次の方法で共有

Microsoft Entra Connect パススルー認証中にパスワード ハッシュ同期が自動的に有効になる

この記事は、Microsoft Entra コネクタでパスワード ハッシュ同期が自動的に有効になる問題を解決するのに役立ちます。

元の製品バージョン: Microsoft Entra ID
元の KB 番号: 4051623

次のバージョンの Microsoft Entra Connect には、 Change ユーザー サインイン タスクに影響する問題があります。

  • 1.1.557.0
  • 1.1.558.0
  • 1.1.561.0
  • 1.1.614.0

これらの問題は、パスワード ハッシュ同期を使用しないパススルー認証ユーザーに影響します。

この問題は、 Microsoft Entra Connect バージョン 1.1.644.0 で修正されています。

問題 1: ユーザー サインイン方法がパススルー認証に設定されている場合にパスワード同期が有効になる

シナリオ 1

  • パスワード同期とパススルー認証の両方が無効になっている既存の Microsoft Entra Connect 展開がある。
  • Change ユーザー サインイン タスクを使用してパススルー認証を有効にすると、パスワード ハッシュ同期が自動的に有効になります。

シナリオ 2

  • パスワード同期が無効でパススルー認証が有効になっている既存の Microsoft Entra Connect 展開がある。
  • Change ユーザー サインイン タスクを使用して Seamless Single Sign-on オプションを有効または無効にすると、パスワード ハッシュ同期が自動的に有効になります。

この問題に関する背景情報

  • Microsoft Entra Connect バージョン 1.1.557.0 より前のバージョンでは、パスワード同期はパススルー認証を有効にするための前提条件でした。 そのため、パススルー認証が有効になっているときにパスワード同期が有効になりました。
  • パスワード同期はパススルー認証では不要になったため、Microsoft Entra Connect バージョン 1.1.557.0 でこのプロセスを変更し、Microsoft Entra Connect のインストール時にパススルー認証が有効になっている場合にパスワード同期を有効にしないようにしました。
  • ただし、 Change ユーザー サインイン タスクにも同じ変更は適用されませんでした。 タスクを使用して既存の Microsoft Entra Connect 展開へのパススルー認証を有効にすると、パスワード同期が自動的に有効になります。 この問題は、 Microsoft Entra Connect バージョン 1.1.644.0 で修正され、 Change ユーザー サインイン タスクを使用してパススルー認証が有効になっているときにパスワード ハッシュ同期が無効なままになるようにします。

問題 2: ユーザー サインイン方法がパススルー認証に設定されている場合、無効なパスワード同期に関する正しくないプロンプト

  • パスワード同期が有効でパススルー認証が無効になっている既存の Microsoft Entra Connect 展開がある。
  • Change ユーザー サインイン タスクを使用してパススルー認証を有効にすると、パスワード ハッシュ同期は有効なままになります。

この問題に関する背景情報

設計上、パスワード ハッシュ同期が有効になっている場合、ユーザー サインイン タスクを他のオプションに変更しても、パスワード ハッシュ同期は無効になりません。 この問題は、パスワード ハッシュ同期が無効になっていることを示すプロンプト ウィンドウが表示されないようにするため、 Microsoft Entra Connect バージョン 1.1.644.0 で修正されています。

解決方法

この問題を解決するには、次の手順に従ってください。

  1. Microsoft Entra Connect を実行し、現在の構成 表示を選択します。 詳細ウィンドウで、テナントで Password 同期有効 かどうかを確認します。

    パスワード同期の状態が有効になっていることを示すスクリーンショット。

  2. Password 同期機能を無効にします。 これを行うには、次の手順を実行します。

    1. Microsoft Entra Connect を実行し、 Configure を選択します。
    2. 同期オプションタスクを選択します。
    3. オプション機能 ページで、[Password 同期機能] チェック ボックスをオフにします。
    4. ウィザードの完了。

必要に応じて、Microsoft Entra ID に既に同期されているパスワード ハッシュをクリアする場合は、次の手順に従います。

  1. テナントで、Password ライトバック機能がであることを確認します。 これを行うには、次の手順を実行します。

    1. Microsoft Entra Connect を実行し、 Configure を選択します。
    2. 同期オプションタスクを選択します。
    3. オプション機能 ページで、[Password ライトバック機能] チェック ボックスをオフにします。
    4. ウィザードの完了。

  2. Reset-MgUserAuthenticationMethodPassword コマンドレットを使用して、影響を受けるすべてのユーザーにランダム なパスワードを設定します。 Microsoft Entra ID はパスワード ハッシュ履歴に最後の 4 つのパスワード ハッシュを格納するため、ユーザーごとにこのコマンドレットを 5 回実行する必要があります。

    フェデレーション ドメイン ユーザーに対してコマンドレットが機能しない場合は、ユーザーの UPN を一時的に非フェデレーション ドメインに変更してから、コマンドレットを実行してランダム なパスワードを設定することが必要になる場合があります。 その後、ユーザーの UPN を元の状態に戻します。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。