Microsoft Entra Domain Services マネージドドメインでアカウントがロックアウトされる問題を解決する

[アーティクル]
10/23/2023

悪意のあるサインイン試行が繰り返し行われるのを防ぐために、AMicrosoft Entra Domain Services のマネージドドメインでは、定義されたしきい値を超えたときにアカウントがロックされます。このアカウントロックアウトは、サインイン攻撃がなくても偶発的に起こることがあります。たとえば、ユーザーが間違ったパスワードを繰り返し入力したり、サービスで古いパスワードの使用が試行されたりしたとき、アカウントはロックアウトされます。

このトラブルシューティング記事では、アカウントロックアウトが発生する理由、ロックアウト動作を設定する方法、ロックアウト問題を解決する目的でセキュリティ監査を確認する方法について説明します。

アカウントロックアウトとは何ですか。

サインインの試行失敗に対して定義されているしきい値に到達すると、Domain Services マネージドドメインのユーザーアカウントはロックアウトされます。サインインが総当たり式に繰り返し試行される場合、自動化されたデジタル攻撃の可能性があります。このアカウントロックアウト動作はユーザーをそのような攻撃から守るように設計されています。

既定では、2 分間で 5 回パスワードの入力に失敗すると、アカウントは 30 分間ロックアウトされます。

アカウントロックアウトの既定のしきい値は、細かい設定が可能なパスワードポリシーを利用して構成されます。特定の一連の要件がある場合、アカウントロックアウトの既定のしきい値をオーバーライドできます。ただし、アカウントのロックアウト数を減らす目的でしきい値の上限を上げることはお勧めしません。まず、アカウントロックアウト動作の原因を解決してください。

細かい設定が可能なパスワードポリシー

細かい設定が可能なパスワードポリシー (FGPP) を使用すると、パスワードおよびアカウントロックアウトのポリシーに対して、ドメイン内の異なるユーザーに特定の制限を適用できます。 FGPP は、マネージドドメイン内のユーザーにのみ影響します。 Microsoft Entra ID からマネージドドメインに同期されたクラウドユーザーとドメインユーザーは、マネージドドメイン内のパスワードポリシーの影響のみを受けます。 Microsoft Entra ID またはオンプレミスのディレクトリ内のアカウントは影響を受けません。

ポリシーは、マネージドドメイン内のグループの関連付けを通じて配布されます。すべての変更が、ユーザーの次回サインイン時に適用されます。ポリシーを変更しても、既にロックアウトされているユーザーアカウントのロックが解除されることはありません。

細かい設定が可能なパスワードポリシーと、Domain Services で直接作成されたユーザーと Microsoft Entra ID から同期されたユーザーの違いの詳細については、「パスワードとアカウントのロックアウトポリシーの構成」を参照してください。

アカウントロックアウトの一般的な理由

アカウントがロックアウトされる最も一般的な理由には、悪意のある意図や要因を除いて、次のようなシナリオが含まれます。

ユーザーが自分自身をロックアウトした。
- 最近パスワードを変更した後、以前のパスワードを使用しませんでしたか。ユーザーが古いパスワードをうっかり再試行すると、2 分間で 5 回失敗という既定のポリシーがアカウントロックアウトの原因となることがあります。
古いパスワードが指定されたアプリケーションまたはサービスが存在する。
- アカウントがアプリケーションまたはサービスによって使用されている場合、そのようなリソースで、古いパスワードによるサインインが繰り返し試されることがあります。この動作により、アカウントのロックアウトが引き起こされることがあります。
- 複数の異なるアプリケーションまたはサービスをまたぐアカウントの使用は最小限に留め、資格情報の使用場所を記録してください。アカウントのパスワードが変更された場合、関連付けられているアプリケーションまたはサービスを適宜更新してください。
別の環境でパスワードが変更されたが、新しいパスワードがまだ同期されていない。
- オンプレミスの AD DS 環境など、マネージドドメインの外部でアカウントのパスワードが変更された場合、そのパスワード変更が Microsoft Entra ID 経由でマネージドドメインに同期するまで数分かかることがあります。
- そのパスワード同期プロセスが完了する前にマネージドドメイン内のリソースにサインインしようとすると、アカウントがロックアウトされます。

セキュリティ監査によるアカウントロックアウトのトラブルシューティング

アカウントロックアウトがいつ発生し、どこでロックアウトが発生するかトラブルシューティングするには、Domain Services 向けセキュリティ監査を有効にします。監査イベントのキャプチャは、この機能を有効にした時点からに限られます。理想的には、トラブルシューティングするアカウントロックアウト問題が発生する前にセキュリティ監査を有効にしてください。ユーザーアカウントでロックアウト問題が繰り返される場合、それが次に発生するときのための準備としてセキュリティ監査を有効にできます。

セキュリティ監査を有効にすると、次のサンプルクエリから、アカウントロックアウトイベント コード 4740 をレビューする方法が示されます。

直近 7 日間のすべてのアカウントロックアウトイベントを表示します。

AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"

driley という名前のアカウントを対象に、直近 7 日間のすべてのアカウントロックアウトイベントを表示します。

AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
| where "driley" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))

2020 年 6 月 26 日午前 9 時から 2020 年 7 月 1 日午前 0 時までのすべてのアカウントロックアウトイベントを、日時の昇順で並び替えて表示します。

AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-26 09:00) and TimeGenerated <= datetime(2020-07-01)
| where OperationName has "4740"
| sort by TimeGenerated asc

4776 および 4740 の "ソースワークステーション:" のイベント詳細が空の場合があります。これは、他のデバイスからのネットワークログオンで不正なパスワードが発生したためです。

たとえば、RADIUS サーバーでは認証を Domain Services に転送できます。

03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: Transitive Network logon of contoso\Nagappan.Veerappan from (via LOB11-RADIUS) Entered

03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: Transitive Network logon of contoso\Nagappan.Veerappan from (via LOB11-RADIUS) Returns 0xC000006A

03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: Transitive Network logon of contoso\Nagappan.Veerappan from (via LOB11-RADIUS) Entered

03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: Transitive Network logon of contoso\Nagappan.Veerappan from (via LOB11-RADIUS) Returns 0xC000006A

バックエンドへの NSG 内にある DC に対する RDP を有効にして、診断キャプチャ (netlogon) を構成します。要件の詳細については、「受信セキュリティ規則」を参照してください。

既定の NSG を既に変更している場合は、「ポート 3389 - リモートデスクトップを使用した管理」に従います。

任意のサーバーで Netlogon ログを有効にするには、「Netlogon サービスのデバッグログを有効にする」に従います。

次のステップ

細かい設定が可能なパスワードポリシーでアカウントロックアウトのしきい値を調整する方法については、パスワードとアカウントロックアウトポリシーの構成に関するページを参照してください。

VM をマネージドドメインに参加させる際の問題が解決しない場合は、ヘルプを参照し、Microsoft Entra ID のサポートチケットを開いてください。

Microsoft Entra Domain Services マネージド ドメインでアカウントがロックアウトされる問題を解決する

アカウント ロックアウトとは何ですか。

細かい設定が可能なパスワード ポリシー

アカウント ロックアウトの一般的な理由

セキュリティ監査によるアカウント ロックアウトのトラブルシューティング