オンプレミスの Microsoft Entra パスワード保護を有効にする

  • [アーティクル]

ユーザーは多くの場合、学校、スポーツ チーム、有名人などのありふれたローカル単語を使用してパスワードを作成します。 これらのパスワードは簡単に推測できるため、辞書ベースの攻撃に対しては脆弱です。 組織で強力なパスワードを適用するために、Microsoft Entra パスワード保護は、グローバルかつカスタム禁止パスワードの一覧を提供します。 この禁止パスワードの一覧に一致するものがある場合、パスワードの変更要求はエラーとなります。

オンプレミスの Active Directory Domain Services (AD DS) 環境を保護するために、オンプレミスの DC と連携する Microsoft Entra パスワード保護をインストールして構成することができます。 この記事では、オンプレミス環境の Microsoft Entra パスワード保護を有効にする方法を示します。

オンプレミス環境での Microsoft Entra パスワード保護のしくみの詳細については、「Windows Server Active Directory に Microsoft Entra パスワード保護を適用する方法」を参照してください。

開始する前に

この記事では、オンプレミス環境の Microsoft Entra パスワード保護を有効にする方法を示します。 この記事を完了する前に、オンプレミスの AD DS 環境に Microsoft Entra パスワード保護プロキシ サービスと DC エージェントをインストールして登録します

オンプレミスのパスワード保護を有効にする

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

  1. 認証管理者以上の権限で Microsoft Entra 管理センターにサインインします。

  2. [保護]>[認証方法]>[パスワード保護] の順に進みます。

  3. [Windows Server Active Directory のパスワード保護を有効にする] オプションを [はい] に設定します。

    この設定が "いいえ" に設定されている場合、デプロイされているすべての Microsoft Entra パスワード保護 DC エージェントが休止モードに入り、すべてのパスワードがそのまま受け入れられます。 検証アクティビティは実行されず、また、監査イベントは生成されません。

  4. 最初に [モード] を "監査" に設定しておくことをお勧めします。 機能と組織内のユーザーへの影響を把握し終えたら、 [モード] を "強制" に切り替えてかまいません。 詳細については、次の「操作のモード」のセクションを参照してください。

  5. 準備ができたら、 [保存] を選択します。

    Enable on-premises password protection under Authentication Methods in the Microsoft Entra admin center

操作モード

オンプレミスの Microsoft Entra パスワード保護を有効にすると、"監査" モードまたは "強制" モードのどちらかを使用できます。 初期のデプロイとテストは常に監査モードで開始することをお勧めします。 イベント ログ上の項目を監視して、"強制" モードが有効になった後で、既存の運用プロセスが影響を受けるかどうかを予測する必要があります。

監査モード

"監査" モードは、"what-if" モードでソフトウェアを実行する方法として用意されています。 各 Microsoft Entra パスワード保護 DC エージェント サービスは、現在アクティブなポリシーに従って受信パスワードを評価します。

現在のポリシーが監査モードに構成されている場合、"不正な" パスワードは、イベント ログ メッセージが生成される原因となりますが、処理されて更新されます。 この動作は、監査モードと強制モード間での唯一の相違点です。 他のすべての操作は、同じように実行されます。

強制モード

"強制" モードは最終構成として用意されています。 監査モードの場合と同様に、各 Microsoft Entra パスワード保護 DC エージェント サービスは、現在アクティブなポリシーに従って受信パスワードを評価します。 ただし、強制モードが有効になっている場合は、ポリシーに従って安全でないと見なされたパスワードは拒否されます。

強制モード中に Microsoft Entra パスワード保護 DC エージェントによってパスワードが拒否された場合、エンド ユーザーには、従来のオンプレミス パスワードの複雑さの強制によってパスワードが拒否された場合に表示されるのと同様のエラーが表示されます。 たとえば、Windows のログオンまたはパスワード変更の画面で、次の従来のエラー メッセージがユーザーに表示されることがあります。

"Unable to update the password. The value provided for the new password does not meet the length, complexity, or history requirements of the domain." (パスワードを更新できません。新しいパスワードに対して指定された値がドメインの長さ、複雑さ、または履歴要件を満たしていません。)

このメッセージは、いくつかの考えられる結果の一例にすぎません。 具体的なエラー メッセージは、実際のソフトウェアや、安全でないパスワードの設定を試行するシナリオによって異なる可能性があります。

影響を受けたエンド ユーザーは、IT スタッフと協力して、新しい要件を理解し、安全なパスワードを選択できるようにする必要があります。

Note

Microsoft Entra パスワード保護は、脆弱なパスワードが拒否されたときに、クライアント マシンによって表示される特定のエラー メッセージを制御できません。

次のステップ

組織の禁止パスワード一覧をカスタマイズするには、「Microsoft Entra パスワード保護のカスタム禁止パスワード一覧の構成」を参照してください。

オンプレミスのイベントを監視するには、「オンプレミスの Microsoft Entra パスワード保護の監視」を参照してください。