チュートリアル:オンプレミス環境への Azure Active Directory のセルフサービス パスワード リセットのライトバックを有効にする

Azure Active Directory (Azure AD) のセルフサービス パスワード リセット (SSPR) を使用すると、ユーザーは Web ブラウザーを使用して自分のパスワードを更新したり、自分のアカウントのロックを解除したりできます。 「Azure AD の SSPR を有効にして構成する方法」の動画をぜひご覧ください。 Azure AD がオンプレミスの Active Directory Domain Services (AD DS) 環境に接続されているハイブリッド環境では、このシナリオにより、パスワードが 2 つのディレクトリ間で異なる場合があります。

パスワード ライトバックを使用すると、Azure AD でのパスワード変更をオンプレミスの AD DS 環境に同期することができます。 Azure AD Connect には、これらのパスワード変更を Azure AD から既存のオンプレミス ディレクトリに送信するための安全なメカニズムが用意されています。

重要

このチュートリアルでは、セルフサービス パスワード リセットをオンプレミス環境にライトバックする方法を管理者に示します。 既にセルフサービス パスワード リセットの登録が済んでいて、自分のアカウントに戻る必要があるエンド ユーザーは、 https://aka.ms/sspr にアクセスしてください。

ユーザーが自分でパスワードをリセットする機能が IT チームによって有効にされていない場合は、ヘルプデスクに連絡して追加のサポートを依頼してください。

このチュートリアルでは、以下の内容を学習します。

• パスワード ライトバックに必要なアクセス許可を構成する
• Azure AD Connect でパスワード ライトバック オプションを有効にする
• Azure AD SSPR でパスワード ライトバックを有効にする

前提条件

このチュートリアルを完了するには、以下のリソースと特権が必要です。

• 少なくとも Azure AD Premium P1 または試用版ライセンスが有効になっている、動作している Azure AD テナント。
  • 必要に応じて、無料で作成できます。
  • 詳細については、Azure AD SSPR のライセンス要件に関するページを参照してください。
• ハイブリッド ID 管理者を持つアカウント。
• セルフサービス パスワード リセット用に構成された Azure AD。
  • 必要に応じて、前のチュートリアルを完了して Azure AD SSPR を有効にしてください。
• Azure AD Connect の現在のバージョンを使用して構成された既存のオンプレミスの AD DS 環境。
  • 必要に応じて、簡易またはカスタム設定を使用して Azure AD Connect を構成してください。
  • パスワード ライトバックを使用するために、ドメイン コントローラーはサポートされている任意のバージョンの Windows Server を実行できます。

Azure AD Connect に対するアカウントのアクセス許可を構成する

Azure AD Connect を使用すると、オンプレミスの AD DS 環境と Azure AD の間でユーザー、グループ、資格情報を同期できます。 通常は、オンプレミスの AD DS ドメインに参加している Windows Server 2016 以降のコンピューターに Azure AD Connect をインストールします。

SSPR のライトバックを正しく操作するには、Azure AD Connect で指定されたアカウントに適切なアクセス許可とオプションが設定されている必要があります。 現在どのアカウントが使用されているかわからない場合は、Azure AD Connect を開き、 [現在の構成を表示] オプションを選択します。 アクセス許可を追加する必要があるアカウントが、 [同期されたディレクトリ] の下に表示されます。 このアカウントには、次のアクセス許可とオプションを設定する必要があります。

• パスワードのリセット
• lockoutTime での書き込みアクセス許可
• pwdLastSet での書き込みアクセス許可
• まだ設定して場合は、そのフォレスト内の "各ドメイン" のルート オブジェクトに、 "期限切れではないパ スワード" のを拡張する権限。

これらのアクセス許可を割り当てないと、ライトバックが正しく構成されているように見えても、ユーザーがクラウドからオンプレミスのパスワードを管理するときにエラーが発生することがあります。 Active Directory で "期限切れではないパスワード" のアクセス許可を設定する場合は、"このオブジェクトとすべての子孫オブジェクト"、"このオブジェクトのみ"、または "すべての子孫オブジェクト" に適用する必要があります。そうしないと、"期限切れではないパスワード" のアクセス許可を表示することはできません。

ヒント

一部のユーザー アカウントのパスワードがオンプレミスのディレクトリに書き戻されない場合は、オンプレミスの AD DS 環境でそのアカウントの継承が無効になっていないことを確認してください。 この機能を正常に動作させるには、パスワードの書き込みアクセス許可を子孫オブジェクトに適用する必要があります。

パスワード ライトバックを行うための適切なアクセス許可を設定するには、以下の手順を完了します。

1. オンプレミスの AD DS 環境で、適切なドメイン管理者のアクセス許可を持つアカウントを使用して [Active Directory ユーザーとコンピューター] を開きます。

2. [表示] メニューで、 [高度な機能] がオンになっていることを確認します。

3. 左側のパネルで、ドメインのルートを表すオブジェクトを右クリックし、 [プロパティ]>[セキュリティ]>[Advanced](詳細設定) の順に選択します。

4. [アクセス許可] タブで [追加] を選びます。

5. [プリンシパル] で、アクセス許可を適用するアカウント (Azure AD Connect で使用されているアカウント) を選択します。

6. [適用対象] ドロップダウン ボックスの一覧で、 [ユーザーの子孫オブジェクト] オブジェクトを選びます。

7. [アクセス許可] で次のオプションのボックスを選択します。

   • パスワードのリセット

8. [プロパティ] で次のオプションのボックスを選択します。 これらのオプションを見つけるには、リストをスクロールします。これらは、既定で設定されている場合があります。

   • Write lockoutTime
   • Write pwdLastSet

   

9. 準備ができたら、[適用] または [OK] を選択して変更を適用します。

10. [アクセス許可] タブで [追加] を選びます。

11. [プリンシパル] で、アクセス許可を適用するアカウント (Azure AD Connect で使用されているアカウント) を選択します。

12. [適用先] ドロップダウン リストで、[このオブジェクトとすべての子オブジェクト] を選択します

13. [アクセス許可] で次のオプションのボックスを選択します。

    • 無期限パスワード

14. 準備ができたら、 [適用] または [OK] を選択して変更を適用し、開いているすべてのダイアログ ボックスを終了します。

アクセス許可を更新すると、ディレクトリ内のすべてのオブジェクトにこれらのアクセス許可がレプリケートされるまで最大で 1 時間以上かかる場合があります。

オンプレミスの AD DS 環境のパスワード ポリシーによって、パスワードのリセットが正しく処理されない場合があります。 パスワード ライトバックが最も効率よく機能させるには、"パスワードの変更禁止期間" のグループ ポリシーを 0 に設定する必要があります。 この設定は、[コンピューターの構成] > [ポリシー] > [Windows の設定] > [セキュリティの設定] > [アカウント ポリシー] の下の gpmc.msc にあります。

グループ ポリシーを更新する場合は、更新されたポリシーがレプリケートされるまで待つか、gpupdate /force コマンドを使用します。

注意

ユーザー*が 1 日に 1 回以上パスワード*を変更またはリセット*する必要がある場合は、パスワード*の最小使用期間を 0 に設定する必要があります。 パスワード ライトバック*は、オンプレミスの*パスワード* ポリシーが正常に評価された後に機能します。

Azure AD Connect でパスワード ライトバックを有効にする

Azure AD Connect の構成オプションの 1 つはパスワード ライトバック用です。 このオプションが有効になっていると、パスワード変更イベントにより、Azure AD Connect は更新された資格情報をオンプレミスの AD DS 環境に同期します。

SSPR のライトバックを有効にするには、まず、Azure AD Connect でライトバック オプションを有効にします。 Azure AD Connect サーバーから、次の手順を実行します。

1. Azure AD Connect サーバーにサインインし、Azure AD Connect 構成ウィザードを開始します。

2. [ようこそ] ページで [構成] を選びます。

3. [追加のタスク] ページで [同期オプションのカスタマイズ] を選んで、 [次へ] を選びます。

4. [Azure AD に接続] ページで、お使いの Azure テナントの全体管理者の資格情報を入力し、 [次へ] を選択します。

5. [Connect ディレクトリ] ページおよび [ドメイン/OU のフィルタリング] ページで、 [次へ] を選びます。

6. [オプション機能] ページで [パスワード ライトバック] の横にあるチェック ボックスをオンにし、 [次へ] を選びます。

   

7. [ディレクトリ拡張機能] ページで、 [次へ] を選択します。

8. [構成の準備完了] ページで [構成] を選び、処理が完了するまで待ちます。

9. 構成の完了が表示されたら、 [終了] を選びます。

SSPR のパスワード ライトバックを有効にする

Azure AD Connect でパスワード ライトバックが有効になったところで、ライトバックのために Azure AD SSPR を構成します。 SSPR は、Azure AD Connect 同期エージェントと Azure AD Connect プロビジョニング エージェント (クラウド同期) を介してライトバックするように構成できます。 SSPR でパスワード ライトバックを使用できるようにすると、自分のパスワードを変更またはリセットするユーザーは、その更新したパスワードがオンプレミスの AD DS 環境にも同期されるようになります。

SSPR でパスワード ライトバックを有効にするには、次の手順を実行します。

1. ハイブリッド ID の管理者アカウントを使用して、Azure portal にサインインします。

2. [Azure Active Directory] を検索して選択し、 [パスワード リセット] を選択してから、 [オンプレミスの統合] を選択します。

3. [オンプレミス ディレクトリへのパスワード ライトバック] オプションをオンにします。

4. (省略可能) Azure AD Connect プロビジョニング エージェントが検出された場合は、[Azure AD Connect クラウド同期を使用したパスワード ライトバック] オプションもオンにできます。

5. [パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する] オプションを [はい] にします。

   

6. 準備ができたら、 [保存] を選択します。

リソースをクリーンアップする

このチュートリアルの一環として構成した SSPR のライトバック機能をもう使用しない場合は、次の手順を実行します。

1. Azure portal にサインインします。
2. [Azure Active Directory] を検索して選択し、 [パスワード リセット] を選択してから、 [オンプレミスの統合] を選択します。
3. [オンプレミス ディレクトリへのパスワード ライトバック] オプションをオフにします。
4. [Azure AD Connect クラウド同期を使用したパスワード ライトバック] オプションをオフにします。
5. [パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する] オプションをオフにします。
6. 準備ができたら、 [保存] を選択します。

SSPR ライトバック機能に Azure AD Connect クラウド同期を使用しなくなった場合に、ライトバックに Azure AD Connect 同期エージェントを引き続き使用するには、次の手順を実行します。

1. Azure portal にサインインします。
2. [Azure Active Directory] を検索して選択し、 [パスワード リセット] を選択してから、 [オンプレミスの統合] を選択します。
3. [Azure AD Connect クラウド同期を使用したパスワード ライトバック] オプションをオフにします。
4. 準備ができたら、 [保存] を選択します。

パスワード機能を使用する必要がなくなった場合は、Azure AD Connect サーバーから次の手順を実行します。

1. Azure AD Connect サーバーにサインインし、Azure AD Connect 構成ウィザードを開始します。
2. [ようこそ] ページで [構成] を選びます。
3. [追加のタスク] ページで [同期オプションのカスタマイズ] を選んで、 [次へ] を選びます。
4. [Azure AD に接続] ページで、お使いの Azure テナントの全体管理者の資格情報を入力し、 [次へ] を選択します。
5. [Connect ディレクトリ] ページおよび [ドメイン/OU のフィルタリング] ページで、 [次へ] を選びます。
6. [オプション機能] ページで [パスワード ライトバック] の横にあるチェック ボックスをオフにし、 [次へ] を選択します。
7. [構成の準備完了] ページで [構成] を選び、処理が完了するまで待ちます。
8. 構成の完了が表示されたら、 [終了] を選びます。

重要

パスワードの変更が発生していない場合でも、パスワード ライトバックを初めて有効にすると、パスワード変更イベント 656 と 657 がトリガーされる場合があります。 これは、パスワード ハッシュ同期サイクルの実行後に、すべてのパスワード ハッシュが再同期されるためです。

次のステップ

このチュートリアルでは、オンプレミスの AD DS 環境に対する Azure AD SSPR のライトバックを有効にしました。 以下の方法を学習しました。

• パスワード ライトバックに必要なアクセス許可を構成する
• Azure AD Connect でパスワード ライトバック オプションを有効にする
• Azure AD SSPR でパスワード ライトバックを有効にする

サインイン時にリスクを評価する