強制パスワード変更後の最初のサインイン後の遅延のトラブルシューティング

この記事では、ユーザーが初回サインイン時にパスワードの変更を強制されたときに、パスワード ライトバックの問題をトラブルシューティングする方法について説明します。

現象

ユーザーが最初のサインイン時に必要なパスワード変更を行うと、次の警告メッセージが表示されます。

パスワードは正常に更新されましたが、サーバーが追いつくには少し時間がかかります。 数分後にもう一度サインインしてみてください。

原因

ユーザーが最初のサインイン Microsoft Entra IDでパスワードの変更を強制されると、パスワード ライトバック プロセスはサインインの一時的なパスワードを受け入れ、ユーザーに新しいパスワードの入力を求められます。 パスワード ライトバックは、オンプレミスでパスワードの変更を試み、その後待機します。 オンプレミスの更新が成功した場合、パスワード ライトバックはMicrosoft Entra IDでパスワードの変更を試みます。 パスワード変更操作中に、パスワード ライトバックによって現在のパスワードが検証され、それぞれのディレクトリで更新される新しいパスワードが提供されます。

ただし、オンプレミスの Active Directory パスワードがリセットされた直後にサインインしようとすると、タイミングの問題によってこの警告が発生する可能性があります。 この問題は、ユーザーが [次回ログオン時にパスワードを変更する必要がある ] オプションが選択されていて、ドメイン認証が パススルー認証 (PTA) 用に構成されている場合に発生します。

このシナリオでは、パスワード ハッシュ同期が一時的なパスワードをMicrosoft Entra IDに同期する前に、ユーザーがサインインを試みます。 ただし、PTA が構成されているため、認証はオンプレミスの Active Directoryにリダイレクトされます。 これで、ユーザーはMicrosoft Entra IDに正常にサインインできるようになり、最初のサインイン時にパスワードの変更が強制されます。 パスワードの変更が成功した場合、パスワード ライトバックは、オンプレミスの Active Directory と Microsoft Entra ID の新しいパスワードを更新します。 ただし、サインイン メッセージには「サーバーが追いつくには少し時間がかかります」というメッセージが表示されます。これは、一時パスワードがMicrosoft Entra IDの現在のパスワードと一致しなかったためです。

ソリューション

Active Directory 管理者がオンプレミスでパスワードをリセットした後、Microsoft Entra Connect は、その一時パスワードを Microsoft Entra ID に同期するのに少なくとも 2 分かかります。 この警告メッセージが表示されないようにするには、ユーザーがサインインしてパスワードを更新するまで少なくとも 2 分待つ必要があります。 これにより、パスワード ハッシュ同期が一時パスワードを同期する時間が提供されます。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。