Azure Active Directory Domain Services とのパスワード同期を有効にするEnable password synchronization to Azure Active Directory Domain Services

前のタスクでは、Azure Active Directory (Azure AD) テナントに対して Azure Active Directory Domain Services を有効にしました。In preceding tasks, you enabled Azure Active Directory Domain Services for your Azure Active Directory (Azure AD) tenant. 次のタスクでは、NT LAN Manager (NTLM) および Kerberos 認証に必要な資格情報ハッシュを Azure AD Domain Services との間で同期できるようにします。The next task is to enable synchronization of credential hashes required for NT LAN Manager (NTLM) and Kerberos authentication to Azure AD Domain Services. 資格情報の同期が設定されると、ユーザーは自社の資格情報を使用して、管理対象ドメインにサインインできます。After you've set up credential synchronization, users can sign in to the managed domain with their corporate credentials.

対象となるユーザー アカウントがクラウド専用のアカウントであるか、オンプレミス ディレクトリとの間で Azure AD Connect を使って同期されたアカウントであるかによって、必要な手順は異なります。The steps involved are different for cloud-only user accounts vs user accounts that are synchronized from your on-premises directory using Azure AD Connect.

ユーザー アカウントの種類Type of user account 実行する手順Steps to perform
Azure AD に作成されたクラウド ユーザー アカウントCloud user accounts created in Azure AD この記事の手順に従う Follow the instructions in this article
オンプレミス ディレクトリとの間で同期されるユーザー アカウントUser accounts synchronized from an on-premises directory オンプレミス AD との間で同期されたユーザー アカウントのパスワードを管理対象ドメインとの間で同期する Synchronize passwords for user accounts synced from your on-premises AD to your managed domain


両方の手順を実行することが必要になる場合があります。You may need to complete both sets of steps. Azure AD テナントにクラウドのみのユーザーとオンプレミス AD からのユーザーとが混在している場合、両方の手順を実行する必要があります。If your Azure AD tenant has a combination of cloud only users and users from your on-premises AD, you need to complete both sets of steps.

タスク 5: 管理対象ドメインとの間でクラウド専用ユーザー アカウントのパスワード同期を有効にするTask 5: enable password synchronization to your managed domain for cloud-only user accounts

Azure Active Directory Domain Services では、管理対象ドメインでユーザーを認証するために、NTLM および Kerberos 認証に適した形式の資格情報ハッシュが必要です。To authenticate users on the managed domain, Azure Active Directory Domain Services needs credential hashes in a format that's suitable for NTLM and Kerberos authentication. テナントに対して Azure Active Directory Domain Services を有効にしない限り、Azure AD で NTLM または Kerberos 認証に必要な形式の資格情報ハッシュが生成または保存されることはありません。Azure AD does not generate or store credential hashes in the format that's required for NTLM or Kerberos authentication, until you enable Azure Active Directory Domain Services for your tenant. 明らかなセキュリティ上の理由から、Azure AD はパスワード資格情報をクリア テキスト形式でも保存しません。For obvious security reasons, Azure AD also does not store any password credentials in clear-text form. そのため、Azure AD には、これらの NTLM または Kerberos 資格情報ハッシュをユーザーの既存の資格情報に基づいて自動的に生成する方法がありません。Therefore, Azure AD does not have a way to automatically generate these NTLM or Kerberos credential hashes based on users' existing credentials.


組織にクラウド専用ユーザー アカウントが存在する場合、Azure Active Directory Domain Services を使用する必要があるすべてのユーザーは、自分のパスワードを変更しなければなりません。If your organization has cloud-only user accounts, all users who need to use Azure Active Directory Domain Services must change their passwords. クラウド専用ユーザー アカウントとは、Azure Portal または Azure AD PowerShell コマンドレットを使って Azure AD ディレクトリに作成されたアカウントです。A cloud-only user account is an account that was created in your Azure AD directory using either the Azure portal or Azure AD PowerShell cmdlets. そのようなユーザー アカウントは、オンプレミス ディレクトリとの間で同期されません。Such user accounts aren't synchronized from an on-premises directory.

このパスワード変更プロセスにより、Azure Active Directory Domain Services での Kerberos および NTLM 認証に必要な資格情報ハッシュが Azure AD 内に生成されます。This password change process causes the credential hashes that are required by Azure Active Directory Domain Services for Kerberos and NTLM authentication to be generated in Azure AD. パスワードの変更を促す方法として、Azure Active Directory Domain Services を使用する必要があるテナント内の全ユーザーのパスワードを有効期限切れにすることも、それらのユーザーにパスワードを変更するように指示することもできます。You can either expire the passwords for all users in the tenant who need to use Azure Active Directory Domain Services or instruct them to change their passwords.

NTLM と Kerberos の資格情報ハッシュの生成を有効にする (クラウド専用ユーザー アカウント)Enable NTLM and Kerberos credential hash generation for a cloud-only user account

ユーザーがパスワードを変更できるように、以下の手順をユーザーに伝える必要があります。Here are the instructions you need to provide users, so they can change their passwords:

  1. 組織の Azure AD アクセス パネルのページに移動します。Go to the Azure AD Access Panel page for your organization.

    Azure AD アクセス パネルの起動

  2. 右上隅に表示される自分の名前をクリックし、メニューから [プロファイル] を選択します。In the top right corner, click on your name and select Profile from the menu.


  3. [プロファイル] ページの [パスワードの変更] をクリックします。On the Profile page, click on Change password.

    [パスワードの変更] をクリック


    アクセス パネル ウィンドウに [パスワードの変更] オプションが表示されない場合は、組織で Azure AD でのパスワード管理を構成済みであることを確認します。If the Change password option is not displayed in the Access Panel window, ensure that your organization has configured password management in Azure AD.

  4. [パスワードの変更] ページで既存の (古い) パスワードを入力し、新しいパスワードを入力して、それを確認します。On the change password page, type your existing (old) password, type a new password, and then confirm it.

    Azure AD Domain Services 用の仮想ネットワークを作成します。

  5. [送信]をクリックします。Click submit.

パスワードを変更すると、数分後に Azure Active Directory Domain Services で新しいパスワードを使用できるようになります。A few minutes after you have changed your password, the new password is usable in Azure Active Directory Domain Services. 約 20 分後には、新しく変更したパスワードを使用して、管理対象ドメインに参加しているコンピューターにサインインできるようになります。After about 20 minutes, you can sign in to computers joined to the managed domain using the newly changed password.