注
クラウド同期を使用したセルフサービス パスワード リセット ライトバックは、21Vianet によって運用されるMicrosoft Azureではサポートされていません。 代わりに、管理者は Microsoft Entra Connect 同期を使用して SSPR ライトバックをデプロイできます。
Microsoft Entraクラウド同期では、切断されたオンプレミス Active Directory Domain Services (AD DS) ドメイン内のユーザー間で、Microsoft Entraパスワードの変更をリアルタイムで同期できます。 Microsoft Entraクラウド同期は、ドメイン レベルで Microsoft Entra Connect とサイド バイ サイドで実行して、会社の分割やマージのために切断されたドメインにいるユーザーなど、追加のシナリオに対するパスワード ライトバックを簡略化できます。 さまざまなドメイン内の各サービスを、ニーズに応じてさまざまなユーザー セットが対象になるように構成できます。 Microsoft Entraクラウド同期では、軽量Microsoft Entraクラウド プロビジョニング エージェントを使用して、セルフサービス パスワード リセット (SSPR) ライトバックのセットアップを簡略化し、クラウド内のパスワード変更をオンプレミスディレクトリに安全に送信する方法を提供します。
前提条件
- 少なくとも Microsoft Entra ID P1 または試用版ライセンスが有効になっているMicrosoft Entra テナント。 必要に応じて、 無料で作成します。
- ハイブリッド ID 管理者アカウント
- Microsoft Entra IDセルフサービス パスワード リセット用に構成されています。 必要に応じて、このチュートリアルを終了して Microsoft Entra SSPR を有効化する。
- Microsoft Entra クラウド同期バージョン 1.1.977.0 以降で構成されたオンプレミス AD DS 環境。 エージェントの現在のバージョンを識別する方法について説明します。
デプロイメントの手順
- Microsoft Entraクラウド同期サービスアカウントのアクセス許可を構成する
- Microsoft Entra Connect クラウド同期でパスワードのライトバックを有効にする
- SSPR のパスワード ライトバックを有効にする
Microsoft Entra Cloud同期サービスアカウントのアクセス許可を構成する
クラウド同期のアクセス許可は、既定では構成済みになっています。 アクセス許可をリセットする必要がある場合は、パスワード ライトバックに必要な特定のアクセス許可と、PowerShell を使用して設定する方法の詳細については、 トラブルシューティング を参照してください。
SSPR でパスワード ライトバックを有効にする
Microsoft Entra Connect クラウド同期プロビジョニングは、Microsoft Entra管理センターまたは PowerShell を使用して直接有効にすることができます。
Microsoft Entra管理センターでパスワード ライトバックを有効にする
Microsoft Entra Connect クラウド同期でパスワード ライトバックが有効になっている場合、パスワード ライトバックのための Microsoft Entra セルフサービス パスワード リセット (SSPR) を確認して構成します。 SSPR でパスワード ライトバックを使用できるようにすると、自分のパスワードを変更またはリセットするユーザーは、その更新したパスワードがオンプレミスの AD DS 環境にも同期されるようになります。
SSPR でパスワード ライトバックを検証して有効にするには、次の手順を実行します。
Microsoft Entra管理センターに少なくとも Hybrid Identity Administrator としてサインインします。
Entra IDPassword reset に移動し、[オンプレミス統合] を選択します。
同期されたユーザーのパスワードライトバックを有効にするオプションをオンにします。
(省略可能)Microsoft Entra Connect プロビジョニング エージェントが検出された場合は、 Microsoft Entra Connect クラウド同期 を使用してパスワードを書き戻すオプションも確認できます。
[ユーザーがパスワードを [はい] にリセットせずにアカウントのロックを解除できるようにするオプションをオンにします。
準備ができたら、[ 保存] を選択します。
PowerShell
PowerShell を使用すると、プロビジョニング エージェントを使用してサーバー上の Set-AADCloudSyncPasswordWritebackConfiguration コマンドレットを使用して、Microsoft Entra Connect クラウド同期を有効にすることができます。
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
リソースをクリーンアップする
このチュートリアルの一環として構成した SSPR の書き戻し機能を、もう使用しない場合は、次の手順を実行します。
- Microsoft Entra管理センターに少なくとも Hybrid Identity Administrator としてサインインします。
- Entra IDPassword reset に移動し、[オンプレミス統合] を選択します。
- 同期されたユーザーのパスワードライトバックを有効にするオプションをオフにします。
- Microsoft Entra Connectクラウド同期でパスワードを書き戻すオプションを無効にします。
- [ ユーザーがパスワードをリセットせずにアカウントのロックを解除できるようにする] オプションをオフにします。
- 準備ができたら、[ 保存] を選択します。
SSPR ライトバック機能に Microsoft Entra Connect クラウド同期を使用しなくなったが、書き戻しに Microsoft Entra Connect Sync エージェントを引き続き使用する場合は、次の手順を実行します。
- Microsoft Entra管理センターに少なくとも Hybrid Identity Administrator としてサインインします。
- Entra IDPassword reset に移動し、[オンプレミス統合] を選択します。
- Microsoft Entra Connect クラウド同期でのパスワード書き戻しオプションのチェックを外します。
- 準備ができたら、[ 保存] を選択します。
PowerShell を使用して、SSPR ライトバック機能の Microsoft Entra Connect クラウド同期を無効にすることもできます。Microsoft Entra Connect クラウド同期サーバーから、ハイブリッド ID 管理者の資格情報を使用して Set-AADCloudSyncPasswordWritebackConfiguration を実行して、Microsoft Entra Connect クラウド同期によるパスワード ライトバックを無効にします。
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
サポート対象の操作
以下の状況において、エンドユーザーと管理者のパスワードが再度記録されます。
| アカウント | サポート対象の操作 |
|---|---|
| 最終利用者 | エンドユーザーが自らの意思で行う自己サービス型のパスワード変更操作。 エンドユーザーが行うセルフサービスによるパスワード変更操作(例: パスワードの期限切れ)。 エンドユーザーにより、パスワード リセットから実行されたセルフサービス パスワード リセット。 |
| 管理者 | 管理者による自発的なパスワード変更。 管理者によるセルフサービスでの強制的なパスワード変更操作(例: パスワードの有効期限切れ)。 管理者自身によるセルフサービスのパスワードリセットが、パスワードリセットから始まる場合。 Microsoft Entra管理センターから管理者が開始したエンド ユーザーパスワードのリセット。 Microsoft Graph APIから管理者によって開始されたエンドユーザーのパスワードの再設定。 |
サポートされていない操作
パスワードは次の状況では書き戻されません。
| アカウント | サポートされていない操作 |
|---|---|
| 最終利用者 | PowerShell コマンドレットまたは Microsoft Graph APIを使用して、エンド ユーザーが自分のパスワードをリセットする。 |
| 管理者 | PowerShell コマンドレットを使って管理者が開始したエンド ユーザーのパスワードのリセット。 Microsoft 365管理センターで管理者が開始したエンドユーザーパスワードのリセット。 パスワード リセット ツールを使用して自分のパスワードをリセットしたり、パスワード ライトバックのためにMicrosoft Entra IDの他の管理者を使用したりすることはできません。 |
検証シナリオ
パスワード ライトバックを使用してシナリオを検証する場合は、次の操作を行ってみてください。 すべての検証シナリオでは、クラウド同期がインストールされていて、ユーザーがパスワード ライトバックのスコープに含まれている必要があります。
| シナリオ | 詳細 |
|---|---|
| サインイン ページからパスワードをリセットする | 切断されているドメインとフォレストの 2 人のユーザーが SSPR を実行するようにします。 また、Microsoft Entra Connect とクラウド同期をサイド バイ サイドでデプロイし、クラウド同期構成のスコープに 1 人のユーザーを配置し、別のユーザーを Microsoft Entra Connect のスコープに配置し、それらのユーザーにパスワードをリセットしてもらうこともできます。 |
| 期限切れのパスワードの変更を強制する | 切断されているドメインとフォレストの 2 人のユーザーが期限切れのパスワードを変更するようにします。 また、Microsoft Entra Connect とクラウド同期をサイド バイ サイドでデプロイし、クラウド同期構成のスコープに 1 人のユーザーを配置し、もう 1 人のユーザーを Microsoft Entra Connect のスコープに配置することもできます。 |
| 通常のパスワード変更 | 切断されているドメインとフォレストの 2 人のユーザーが通常のパスワード変更を行うようにします。 また、Microsoft Entra Connect とクラウド同期を並べて、クラウド同期構成のスコープに 1 人のユーザーを配置し、もう 1 人のユーザーを Microsoft Entra Connect のスコープに配置することもできます。 |
| 管理者がユーザーのパスワードをリセットしました | ドメインやフォレストから切断された 2 人のユーザーが、Microsoft Entra 管理センターまたはフロントライン労働者ポータルからパスワードをリセットします。 また、Microsoft Entra Connect とクラウド同期をサイド バイ サイドにして、クラウド同期構成のスコープに 1 人のユーザーを配置し、もう 1 人のユーザーを Microsoft Entra Connect のスコープに配置することもできます。 |
| セルフサービス アカウントのロック解除 | 切断されているドメインとフォレストの 2 人のユーザーが、SSPR ポータルでアカウントのロックを解除してパスワードをリセットするようにします。 また、Microsoft Entra Connect とクラウド同期を並べて、クラウド同期構成のスコープに 1 人のユーザーを配置し、もう 1 人のユーザーを Microsoft Entra Connect のスコープに配置することもできます。 |
トラブルシューティング
Microsoft Entra Connect クラウド同期グループのマネージド サービス アカウントには、既定でパスワードを書き戻す次のアクセス許可が設定されている必要があります。
- [パスワードのリセット]
- lockoutTime に対する書き込みアクセス許可
- pwdLastSet に対する書き込みアクセス許可
- まだ設定していない場合は、そのフォレスト内の各ドメインのルート オブジェクトに対する「パスワードの有効期限を解除する」ための拡張された権限。
これらのアクセス許可が設定されていない場合は、Set-AADCloudSyncPermissions コマンドレットとオンプレミスのエンタープライズ管理者の資格情報を使用して、サービス アカウントに対する PasswordWriteBack アクセス許可を設定できます。
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)アクセス許可を更新した後、ディレクトリ内のすべてのオブジェクトにこれらのアクセス許可がレプリケートされるまで最大で 1 時間以上かかる場合があります。
一部のユーザー アカウントのパスワードがオンプレミスのディレクトリにライトバックされない場合は、オンプレミスの AD DS 環境でそのアカウントの継承が無効になっていないことを確認してください。 この機能を正常に動作させるには、パスワードの書き込みアクセス許可を子孫オブジェクトに適用する必要があります。
オンプレミスの AD DS 環境のパスワード ポリシーによって、パスワードのリセットが正しく処理されない場合があります。 この機能をテストしていて、ユーザーのパスワードを 1 日に複数回リセットする場合は、[パスワードの変更禁止期間] のグループ ポリシーを 0 に設定する必要があります。 この設定は、gpmc.msc 内のコンピューター構成> ポリシー > Windows 設定 > セキュリティ設定 > アカウント ポリシー > パスワード ポリシーにあります。
グループ ポリシーを更新する場合は、更新されたポリシーがレプリケートされるまで待つか、gpupdate /force コマンドを使用します。
パスワードがすぐに変更されるようにするには、 [パスワードの変更禁止期間] を 0 に設定する必要があります。 ただし、ユーザーがオンプレミスのポリシーに従って、パスワードの最小有効期間が 0 より大きい値に設定している場合、オンプレミス ポリシーの評価後にパスワード ライトバックは機能しません。
適切なアクセス許可を検証または設定する方法の詳細については、「 Microsoft Entra Connect のアカウントアクセス許可の構成を参照してください。
次のステップ
- クラウド同期の詳細や Microsoft Entra Connect とクラウド同期の比較については、Microsoft Entra Connect クラウド同期とは何ですか? を参照してください。
- Microsoft Entra Connect を使用したパスワード ライトバックの設定に関するチュートリアルについては、「Tutorial: オンプレミス環境へのセルフサービス パスワード リセット ライトバックMicrosoft Entra有効にするを参照してください。