Microsoft Entra ID でのセルフサービス パスワード リセットによる書き戻しのしくみ

  • [アーティクル]

Microsoft Entra のセルフサービス パスワード リセット (SSPR) を使用すると、ユーザーはクラウドで自分のパスワードをリセットできますが、ほとんどの企業では、ユーザー向けにオンプレミスの Active Directory Domain Services (AD DS) 環境も用意しています。 パスワード ライトバックを使用すると、クラウド内でのパスワード変更を、Microsoft Entra Connect または Microsoft Entra Connect クラウド同期を使用してオンプレミスのディレクトリにリアルタイムで書き戻すことができます。ユーザーがクラウドで SSPR を使用して自分のパスワードを変更またはリセットすると、更新されたパスワードはオンプレミスの AD DS 環境にも書き戻されます。

重要

概念に関するこの記事では、セルフサービス パスワード リセットの書き戻しのしくみを管理者向けに説明します。 既にセルフサービス パスワード リセットの登録が済んでいて、自分のアカウントに戻る必要があるエンド ユーザーは、 https://aka.ms/sspr にアクセスしてください。

ユーザーが自分でパスワードをリセットする機能が IT チームによって有効にされていない場合は、ヘルプデスクに連絡して追加のサポートを依頼してください。

パスワード ライトバックは、以下のハイブリッド ID モデルを使用する環境でサポートされます。

パスワード ライトバックには、次の機能が用意されています。

  • オンプレミスの Active Directory Domain Services (AD DS) パスワード ポリシーの強制: ユーザーが自分のパスワードをリセットすると、パスワードがオンプレミスの AD DS ポリシーに準拠していることが確認されてから、そのディレクトリにコミットされます。 この確認には、履歴、複雑さ、年齢、パスワード フィルター、AD DS で定義された他のパスワード制限のチェックが含まれます。
  • ゼロ遅延フィードバック: パスワード ライトバックは同期操作です。 ユーザーのパスワードがポリシーに合わなかった場合や、何らかの理由でリセットまたは変更できなかった場合は、すぐにユーザーに通知します。
  • アクセス パネルと Microsoft 365 からのパスワード変更のサポート: フェデレーション ユーザーかパスワード ハッシュ同期されたユーザーが有効期限切れ、または有効期限切れでないパスワードを変更すると、これらのパスワードは AD DS に書き戻されます。
  • 管理者が Microsoft Entra 管理センターでパスワードをリセットするときのパスワード ライトバックのサポート: 管理者が Microsoft Entra 管理センターでユーザーのパスワードをリセットするときに、そのユーザーがフェデレーションまたはパスワード ハッシュ同期されている場合は、パスワードがオンプレミスで書き戻されます。 現在、この機能は Office 管理ポータルではサポートされていません。
  • 受信ファイアウォール規則は不要: パスワード ライトバックは、基盤の通信チャネルとして Azure Service Bus リレーを使います。 すべての通信はポート 443 経由で送信されます。
  • ドメインレベルのサイド バイ サイド デプロイをサポート: Microsoft Entra Connect またはクラウド同期を使用して、切断されたドメインに属しているユーザーなど、ニーズに応じて異なるユーザー セットをターゲットにします。

Note

パスワード ライトバック要求を処理するオンプレミスのサービス アカウントは、保護されたグループに属するユーザーのパスワードを変更できません。 管理者はクラウドでパスワードを変更することはできますが、パスワード ライトバックを使用して、オンプレミス ユーザーの忘れたパスワードをリセットすることはできません。 保護グループの詳細については、AD DS の保護アカウントとグループに関する記事を参照してください。

SSPR ライトバックの使用を開始するには、次のチュートリアルのいずれかまたは両方を完了します:

Microsoft Entra Connect とクラウド同期のサイド バイ サイド デプロイ

異なるドメインに Microsoft Entra Connect とクラウド同期をサイド バイ サイドでデプロイして、異なるユーザー セットをターゲットにできます。 これにより、既存のユーザーは引き続きパスワードの変更を書き戻しながら、会社の合併または分割のためにユーザーが切断されたドメインに入っている場合にオプションを追加できます。 Microsoft Entra Connect とクラウド同期を別々のドメインで構成すると、一方のドメインのユーザーが Microsoft Entra Connect を使用でき、別のドメインのユーザーがクラウド同期を使用できるようになります。また、クラウド同期は、1 つの Microsoft Entra Connect インスタンスに依存しないため、可用性が高くなります。 2 つのデプロイ オプションの機能の比較については、「Microsoft Entra Connect とクラウド同期の比較」を参照してください。

パスワード ライトバックのしくみ

ユーザー アカウントがフェデレーション用に構成されていて、パスワード ハッシュ同期 (Microsoft Entra Connect デプロイの場合はパススルー認証) でクラウドでのパスワードのリセットまたは変更が試みられると、次のアクションが発生します。

  1. ユーザーのパスワードの種類のチェックが実行されます。 パスワードがオンプレミスで管理されている場合:

    • ライトバック サービスが稼働しているかどうかのチェックが実行されます。 稼働している場合、ユーザーは続行できます。
    • ライトバック サービスがダウンしている場合は、パスワードを今すぐにはリセットできないことがユーザーに通知されます。

  2. 次に、ユーザーが適切な認証ゲートを通過すると、 [パスワードのリセット] ページが表示されます。

  3. ユーザーは新しいパスワードを選択して確認します。

  4. ユーザーが [送信] を選択すると、プレーンテキスト パスワードがライトバックのセットアップ プロセス時に作成された公開キーを使って暗号化されます。

  5. 暗号化されたパスワードは、HTTPS チャネル経由でテナント固有の Service Bus Relay (ライトバックのセットアップ中に設定される) に送信されるペイロードに含められます。 このリレーは、オンプレミスのインストールのみを認識するランダムに生成されたパスワードによって保護されます。

  6. メッセージが Service Bus に到達した後、パスワード リセット エンドポイントが自動的にアクティブになり、保留中のリセット要求があるかどうかが確認されます。

  7. サービスは、クラウドのアンカー属性を使ってユーザーを探します。 この検索が成功するには、次の条件が満たされている必要があります。

    • AD DS コネクタ スペースにユーザー オブジェクトが存在している必要がある。
    • ユーザー オブジェクトが対応するメタバース (MV) オブジェクトにリンクされている必要があります。
    • ユーザー オブジェクトが対応する Microsoft Entra コネクタ オブジェクトにリンクされている必要がある。
    • AD DS コネクタ オブジェクトから MV へのリンク上に、同期ルール Microsoft.InfromADUserAccountEnabled.xxx が存在する必要があります。

    クラウドからの呼び出しがあると、同期エンジンでは cloudAnchor 属性を使って Microsoft Entra コネクタ スペース オブジェクトを検索します。 その後、リンクをたどって MV オブジェクトに戻り、さらにリンクをたどって AD DS オブジェクトに戻ります。 同じユーザーに対して複数の AD DS オブジェクト (マルチ フォレスト) がある可能性があるため、同期エンジンは Microsoft.InfromADUserAccountEnabled.xxx のリンクに依存して正しいユーザー アカウントを選択します。

  8. ユーザー アカウントが見つかると、適切な AD DS フォレスト内で直接パスワードのリセットが試行されます。

  9. パスワードの設定操作に成功すると、ユーザーにパスワードが変更されたことが通知されます。

    Note

    ユーザーのパスワード ハッシュがパスワード ハッシュ同期を使って Microsoft Entra ID に同期される場合、オンプレミスのパスワード ポリシーが、クラウドのパスワード ポリシーと比べて厳密ではない可能性があります。 この場合は、オンプレミスのポリシーが適用されます。 このポリシーにより、パスワード ハッシュ同期やフェデレーションによるシングル サインオンを提供していたとしても、クラウドでオンプレミスのポリシーが確実に適用されます。

  10. パスワード設定操作が失敗した場合、ユーザーにもう一度試すように求めるエラーが表示されます。 次の理由により、操作が失敗することがあります。

    • サービスがダウンしていた。
    • 選択したパスワードが組織のポリシーを満たしていない。
    • ローカル AD DS 環境でユーザーが見つからない。

    エラー メッセージはユーザーにガイダンスを提供するので、ユーザーは管理者の介入なしに解決を試みることができます。

パスワード ライトバックのセキュリティ

パスワード ライトバックは、安全性の高いサービスです。 ユーザーの情報を確実に保護するために、次のように 4 層のセキュリティ モデルが有効になります。

  • テナント固有の Service Bus Relay
    • サービスを設定すると、Microsoft でもアクセスできない、ランダムに生成された強力なパスワードで保護されたテナント固有の Service Bus Relay が設定されます。
  • ロックダウンされ、暗号強度の高いパスワード暗号化キー
    • Service Bus Relay が作成されると、強力な非対称キーが作成され、ネットワーク経由でパスワードが渡されるときに暗号化に使用されます。 このキーは、クラウド内の会社のシークレット ストアのみに存在し、厳重にロックダウンされ、ディレクトリ内の他のパスワードと同様に監査されます。
  • 業界標準のトランスポート層セキュリティ (TLS)
    1. クラウド内でパスワードのリセットや変更操作が行われる場合は、プレーンテキスト パスワードが公開キーを使用して暗号化されます。
    2. 暗号化されたパスワードが HTTPS メッセージに配置され、Microsoft の TLS/SSL 証明書を使って暗号化されたチャネルを介して Service Bus Relay に送信されます。
    3. Service Bus にメッセージが到着すると、オンプレミスのエージェントが起動され、以前に生成された強力なパスワードを使用して Service Bus に認証します。
    4. オンプレミスのエージェントは、暗号化されたメッセージを取得し、秘密キーを使用して復号化します。
    5. オンプレミスのエージェントは、AD DS SetPassword API を使用して、パスワードの設定を試行します。 この手順に従うと、クラウドで AD DS のオンプレミスのパスワード ポリシー (複雑さ、年齢、履歴、フィルターなど) を適用できます。
  • メッセージの有効期限ポリシー
    • オンプレミスのサービスがダウンしているためメッセージが Service Bus に残っている場合はタイムアウトになり、数分後に削除されます。 タイムアウトとメッセージの削除により、セキュリティがさらに強化されます。

パスワード ライトバックの暗号化の詳細

ユーザーがパスワードのリセットを送信した後、リセット要求はオンプレミスの環境に届く前に、いくつかの暗号化ステップを通過します。 これらの暗号化ステップにより、サービスの最大限の信頼性とセキュリティが保証されます。 暗号化ステップの説明を次に示します。

  1. 2048 ビット RSA キーによるパスワードの暗号化: ユーザーが、オンプレミスに書き戻すパスワードを送信すると、送信されたパスワードそのものが 2048 ビット RSA キーを使って暗号化されます。
  2. 256 ビット AES-GCM によるパッケージ レベルの暗号化: AES-GCM を使って、パッケージ全体 (パスワードと必要なメタデータ) が暗号化されます (キー サイズは 256 ビット)。 この暗号化により、Service Bus チャネルに直接アクセスできる人物による内容の表示または改ざんを防止します。
  3. すべての通信が TLS/SSL 経由で行われる: Service Bus でのすべての通信は、SSL/TLS チャネルで実行されます。 この暗号化により、権限がないサード パーティに対してコンテンツが保護されます。
  4. 半年ごとの自動キー ロールオーバー:半年ごとに、または Microsoft Entra Connect でパスワード ライトバックが無効にされてから再び有効にされるたびに、すべてのキーがロールオーバーされ、最大限のサービスのセキュリティと安全性が確保されます。

パスワード ライトバックの帯域幅の使用

パスワード ライトバックは帯域幅の低いサービスで、次の状況でのみ要求をオンプレミスのエージェントに戻します。

  • Microsoft Entra Connect を通じて機能が有効または無効にされると、2 つのメッセージが送信されます。
  • サービスのハートビートとして 5 分おきに 1 回 1 つのメッセージが、サービスを実行している間中、送信されます。
  • 新しいパスワードが送信されるたびに 2 つのメッセージが送信されます。
    • 1 番目のメッセージは操作の実行を要求します。
    • 2 番目のメッセージには操作の結果が含まれ、次の状況で送信されます。
      • ユーザーのセルフサービス パスワード リセット時に新しいパスワードが送信された場合
      • ユーザーのパスワード変更操作時に新しいパスワードが送信された場合
      • 管理者によるユーザー パスワードのリセット時に新しいパスワードが送信された場合 (Azure 管理ポータルからのみ)

メッセージ サイズと帯域幅に関する考慮事項

前に説明した各メッセージのサイズは、通常 1 KB 未満です。 負荷が大きい場合でも、パスワード ライトバック サービス自体で 1 秒間に数キロビットの帯域幅しか消費されないことを意味します。 各メッセージは、パスワードの更新操作で必要になった場合にのみリアルタイムで送信されるため、またメッセージのサイズが非常に小さいため、ライトバック機能の帯域幅は非常に小さく、測定可能な影響を及ぼすには至りません。

サポートされるライトバック操作

パスワードは次の状況で書き戻されます。

  • サポートされるエンドユーザーの操作

    • エンド ユーザーの自発的なパスワード変更操作。
    • エンドユーザーによる強制的なパスワード変更 (パスワードの期限切れなど)。
    • エンドユーザーにより、パスワード リセット ポータルから実行されたセルフサービス パスワード リセット。

  • サポートされる管理者の操作

    • 管理者による自発的なパスワード変更。
    • 管理者による強制的なパスワード変更 (パスワードの期限切れなど)。
    • 管理者によりパスワード リセット ポータルから実行された管理者によるセルフサービス パスワード リセット。
    • Microsoft Entra 管理センターから管理者が開始したエンドユーザーのパスワードのリセット。
    • Microsoft Graph API から管理者が開始したエンドユーザーのパスワードのリセット。

サポートされないライトバック操作

パスワードの書き戻しは、次の状況では実行されません。

  • サポートされないエンドユーザーの操作
    • PowerShell バージョン 1、バージョン 2、または Microsoft Graph API を使った、エンド ユーザーによるパスワードのリセット。
  • サポートされない管理者の操作
    • PowerShell バージョン 1、またはバージョン 2 から管理者が開始したエンドユーザーのパスワードのリセット。
    • Microsoft 365 管理センターから管理者が開始したエンドユーザーのパスワードのリセット。
    • すべての管理者は、パスワード リセット ツールを使用して自身のパスワード ライトバック用パスワードをリセットすることはできません。

警告

[Active Directory Users and Computers] (Active Directory ユーザーとコンピューター) や [Active Directory 管理センター] などのオンプレミスの AD DS 管理ツールでの [User must change password at next logon] (ユーザーは次回ログオン時にパスワードの変更が必要) チェックボックスの使用は、Microsoft Entra Connect のプレビュー機能としてサポートされています。 詳細については、「Microsoft Entra Connect 同期を使用したパスワード ハッシュ同期の実装」を参照してください。

Note

Active Directory (AD) で [パスワードを無期限にする] オプションがユーザーに設定されている場合、Active Directory (AD) でパスワードの変更を要求するフラグが設定されません。そのため、管理者が開始したエンドユーザーのパスワードのリセット中に次回のログオン中にパスワードの変更を要求するオプションが選択されていても、次回のサインイン中にユーザーがパスワードを変更するように求められることはありません。

次のステップ

SSPR 書き戻しの使用を開始するには、次のチュートリアルをご覧ください。

チュートリアル:セルフサービス パスワード リセット (SSPR) の書き戻しを有効にする