Azure AD Connect の選択的なパスワード ハッシュ同期の構成

  • [アーティクル]

パスワード ハッシュ同期は、ハイブリッド ID を実現するために使用されるサインイン方法の 1 つです。 Azure AD Connect では、オンプレミスの Active Directory インスタンスからクラウドベースの Azure AD インスタンスに、ユーザーのパスワードのハッシュを同期します。 既定では、セットアップが完了すると、同期しているすべてのユーザーに対してパスワード ハッシュ同期が実行されます。

一部のユーザーを Azure AD へのパスワード ハッシュ同期から除外する場合、この記事で説明されている手順に従って、選択的なパスワード ハッシュ同期を構成することができます。

重要

公式に文書化されている構成やアクションを除き、Microsoft は Azure AD Connect Sync の変更や操作をサポートしません。 このような構成やアクションを行うと、Azure AD Connect Sync が不整合な状態になったり、サポートされていない状態になったりする可能性があります。結果的に、Microsoft ではこのようなデプロイについて効果的なテクニカル サポートを提供できることを保障できなくなります。

実装について検討する

構成管理作業を軽減するために、まずパスワード ハッシュ同期から除外するユーザー オブジェクトの数を考慮する必要があります。 以下のシナリオのうち、相互に排他的なものを確認し、要件に合わせて適切な構成オプションを選択してください。

  • 除外するユーザーの数が、含めるユーザー数より小さい場合は、こちらのセクションの手順に従います。
  • 除外するユーザーの数が、含めるユーザー数より大きい場合は、こちらのセクションの手順に従います。

重要

いずれの構成オプションを選択しても、変更を適用するために必要な初期同期 (完全同期) が、次の同期サイクルで自動的に実行されます。

重要

選択的なパスワード ハッシュ同期を構成すると、パスワード ライトバックに直接影響します。 Azure Active Directory で開始されたパスワードの変更またはパスワードのリセットは、ユーザーがパスワード ハッシュ同期の対象になっている場合にのみ、オンプレミスの Active Directory に書き戻されます。

重要

選択的なパスワード ハッシュ同期は、1.6.2.4 以降でサポートされています。 それより前のバージョンを使用している場合、最新版にアップグレードしてください。

AdminDescription 属性

どちらのシナリオも、ユーザーの adminDescription 属性を特定の値に設定することに依存しています。 これにより、規則が適用され、選択的な PHS が機能するようになります。

シナリオ adminDescription 値
除外するユーザーが含めるユーザーよりも少ない PHSFiltered
除外するユーザーが含めるユーザーよりも多い PHSIncluded

この属性は、以下のいずれかの方法で、手動で設定できます。

  • Active Directory ユーザーとコンピューター UI を使用
  • Set-ADUser PowerShell コマンドレットの使用 詳細については、「Set-ADUser」を参照してください。

同期スケジューラを無効にする

どちらのシナリオを開始する場合も、同期規則を変更している間、同期スケジューラを無効にしておく必要があります。

  1. Windows PowerShell を起動します。

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. 次のコマンドレットを実行して、スケジューラが無効になっていることを確認します。

    Get-ADSyncScheduler

スケジューラについて詳しくは、Azure AD Connect スケジューラに関する記事を参照してください。

除外するユーザーが含めるユーザーよりも少ない

次のセクションでは、除外するユーザーの数が、含めるユーザー数より小さい場合に、選択的なパスワード ハッシュ同期を有効にする方法について説明します。

重要

既に説明したように、続行する前に、同期スケジューラが無効になっていることを確認してください。

  • In from AD – User AccountEnabled の編集可能なコピーを作成し、パスワード ハッシュ同期を未選択にできるようにするオプションを選択します。そして、スコープ フィルターを定義します。
  • 既定の In from AD – User AccountEnabled の編集可能なコピーをもう 1 つ作成し、パスワード ハッシュ同期を選択できるようにするオプションを選択します。そして、スコープ フィルターを定義します。
  • 同期スケジューラを再度有効にする
  • パスワード ハッシュ同期で許可するユーザーに対してスコープ属性として定義されていた Active Directory の属性値を設定します。

重要

選択的なパスワード ハッシュ同期を構成するために指定された手順は、Active Directory で設定された属性 adminDescription (値は phsfiltered) を持つユーザー オブジェクトにのみ影響します。 この属性が設定されていない場合、または値が Phsfiltered 以外の場合、これらの規則はユーザー オブジェクトに適用されません。

必要な同期規則を構成します。

  1. 同期規則エディターを起動し、フィルター [パスワード同期][オン] にし、 [規則の種類][標準] に設定します。 同期規則エディターを起動する
  2. 選択的なパスワード ハッシュ同期を構成する Active Directory フォレスト コネクタで、規則 [In from AD – User AccountEnabled] を選択し、 [編集] をクリックします。 次のダイアログ ボックスで [はい] を選択して、元の規則の編集可能なコピーを作成します。 規則の選択
  3. 最初のルールでは、パスワード ハッシュ同期を無効にします。新しいカスタム規則に In from AD - User AccountEnabled - Filter Users from PHS という名前を指定します。 優先順位の値を 100 未満の数値に変更します (たとえば、90 または使用している環境で使用可能な最小値)。 [パスワード同期を有効にする] チェックボックスと [無効] チェックボックスがオフになっていることを確認します。 [次へ] をクリックします。 受信の編集
  4. [スコープ フィルター][句の追加] をクリックします。 [属性] 列で [adminDescription] 、[演算子] 列で [EQUAL] を選択し、値として「PHSFiltered」と入力します。 スコープ フィルター
  5. 他の変更は必要ありません。 [結合規則] および [変換] は、既定のコピーされた設定のままにし、ここで [保存] をクリックできます。 コネクタの次の同期サイクルで完全同期が実行されることを通知する警告ダイアログ ボックスで [OK] をクリックします。 規則の保存
  6. 次に、パスワード ハッシュ同期を有効にする別のカスタム規則を作成します。 選択的なパスワード ハッシュ同期を構成する Active Directory フォレスト コネクタで、既定の規則 [In from AD – User AccountEnabled] をもう一度選択し、 [編集] をクリックします。 次のダイアログ ボックスで [はい] を選択して、元の規則の編集可能なコピーを作成します。 カスタム規則
  7. 新しいカスタム規則に、「In from AD - User AccountEnabled - Users included for PHS」という名前を指定します。 優先順位の値を、前に作成した規則よりも低い数値に変更します (この例では 89 になります)。 [パスワード同期を有効にする] チェックボックスがオンで、 [無効] チェックボックスがオフになっていることを確認します。 [次へ] をクリックします。
    新しい規則の編集
  8. [スコープ フィルター][句の追加] をクリックします。 [属性] 列で [adminDescription] 、[演算子] 列で [NOTEQUAL] を選択し、値として「PHSFiltered」と入力します。 スコープ規則
  9. 他の変更は必要ありません。 [結合規則] および [変換] は、既定のコピーされた設定のままにし、ここで [保存] をクリックできます。 コネクタの次の同期サイクルで完全同期が実行されることを通知する警告ダイアログ ボックスで [OK] をクリックします。 結合規則
  10. 規則の作成を確認します。 [パスワード同期]オンで、[規則の種類][標準] のフィルターを削除します。 先ほど作成した新しい規則が両方とも表示されます。 規則の確認

同期スケジューラを再度有効にする:

必要な同期規則を構成する手順を完了したら、次の手順で同期スケジューラを再度有効にします。

  1. Windows PowerShell で次を実行します。

    set-adsyncscheduler -synccycleenabled:$true

  2. 次を実行して、正常に有効にされたことを確認します。

    get-adsyncscheduler

スケジューラについて詳しくは、Azure AD Connect スケジューラに関する記事を参照してください。

ユーザーの adminDescription 属性の編集:

すべての構成が完了したら、Active Directory でパスワード ハッシュ同期から除外するすべてのユーザーの属性 adminDescription を編集し、スコープ フィルターで使用される文字列「PHSFiltered」を追加する必要があります。

属性を編集する

次の PowerShell コマンドを使用して、ユーザーの adminDescription 属性を編集することもできます。

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

除外するユーザーが含めるユーザーよりも多い

次のセクションでは、除外するユーザーの数が、含めるユーザー数より大きい場合に、選択的なパスワード ハッシュ同期を有効にする方法について説明します。

重要

既に説明したように、続行する前に、同期スケジューラが無効になっていることを確認してください。

次に、以下の手順で実行されるアクションの概要を示します。

  • In from AD – User AccountEnabled の編集可能なコピーを作成し、パスワード ハッシュ同期を未選択にできるようにするオプションを選択します。そして、スコープ フィルターを定義します。
  • 既定の In from AD – User AccountEnabled の編集可能なコピーをもう 1 つ作成し、パスワード ハッシュ同期を選択できるようにするオプションを選択します。そして、スコープ フィルターを定義します。
  • 同期スケジューラを再度有効にする
  • パスワード ハッシュ同期で許可するユーザーに対してスコープ属性として定義されていた Active Directory の属性値を設定します。

重要

選択的なパスワード ハッシュ同期を構成するために指定された手順は、Active Directory で設定された属性 adminDescription (値は PHSIncluded) を持つユーザー オブジェクトにのみ影響します。 この属性が設定されていない場合、または値が PHSIncluded 以外の場合、これらの規則はユーザー オブジェクトに適用されません。

必要な同期規則を構成します。

  1. 同期規則エディターを起動し、フィルター [パスワード同期][オン] にし、[規則の種類][標準] に設定します。 規則の種類
  2. 選択的なパスワード ハッシュ同期を構成する Active Directory フォレスト コネクタで、規則 [In from AD – User AccountEnabled] をもう一度選択し、 [編集] をクリックします。 次のダイアログ ボックスで [はい] を選択して、元の規則の編集可能なコピーを作成します。 In from AD
  3. 最初のルールでは、パスワード ハッシュ同期を無効にします。新しいカスタム規則に In from AD - User AccountEnabled - Filter Users from PHS という名前を指定します。 優先順位の値を 100 未満の数値に変更します (たとえば、90 または使用している環境で使用可能な最小値)。 [パスワード同期を有効にする] チェックボックスと [無効] チェックボックスがオフになっていることを確認します。 [次へ] をクリックします。 優先順位の設定
  4. [スコープ フィルター][句の追加] をクリックします。 [属性] 列で [adminDescription] 、[演算子] 列で [NOTEQUAL] を選択し、値として「PHSIncluded」と入力します。 句の追加
  5. 他の変更は必要ありません。 [結合規則] および [変換] は、既定のコピーされた設定のままにし、ここで [保存] をクリックできます。 コネクタの次の同期サイクルで完全同期が実行されることを通知する警告ダイアログ ボックスで [OK] をクリックします。 変換
  6. 次に、パスワード ハッシュ同期を有効にする別のカスタム規則を作成します。 選択的なパスワード ハッシュ同期を構成する Active Directory フォレスト コネクタで、既定の規則 [In from AD – User AccountEnabled] をもう一度選択し、 [編集] をクリックします。 次のダイアログ ボックスで [はい] を選択して、元の規則の編集可能なコピーを作成します。 User AccountEnabled
  7. 新しいカスタム規則に、「In from AD - User AccountEnabled - Users included for PHS」という名前を指定します。 優先順位の値を、前に作成した規則よりも低い数値に変更します (この例では 89 になります)。 [パスワード同期を有効にする] チェックボックスがオンで、 [無効] チェックボックスがオフになっていることを確認します。 [次へ] をクリックします。 パスワード同期を有効にする
  8. [スコープ フィルター][句の追加] をクリックします。 [属性] 列で [adminDescription] 、[演算子] 列で [EQUAL] を選択し、値として「PHSIncluded」と入力します。 PHSIncluded
  9. 他の変更は必要ありません。 [結合規則] および [変換] は、既定のコピーされた設定のままにし、ここで [保存] をクリックできます。 コネクタの次の同期サイクルで完全同期が実行されることを通知する警告ダイアログ ボックスで [OK] をクリックします。 今すぐ保存
  10. 規則の作成を確認します。 [パスワード同期]オンで、[規則の種類][標準] のフィルターを削除します。 先ほど作成した新しい規則が両方とも表示されます。 同期オン

同期スケジューラを再度有効にする:

必要な同期規則を構成する手順を完了したら、次の手順で同期スケジューラを再度有効にします。

  1. Windows PowerShell で次を実行します。

    set-adsyncscheduler-synccycleenabled$true

  2. 次を実行して、正常に有効にされたことを確認します。

    get-adsyncscheduler

スケジューラについて詳しくは、Azure AD Connect スケジューラに関する記事を参照してください。

ユーザーの adminDescription 属性の編集:

すべての構成が完了したら、Active Directory でパスワード ハッシュ同期に含めるすべてのユーザーの属性 adminDescription を編集し、スコープ フィルターで使用される文字列「PHSIncluded」を追加する必要があります。

属性の編集

次の PowerShell コマンドを使用して、ユーザーの adminDescription 属性を編集することもできます。

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

次の手順