この記事は、 Microsoft Entra Connect を使用して、オンプレミス環境から Microsoft Entra ID にパスワードを同期するときに発生する可能性がある一般的な問題のトラブルシューティングに役立ちます。
元の製品バージョン: クラウド サービス (Web ロール/Worker ロール)、Microsoft Entra ID、Microsoft Intune、Azure Backup、Office 365 ID 管理
元の KB 番号: 2855271
注:
この記事は役に立ちましたか? あなたの入力は私たちにとって重要です。 このページの Feedback ボタンを使用して、この記事がどれだけうまく機能したか、または改善方法をお知らせください。
トラブルシューティングを始める前に
トラブルシューティングの手順を実行する前に、 latest バージョンの Microsoft Entra Connect がインストールされていることを確認してください。
また、ディレクトリ同期が正常な状態であることも確認してください。 詳細については、Microsoft Entra Connect 同期を使用したオブジェクト同期のトラブルシューティングに関する記事を参照してください。
一部のユーザーは、Microsoft 365、Microsoft Entra、または Microsoft Intune にサインインできません
このシナリオでは、ほとんどのユーザーのパスワードは同期されています。 ただし、パスワードが同期されていないように見えるユーザーもいます。ユーザーが Microsoft 365、Entra、Intune などの Microsoft クラウド サービスにサインインできないシナリオを次に示します。
シナリオ 1: ユーザーのアカウントに対して [ユーザーは次回ログオン時にパスワードを変更する必要があります] チェック ボックスがオンになっている
この問題を解決するには、次の手順を実行します。
以下のいずれかを実行します。
- Active Directory ユーザーとコンピューターで、該当ユーザー アカウント プロパティの [ユーザーは次回ログオン時にパスワードの変更が必要] をオフに設定します。
- オンプレミスのユーザー アカウントのパスワードを変更するよう、ユーザーに依頼します。
- Microsoft Entra ID で ForcePasswordChangeOnLogOn 機能を有効にします。
オンプレミスの Active Directory Domain Services (AD DS) と Microsoft Entra ID の間で変更が同期されるまで数分待ちます。
シナリオ 2: ユーザーがクラウド サービス ポータルでパスワードを変更した
この問題を解決するには、次の手順を実行します。
- オンプレミスのユーザー アカウントのパスワードを変更するよう、ユーザーに依頼します。
- オンプレミスの AD DS と Microsoft Entra ID の間で変更が同期されるまで数分待ちます。
クラウド サービスのパスワードを変更し、Microsoft Entra Connect でそれぞれのオンプレミス ユーザー アカウントのパスワードを更新するには、 Password ライトバックを有効にします。
シナリオ 3: 一部のユーザーが Microsoft Entra ID と同期していないように見える
考えられる原因は、ユーザー名または電子メール アドレスが重複していることです。
この問題を解決するには、IdFix DirSync Error Remediation Tool (IdFix) を使用して、オンプレミス AD DS オブジェクトに関連する問題を特定します。 IdFix は、次の Microsoft Web サイトでインストールできます。 IdFix DirSync エラー修復ツール
この問題のトラブルシューティング方法の詳細については、「 Azure Active Directory 同期ツールを使用しているときに 1 つ以上のオブジェクトが同期されない」を参照してください。
シナリオ 4: ユーザーが含まれている同期スコープと除外された同期スコープの間で移動される
このシナリオでは、ユーザーが現在同期可能なスコープへ移行されます。 ドメイン、組織単位、または属性に対してフィルター処理が設定されている場合があります。
この問題を解決するには、「 初期同期を実行する方法 」セクションを参照してください。
シナリオ 5: ユーザーは新しいパスワードを使用してサインインすることはできませんが、古いパスワードを使用してサインインできます
このシナリオでは、パスワード同期と共に Microsoft Entra Connect を使用します。 ディレクトリ同期またはパスワード同期を無効にすると、ユーザーは新しいパスワードを使用してサインインできなくなります。 ところが、以前のパスワードを使用するとサインインできます。
この問題を解決するには、ディレクトリ同期とパスワード同期を再度有効にします。 これを行うには、Microsoft Entra Connect 構成ウィザードを起動し、 構成 を選択し 同期オプションをカスタマイズしてからパスワード同期を有効にするオプションが表示されるまで画面を続行します。
シナリオ 6: ユーザーが自分のパスワードを使用してサインインできない
このシナリオでは、パスワード ハッシュが Microsoft Entra ID と正常に同期されません。 ユーザー アカウントが Windows Server 2003 より前のバージョンの Windows Server 上のオンプレミス AD DS で作成された場合、アカウントにはパスワード ハッシュがありません。
ディレクトリ同期が有効な状況ですべてのユーザーのパスワードが同期されない
このシナリオでは、すべてのユーザーのパスワードが同期されていないように見えます。通常、次のいずれかの条件に該当する場合に発生します。
構成が完了したときに同期プロセスを開始するチェック ボックスがオンになっていませんでした。
Entra Connect サーバーはステージング モードです。
パスワード同期が無効になっています。
完全なディレクトリ同期はまだ完了していません。
重要
完全なディレクトリ同期が完了するまで、パスワード同期は開始されません。
この問題を解決するには、パスワード同期を有効にしていることを確認します。 これを行うには、Microsoft Entra Connect 構成ウィザードを起動し、 構成 を選択し 同期オプションをカスタマイズしてからパスワード同期を有効にするオプションが表示されるまで画面を続行します。
パスワード同期が有効になった後、完全なパスワード同期が完了するまで待つ必要があります。 Windows イベント ビューアー ログを確認しパスワード同期プロセスを監視します。
パスワードが同期されないユーザーのトラブルシューティング
この問題をトラブルシューティングするには、「 Microsoft Entra Connect Sync を使用したパスワード ハッシュ同期のトラブルシューティング」を参照してください。
シングル サインオン (SSO) からパスワード同期にソリューションを変更
この問題を解決するには、「 シングル サインオンからパスワード同期に切り替える方法を参照してください。
イベント ビューアーに表示されるイベント ID
以下は、アプリケーション ログ内に表示される、パスワード同期に関連するイベント ID の一覧表です。
情報 (アクションなし)
| イベント ID | 説明 | 原因 |
|---|---|---|
| 6:22 | ドメインの完全なパスワード ハッシュ同期が完了しました: contoso.local | 完全なパスワード同期サイクルでは、オンプレミスの AD DS ドメインから最近使用したパスワードの取得が完了します。 |
| 6:23 | フォレストの完全なパスワード ハッシュ同期が完了しました: contoso.local | 完全なパスワード同期サイクルでは、オンプレミスの AD DS フォレストから最近使用したパスワードの取得が完了します。 |
| 6:50 | プロビジョン資格情報バッチの開始。 カウント:1 | オンプレミス AD DS からパスワードの更新情報を取得する、パスワード同期が開始します。 |
| 午後 6 時 2 分 51 分 | プロビジョン資格情報バッチの終了。 カウント:1 | オンプレミス AD DS からパスワードの更新情報を取得する、パスワード同期が終了します。 |
| 653 | プロビジョン資格情報 ping の開始。 | パスワード同期は、同期するパスワードがないことを Microsoft Entra ID に通知し始めます。 オンプレミスの AD DS でパスワードが更新されていない場合は、30 分ごとに発生します。 |
| 午後 6 時 2 分 54 分 | プロビジョン資格情報 ping の終了。 | パスワード同期が完了し、同期するパスワードがないことを Microsoft Entra ID に通知します。 オンプレミスの AD DS でパスワードが更新されなかった場合、30 分ごとに発生します。 |
| 656 | パスワード変更要求 - アンカー: H552hI9GwEykZwosf74JeOQ==, Dn: CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Change Date: 05/01/2013 16:34:08 | パスワード同期は、パスワードの変更が検出されたことを示し、Microsoft Entra ID との同期を試みます。 パスワードが変更され、同期されるユーザーを識別します。 1 つのバッチには、最小 1 ユーザーから最大 50 ユーザーまでが含まれます。 |
| 657 | パスワード変更結果 - Anchor: eX5b50Rf+UizRIMe2CA/tg==, Dn: CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, 結果: 成功。 | ユーザーのパスワードは正常に同期されました。 |
| 657 | パスワード変更の結果 - アンカー: eX5b50Rf+UizRIMe2CA/tg==, Dn: CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result: Failed. | ユーザーのパスワードは同期されませんでした。 |
情報 (アクション必要の可能性あり)
| イベント ID | 説明 | 原因 | 詳細 |
|---|---|---|---|
| 0 | 次のパスワード変更は同期に失敗し、再試行するようにスケジュールされました。 DN = CN=Eli McLean,OU=Cloud Objects,DC=contoso,DC=local |
ユーザー (複数の場合有) のパスワードは同期されませんでした |
ディレクトリ同期を構成する Azure Active Directory 同期ツールを使用しているときに 1 つ以上のオブジェクトが同期しない |
| 1:15 | Windows Azure Active Directory へのアクセスは拒否されました。 テクニカル サポートに問い合わせる。 | Microsoft Entra 資格情報は、Forefront Identity Manager (FIM) を通じて更新されました。 | Microsoft Entra 構成ウィザードをもう一度実行します。 FIM で Microsoft Entra 資格情報を更新した後に、 Password ハッシュ同期が動作を停止する方法を確認する |
| 657 | パスワード変更の結果 - アンカー: B0H+OD3LM0GEnYODwdPhpg==, Result: failed, Extended Error: | ユーザー (複数の場合有) のパスワードは同期されませんでした |
ディレクトリ同期を構成する Azure Active Directory 同期ツールを使用しているときに 1 つ以上のオブジェクトが同期しない |
エラー (アクション必要)
| イベント ID | 説明 | 原因 | 詳細 |
|---|---|---|---|
| 0 | ユーザー名またはパスワードが正しくありません。 ユーザー名を確認して、パスワードをもう一度入力してください。 | Microsoft Entra 資格情報は、Forefront Identity Manager (FIM) を通じて更新されました。 | Microsoft Entra 構成ウィザードをもう一度実行します。 FIM で Microsoft Entra 資格情報を更新した後に、 Password ハッシュ同期が動作を停止する方法を確認する |
| 6:11 | ドメインのパスワード同期に失敗しました: Contoso.com。Microsoft.Online.PasswordSynchronization.SynchronizationManagerException: 回復タスクが失敗しました。 ---> Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: RPC エラー 8439: このレプリケーション操作に指定された識別名が無効です。 _IDL_DRSGetNCChanges を呼び出しているときにエラーが発生しました。 |
Windows Server 2003 のドメイン コントローラが、特定のシナリオに予期せぬ処理を実行しました。 | Microsoft Entra ID のパスワード ハッシュ同期が動作を停止し、イベント ID 611 がログに記録される |
| 6:11 | ドメインのパスワード同期に失敗しました: Contoso.com。Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: RPC エラー 8593: 関係するサーバーが異なるレプリケーション エポック (通常は進行中のドメイン名変更に関連) のため、ディレクトリ サービスは要求された操作を実行できません。 |
これは、Azure Active Directory 同期ツール ビルド 1.0.6455.0807 で修正された既知の問題でした。 | 問題を解決するには Azure Active Directory 同期ツールを最新版に更新してください。 |
| 6:11 | ドメインのパスワード同期に失敗しました: Contoso.comSystem.ArgumentOutOfRangeException: 有効な Win32 ではありません |
これは、Azure Active Directory 同期ツール ビルド 1.0.6455.0807 で修正された既知の問題でした。 | 問題を解決するには Azure Active Directory 同期ツールを最新版に更新してください。 |
| 6:11 | ドメインのパスワード同期に失敗しました: Contoso.com。System.ArgumentException: 同じキーを持つ項目が既に追加されています。 |
これは、Azure Active Directory 同期ツール ビルド 1.0.6455.0807 で修正された既知の問題でした。 | 問題を解決するには Azure Active Directory 同期ツールを最新版に更新してください。 |
| 652 | 資格情報プロビジョニング バッチに失敗しました。 エラー: Microsoft.Online.Coexistence.ProvisionException: エラーが発生しました。 エラー コード: 90。 エラーの説明: この会社のパスワード同期がアクティブ化されていません。 追跡 ID: 07e93e8a-cf2d-4f67-9e95-53169c4875e0 サーバー名: BL2GR1BBA003。 ---> System.ServiceModel.FaultException1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: この会社のパスワード同期はアクティブ化されていません。 (エラーの説明は Microsoft.Online.Coexistence.Schema.AdminWebServiceFault と同様)。 | オンプレミス AD DS から変更済みパスワードを取得する際に、パスワード同期に失敗しました。 |
ディレクトリ同期を構成する Azure Active Directory 同期ツールを使用しているときに 1 つ以上のオブジェクトが同期しない |
| 652 | 資格情報プロビジョニング バッチに失敗しました。 エラー: Microsoft.Online.Coexistence。 ProvisionRetryException: エラーが発生しました。 Error Code:81。 エラーの説明: Windows Azure Active Directory は現在ビジー状態です。 この操作は自動的に再試行されます。 | これは、Azure Active Directory 同期ツール ビルド 1.0.6455.0807 で修正された既知の問題でした | 問題を解決するには Azure Active Directory 同期ツールを最新版に更新してください。 |
| 655 | 資格情報プロビジョニングの ping に失敗しました。 エラー: Microsoft.Online.Coexistence.ProvisionException: エラーが発生しました。 エラー コード: 90。 エラーの説明: この会社のパスワード同期がアクティブ化されていません。 追跡 ID: 0744fa31-1d9b-453a-83d8-c2555d843802 サーバー名: BL2GR1BBA005。 ---> System.ServiceModel.FaultException1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: この会社のパスワード同期はアクティブ化されていません。 (エラーの説明は Microsoft.Online.Coexistence.Schema.AdminWebServiceFault と同様)。 | パスワード同期で、同期するパスワードがないことを Microsoft Entra ID に通知できませんでした。 30 分ごとに発生します。 |
ディレクトリ同期を構成する Azure Active Directory 同期ツールを使用しているときに 1 つ以上のオブジェクトが同期しない |
| 655 | ユーザー名またはパスワードが正しくありません。 ユーザー名を確認して、パスワードをもう一度入力してください。 | Microsoft Entra 資格情報は FIM を通じて更新されました。 | Microsoft Entra 構成ウィザードをもう一度実行します。 次のマイクロソフト サポート技術情報の記事を参照してください。 Password ハッシュ同期は、FIM で Microsoft Entra 資格情報を更新した後に動作を停止します。 |
| 6900 | パスワード変更通知の処理中に、予期しないエラーが発生しました。 "ユーザー名またはパスワードが正しくありません。 ユーザー名を確認して、パスワードをもう一度入力してください。 |
Microsoft Entra 資格情報は FIM を通じて更新されました。 | Microsoft Entra 構成ウィザードをもう一度実行します。 次のマイクロソフト サポート技術情報の記事を参照してください。 Password ハッシュ同期は、FIM で Microsoft Entra 資格情報を更新した後に動作を停止します。 |
| 6900 | パスワード変更通知の処理中に、予期しないエラーが発生しました。 エラーが発生しました。 エラー コード: 90。 エラーの説明: この会社のパスワード同期がアクティブ化されていません |
組織のパスワード同期が有効ではありません。 | 次のマイクロソフト サポート技術情報の記事を参照してください。ユーザー パスワードは同期されず、"この会社のパスワード同期がアクティブ化されていません" というエラーがログに記録されますイベント ビューアー |
詳細
初期同期を実行する方法
完全同期を行うには、使用している Microsoft Entra Connect で必要に応じて、次の手順に従います。
- Microsoft Entra Connect がインストールされているサーバーで PowerShell を開き、ADSync モジュールをインポートします。
Import-Module ADSync
- 次のコマンドを実行して、初期同期サイクルを開始します。
Start-ADSyncSyncCycle -PolicyType Initial
完全パスワード同期を実行する方法
完全なパスワード同期を実行するには、このページにあるスクリプトを実行します。 Azure AD Sync: PowerShell を使用して完全パスワード同期をトリガーする方法
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。