Microsoft Entra Connectで、パススルー認証とパスワードハッシュ同期をを併用する構成について

Question

Microsoft Entra Connectを利用して、オンプレミスADとAzureADのユーザを同期したいと思っています。SSOを実現したいです。

パススルー認証にして、パスワードハッシュを有効にすると

Microsoft Entra ConnectやオンプレミスADに問題があった際は、同期されているハッシュ情報を使ってAzureAD側にて認証できるようになるのかなと思っています。

ただ、別サイトでディレクトリ同期を解除する必要があると記載もあり、何か問題があったときは、管理者側で作業しないと、ハッシュ情報を使うようにできないですか。

それとも、何も作業は必要ないですか。

拙い質問で申し訳ないのですが、教えていただけると嬉しいです。

よろしくお願いいたします。

Answer 1

ちょっと調べてみたら、以下の資料に記述がありました。

Authentication for Microsoft Entra hybrid identity solutions - Microsoft Entra ID | Microsoft Learn

”Deploy password hash synchronization along with federated authentication as a backup authentication method when the primary authentication method is no longer available. An example is when the on-premises servers aren't available. Some large enterprise organizations require a federation solution to support multiple Internet ingress points configured with geo-DNS for low-latency authentication requests.”

（プライマリ認証方式が利用できなくなった場合のバックアップ認証方式として、パスワードハッシュの同期を連携認証と共に導入します。例として、オンプレミスサーバーが利用できない場合があります。一部の大規模な企業では、低遅延の認証要求に対応するために、geo-DNSを構成した複数のインターネット接続ポイントをサポートする連携ソリューションが必要です。）

この記述からは、パススルー認証とパスワード ハッシュ同期は併用可能（ビジネス継続性の観点からはむしろ推奨）のようですね。

Answer 2

@Masuminn,

回答は英語から翻訳しておりますので、文法上の誤りについてはご容赦ください。

PTAとPHSの併用についてご説明いたします。

PTAは、オンプレミスADがリアルタイムでユーザーを認証できることを前提としています。オンプレミスADまたはMicrosoft Entra Connectに問題が発生した場合、Entra IDから直接ユーザーを認証できないため、PTAは機能しません。

パスワードハッシュ同期（PHS）は、オンプレミスADユーザーのパスワードハッシュをEntra IDに同期します。PTAに障害が発生した場合、Entra IDは同期されたパスワードハッシュを使用してユーザーを認証できます。

SSOを確実に機能させるには、パススルー認証（Entra Connectが有効になっている必要があります）が機能している必要があります。パススルー認証がない場合でも、ユーザーはEntra ID（PHS経由）に保存されたハッシュ化されたパスワードを使用して認証できますが、SSOは正常に機能しない可能性があります。

ディレクトリ同期の無効化は別のシナリオであり、この状況では必要ありません。ただし、同期を無効にした場合でも、Entra ID は最後に成功した同期のパスワードハッシュを使用してユーザーを認証します。

同期に失敗した場合、管理者側での操作は必要ありません。Entra ID はパスワードハッシュを使用して認証できます。この特定のケースでは、パスワードハッシュは既に Azure AD に同期されているため、管理者側での追加の操作は必要ありません。PTA が失敗した場合、SSO が機能しない可能性があります。