Azure Active Directory Domain Services とのパスワード同期を有効にする

前のタスクでは、Azure Active Directory (Azure AD) テナントに対して Azure Active Directory Domain Services を有効にしました。 次のタスクでは、NT LAN Manager (NTLM) および Kerberos 認証に必要な資格情報ハッシュを Azure AD Domain Services との間で同期できるようにします。 資格情報の同期が設定されると、ユーザーは自社の資格情報を使用して、管理対象ドメインにサインインできます。

対象となるユーザー アカウントがクラウド専用のアカウントであるか、オンプレミス ディレクトリとの間で Azure AD Connect を使って同期されたアカウントであるかによって、必要な手順は異なります。


ユーザー アカウントの種類 実行する手順
Azure AD に作成されたクラウド ユーザー アカウント この記事の手順に従う
オンプレミス ディレクトリとの間で同期されるユーザー アカウント オンプレミス AD との間で同期されたユーザー アカウントのパスワードを管理対象ドメインとの間で同期する


ヒント

両方の手順を実行することが必要になる場合があります。 Azure AD テナントにクラウドのみのユーザーとオンプレミス AD からのユーザーとが混在している場合、両方の手順を実行する必要があります。

タスク 5: 管理対象ドメインとの間でクラウド専用ユーザー アカウントのパスワード同期を有効にする

Azure Active Directory Domain Services では、管理対象ドメインでユーザーを認証するために、NTLM および Kerberos 認証に適した形式の資格情報ハッシュが必要です。 テナントに対して Azure Active Directory Domain Services を有効にしない限り、Azure AD で NTLM または Kerberos 認証に必要な形式の資格情報ハッシュが生成または保存されることはありません。 明らかなセキュリティ上の理由から、Azure AD はパスワード資格情報をクリア テキスト形式でも保存しません。 そのため、Azure AD には、これらの NTLM または Kerberos 資格情報ハッシュをユーザーの既存の資格情報に基づいて自動的に生成する方法がありません。

注意

組織にクラウド専用ユーザー アカウントが存在する場合、Azure Active Directory Domain Services を使用する必要があるすべてのユーザーは、自分のパスワードを変更しなければなりません。 クラウド専用ユーザー アカウントとは、Azure Portal または Azure AD PowerShell コマンドレットを使って Azure AD ディレクトリに作成されたアカウントです。 そのようなユーザー アカウントは、オンプレミス ディレクトリとの間で同期されません。

このパスワード変更プロセスにより、Azure Active Directory Domain Services での Kerberos および NTLM 認証に必要な資格情報ハッシュが Azure AD 内に生成されます。 パスワードの変更を促す方法として、Azure Active Directory Domain Services を使用する必要があるテナント内の全ユーザーのパスワードを有効期限切れにすることも、それらのユーザーにパスワードを変更するように指示することもできます。

NTLM と Kerberos の資格情報ハッシュの生成を有効にする (クラウド専用ユーザー アカウント)

ユーザーがパスワードを変更できるように、以下の手順をユーザーに伝える必要があります。

  1. 組織の Azure AD アクセス パネルのページに移動します。

    Azure AD アクセス パネルの起動

  2. 右上隅に表示される自分の名前をクリックし、メニューから [プロファイル] を選択します。

    プロファイルの選択

  3. [プロファイル] ページの [パスワードの変更] をクリックします。

    [パスワードの変更] をクリック

    ヒント

    アクセス パネル ウィンドウに [パスワードの変更] オプションが表示されない場合は、組織で Azure AD でのパスワード管理を構成済みであることを確認します。

  4. [パスワードの変更] ページで既存の (古い) パスワードを入力し、新しいパスワードを入力して、それを確認します。

    Azure AD Domain Services 用の仮想ネットワークを作成します。

  5. [送信]をクリックします。

パスワードを変更すると、数分後に Azure Active Directory Domain Services で新しいパスワードを使用できるようになります。 約 20 分後には、新しく変更したパスワードを使用して、管理対象ドメインに参加しているコンピューターにサインインできるようになります。