microsoft Entra Connect クラウド同期を使用すると、Microsoft Entra パスワードの変更を、切断されているオンプレミスの Active Directory Domain Services (AD DS) ドメインのユーザー間でリアルタイムに同期できます。 Microsoft Entra Connect クラウド同期は、ドメイン レベルで Microsoft Entra Connect とサイド バイ サイドで実行して、追加のシナリオ (たとえば、会社が分割または合併されたためにユーザーが切断されたドメインに含まれているなど) でのパスワード ライトバックを簡略化できます。 さまざまなドメイン内の各サービスを、ニーズに応じてさまざまなユーザー セットが対象になるように構成できます。 Microsoft Entra Connect クラウド同期では、軽量の Microsoft Entra クラウド プロビジョニング エージェントを使用してセルフサービス パスワード リセット (SSPR) のライトバックのセットアップを簡略化し、クラウド内のパスワード変更をオンプレミスのディレクトリに安全に送信できます。
前提条件
- Microsoft Entra ID P1 以上か試用版のライセンスが有効になっている Microsoft Entra テナント。 必要に応じて、無料で作成できます。
- 次を含むアカウント:
- 全体管理者ロール
- セルフサービス パスワード リセット用に構成された Microsoft Entra ID。 必要に応じて、このチュートリアルを完了して Microsoft Entra SSPR を有効にします。
- Microsoft Entra Connect クラウド同期のバージョン 1.1.977.0 以降を使用して構成されたオンプレミスの AD DS 環境。 エージェントの現在のバージョンを特定する方法について説明します。 必要に応じて、こちらのチュートリアルを使用して Microsoft Entra Connect クラウド同期を構成します。
デプロイメントの手順
- Microsoft Entra Connect クラウド同期サービス アカウントのアクセス許可を構成する
- Microsoft Entra Connect クラウド同期のパスワード ライトバックを有効にする
- SSPR のパスワード ライトバックを有効にする
Microsoft Entra Connect クラウド同期サービス アカウントのアクセス許可を構成する
クラウド同期のアクセス許可は、既定では構成済みになっています。 アクセス許可をリセットする必要がある場合は、「トラブルシューティング」を参照して、パスワード ライトバックに必要な特定のアクセス許可と PowerShell を使用してそれらを設定する方法の詳細を確認してください。
SSPR でパスワード ライトバックを有効にする
Microsoft Entra Connect クラウド同期のプロビジョニングの有効化は、Microsoft Entra 管理センターで直接行うことも、PowerShell を使って行うこともできます。
Microsoft Entra 管理センターでパスワード ライトバックを有効にする
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
Microsoft Entra Connect クラウド同期でパスワード ライトバックを有効にしたら、Microsoft Entra セルフサービス パスワード リセット (SSPR) をパスワード ライトバック用に検証して構成します。 SSPR でパスワード ライトバックを使用できるようにすると、自分のパスワードを変更またはリセットするユーザーは、その更新したパスワードがオンプレミスの AD DS 環境にも同期されるようになります。
SSPR でパスワード ライトバックを検証して有効にするには、次の手順を実行します。
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
[保護]>[パスワードのリセット] に移動して、[オンプレミスの統合] を選びます。
[同期されたユーザーのパスワード ライト バックを有効にする] のオプションをオンにします。
(省略可能) Microsoft Entra Connect プロビジョニング エージェントが検出された場合は、[Write back passwords with Microsoft Entra Connect cloud sync] (Microsoft Entra Connect クラウド同期を使用したパスワード ライトバック) オプションもオンにできます。
[パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する] オプションを [はい] にします。
準備ができたら、 [保存] を選択します。
PowerShell
PowerShell では、プロビジョニング エージェントがあるサーバーで Set-AADCloudSyncPasswordWritebackConfiguration コマンドレットを使用して、Microsoft Entra Connect クラウド同期を有効にすることができます。 グローバル管理者の資格情報が必要になります。
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
リソースをクリーンアップする
このチュートリアルの一環として構成した SSPR のライトバック機能をもう使用しない場合は、次の手順を実行します。
- 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
- [保護]>[パスワードのリセット] を参照し、[オンプレミス統合] を選択します。
- [同期されたユーザーのパスワード ライト バックを有効にする] のオプションをオフにします。
- [Write back passwords with Microsoft Entra Connect cloud sync] (Microsoft Entra Connect クラウド同期を使用したパスワード ライトバック) オプションをオフにします。
- [パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する] オプションをオフにします。
- 準備ができたら、 [保存] を選択します。
SSPR ライトバック機能に Microsoft Entra Connect クラウド同期を使用しなくなった場合に、ライトバックに Microsoft Entra Connect 同期エージェントを引き続き使用するには、次の手順を実行します。
- 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
- [保護]>[パスワードのリセット] を参照し、[オンプレミス統合] を選択します。
- [Write back passwords with Microsoft Entra Connect cloud sync] (Microsoft Entra Connect クラウド同期を使用したパスワード ライトバック) オプションをオフにします。
- 準備ができたら、 [保存] を選択します。
PowerShell を使用して、SSPR ライトバック機能の Microsoft Entra Connect クラウド同期を無効にすることもできます。Microsoft Entra Connect クラウド同期サーバーから、ハイブリッド ID 管理者の資格情報を使用して Set-AADCloudSyncPasswordWritebackConfiguration を実行し、Microsoft Entra Connect クラウド同期でのパスワード ライトバックを無効にします。
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
サポート対象の操作
パスワード ライトバックは、エンドユーザーと管理者について次の状況で実行されます。
| Account | サポート対象の操作 |
|---|---|
| エンド ユーザー | エンド ユーザーの自発的なパスワード変更操作。 エンドユーザーによる強制的なパスワード変更 (パスワードの期限切れなど)。 パスワードのリセットから開始されたエンド ユーザーによるセルフサービス パスワード リセット。 |
| 管理者 | 管理者による自発的なパスワード変更。 管理者による強制的なパスワード変更 (パスワードの期限切れなど)。 パスワードのリセットから開始された管理者によるセルフサービス パスワード リセット。 Microsoft Entra 管理センターから管理者が開始したエンドユーザーのパスワードのリセット。 Microsoft Graph API から管理者が開始したエンドユーザーのパスワードのリセット。 |
サポートされていない操作
パスワード ライトバックは、次の状況では実行されません。
| Account | サポートされていない操作 |
|---|---|
| エンド ユーザー | PowerShell コマンドレットまたは Microsoft Graph API を使った、エンド ユーザーによる自身のパスワードのリセット。 |
| 管理者 | PowerShell コマンドレットを使って管理者が開始したエンド ユーザーのパスワードのリセット。 Microsoft 365 管理センターから管理者が開始したエンドユーザーのパスワードのリセット。 パスワード ライトバックの場合、管理者、または Microsoft Entra ID の他のどの管理者も、パスワード リセット ツールを使用して自身のパスワードをリセットすることはできません。 |
検証シナリオ
パスワード ライトバックを使用してシナリオを検証する場合は、次の操作を行ってみてください。 すべての検証シナリオでは、クラウド同期がインストールされていて、ユーザーがパスワード ライトバックのスコープに含まれている必要があります。
| シナリオ | 詳細 |
|---|---|
| ログイン ページからパスワードをリセットする | 切断されているドメインとフォレストの 2 人のユーザーが SSPR を実行するようにします。 また、Microsoft Entra Connect とクラウド同期をサイド バイ サイドでデプロイし、クラウド同期構成のスコープ内に 1 人のユーザー、Microsoft Entra Connect のスコープ内にもう 1 人を用意し、それらのユーザーが自身のパスワードをリセットするようにすることもできます。 |
| 期限切れのパスワードの変更を強制する | 切断されているドメインとフォレストの 2 人のユーザーが期限切れのパスワードを変更するようにします。 また、Microsoft Entra Connect とクラウド同期をサイド バイ サイドでデプロイし、クラウド同期構成のスコープ内に 1 人のユーザー、Microsoft Entra Connect のスコープ内にもう 1 人を用意することもできます。 |
| 通常のパスワード変更 | 切断されているドメインとフォレストの 2 人のユーザーが通常のパスワード変更を行うようにします。 また、Microsoft Entra Connect とクラウド同期をサイド バイ サイドにして、クラウド同期構成のスコープ内に 1 人のユーザー、Microsoft Entra Connect のスコープ内にもう 1 人を用意することもできます。 |
| ユーザー パスワードの管理者リセット | 切断されたドメインとフォレストの 2 人のユーザーに、Microsoft Entra 管理センターまたはフロントライン ワーカー ポータルから自分のパスワードをリセットさせます。 また、Microsoft Entra Connect とクラウド同期をサイド バイ サイドにして、クラウド同期構成のスコープ内に 1 人のユーザー、Microsoft Entra Connect のスコープ内にもう 1 人を用意することもできます。 |
| セルフサービス アカウントのロック解除 | 切断されているドメインとフォレストの 2 人のユーザーが、SSPR ポータルでアカウントのロックを解除してパスワードをリセットするようにします。 また、Microsoft Entra Connect とクラウド同期をサイド バイ サイドにして、クラウド同期構成のスコープ内に 1 人のユーザー、Microsoft Entra Connect のスコープ内にもう 1 人を用意することもできます。 |
トラブルシューティング
Microsoft Entra Connect クラウド同期グループのマネージド サービス アカウントには、既定では、パスワード ライトバックを行うために次のアクセス許可が設定されている必要があります。
- [パスワードのリセット]
- lockoutTime に対する書き込みアクセス許可
- pwdLastSet に対する書き込みアクセス許可
- まだ設定して場合は、そのフォレスト内の "各ドメイン" のルート オブジェクトに対する "期限切れではないパスワード" の拡張権利。
これらのアクセス許可が設定されていない場合は、Set-AADCloudSyncPermissions コマンドレットおよびオンプレミスのエンタープライズ管理者の資格情報を使用して、サービス アカウントに対する PasswordWriteBack アクセス許可を設定できます。
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)アクセス許可を更新した後、ディレクトリ内のすべてのオブジェクトにこれらのアクセス許可がレプリケートされるまで最大で 1 時間以上かかる場合があります。
一部のユーザー アカウントのパスワードがオンプレミスのディレクトリにライトバックされない場合は、オンプレミスの AD DS 環境でそのアカウントの継承が無効になっていないことを確認してください。 この機能を正常に動作させるには、パスワードの書き込みアクセス許可を子孫オブジェクトに適用する必要があります。
オンプレミスの AD DS 環境のパスワード ポリシーによって、パスワードのリセットが正しく処理されない場合があります。 この機能をテストしていて、ユーザーのパスワードを 1 日に複数回リセットする場合は、[パスワードの変更禁止期間] のグループ ポリシーを 0 に設定する必要があります。 この設定は、[コンピューターの構成] > [ポリシー] > [Windows の設定] > [セキュリティの設定] > [アカウント ポリシー] > [パスワード ポリシー] の下の gpmc.msc 内にあります。
グループ ポリシーを更新する場合は、更新されたポリシーがレプリケートされるまで待つか、gpupdate /force コマンドを使用します。
パスワードがすぐに変更されるようにするには、 [パスワードの変更禁止期間] を 0 に設定する必要があります。 ただし、ユーザーがオンプレミスのポリシーに準拠していて、[パスワードの変更禁止期間] が 0 より大きい値に設定されている場合は、オンプレミスのポリシーが評価された後にパスワード ライトバックが機能しません。
適切なアクセス許可を検証または設定する方法の詳細については、「Microsoft Entra Connect に対するアカウントのアクセス許可を構成する」を参照してください。
次のステップ
- クラウド同期、および Microsoft Entra Connect とクラウド同期の比較の詳細については、「Microsoft Entra Connect クラウド同期とは」を参照してください。
- Microsoft Entra Connect を使用したパスワード ライトバックの設定に関するチュートリアルについては、「チュートリアル: オンプレミス環境への Microsoft Entra のセルフサービス パスワード リセットのライトバックを有効にする」を参照してください。