チュートリアル:ハイブリッド環境の Azure Active Directory Domain Services でパスワード同期を有効にするTutorial: Enable password synchronization in Azure Active Directory Domain Services for hybrid environments

ハイブリッド環境では、Azure AD Connect を使用して、Azure Active Directory (Azure AD) テナントをオンプレミスの Active Directory Domain Services (AD DS) 環境と同期するように構成できます。For hybrid environments, an Azure Active Directory (Azure AD) tenant can be configured to synchronize with an on-premises Active Directory Domain Services (AD DS) environment using Azure AD Connect. 既定では、Azure AD Connect は、Azure Active Directory Domain Services (Azure AD DS) に必要となる従来の NT LAN Manager (NTLM) および Kerberos のパスワード ハッシュを同期しません。By default, Azure AD Connect doesn't synchronize legacy NT LAN Manager (NTLM) and Kerberos password hashes that are needed for Azure Active Directory Domain Services (Azure AD DS).

オンプレミスの AD DS 環境から同期されるアカウントで Azure AD DS を使用するには、NTLM および Kerberos 認証に必要なこれらのパスワード ハッシュを同期するよう Azure AD Connect を構成する必要があります。To use Azure AD DS with accounts synchronized from an on-premises AD DS environment, you need to configure Azure AD Connect to synchronize those password hashes required for NTLM and Kerberos authentication. Azure AD Connect の構成後は、オンプレミスのアカウント作成またはパスワード変更イベントによって従来のパスワード ハッシュも Azure AD に同期されます。After Azure AD Connect is configured, an on-premises account creation or password change event also then synchronizes the legacy password hashes to Azure AD.

オンプレミスの AD DS 環境を持たないクラウド専用アカウントを使用する場合、または "リソース フォレスト" を使用する場合は、これらの手順を実行する必要はありません。You don't need to perform these steps if you use cloud-only accounts with no on-premises AD DS environment, or if you use a resource forest. リソース フォレストを使用するマネージド ドメインの場合、オンプレミスのパスワード ハッシュが同期されることはありません。For managed domains that use a resource forest, on-premises password hashes are never synchronized. オンプレミスのアカウントの認証では、独自の AD DS ドメイン コントローラーに対するフォレストの信頼を使用します。Authentication for on-premises accounts use the forest trust(s) back to your own AD DS domain controllers.

このチュートリアルで学習する内容は次のとおりです。In this tutorial, you learn:

  • 従来の NTLM および Kerberos パスワード ハッシュが必要な理由Why legacy NTLM and Kerberos password hashes are needed
  • Azure AD Connect に対して従来のパスワード ハッシュ同期を構成する方法How to configure legacy password hash synchronization for Azure AD Connect

Azure サブスクリプションをお持ちでない場合は、始める前にアカウントを作成してください。If you don't have an Azure subscription, create an account before you begin.

前提条件Prerequisites

このチュートリアルを完了するには、以下のリソースが必要です。To complete this tutorial, you need the following resources:

Azure AD Connect を使用したパスワード ハッシュの同期Password hash synchronization using Azure AD Connect

Azure AD Connect は、ユーザー アカウントやグループなどのオブジェクトをオンプレミスの AD DS 環境から Azure AD テナントに同期するために使用します。Azure AD Connect is used to synchronize objects like user accounts and groups from an on-premises AD DS environment into an Azure AD tenant. プロセスの一環として、パスワード ハッシュの同期により、アカウントはオンプレミスの AD DS 環境と Azure AD で同じパスワードを使用できます。As part of the process, password hash synchronization enables accounts to use the same password in the on-prem AD DS environment and Azure AD.

Azure AD DS では、マネージド ドメインのユーザーを認証するために、NTLM および Kerberos 認証に適した形式のパスワード ハッシュが必要になります。To authenticate users on the managed domain, Azure AD DS needs password hashes in a format that's suitable for NTLM and Kerberos authentication. NTLM または Kerberos 認証に必要な形式のパスワード ハッシュは、ご利用のテナントに対して Azure AD DS を有効にするまで、Azure AD で保存されることはありません。Azure AD doesn't store password hashes in the format that's required for NTLM or Kerberos authentication until you enable Azure AD DS for your tenant. また、セキュリティ上の理由から、クリアテキスト形式のパスワード資格情報が Azure AD に保存されることもありません。For security reasons, Azure AD also doesn't store any password credentials in clear-text form. そのため、こうした NTLM または Kerberos のパスワード ハッシュをユーザーの既存の資格情報に基づいて Azure AD が自動的に生成することはできません。Therefore, Azure AD can't automatically generate these NTLM or Kerberos password hashes based on users' existing credentials.

Azure AD Connect は、Azure AD DS に必要な NTLM または Kerberos のパスワード ハッシュを同期するよう構成できます。Azure AD Connect can be configured to synchronize the required NTLM or Kerberos password hashes for Azure AD DS. Azure AD Connect でパスワード ハッシュの同期を有効にするための手順を完了していることを確認します。Make sure that you have completed the steps to enable Azure AD Connect for password hash synchronization. Azure AD Connect の既存のインスタンスがある場合は、最新バージョンをダウンロードして更新し、NTLM と Kerberos の従来のパスワード ハッシュを同期できるようにします。If you had an existing instance of Azure AD Connect, download and update to the latest version to make sure you can synchronize the legacy password hashes for NTLM and Kerberos. この機能は、初期リリースの Azure AD Connect または従来の DirSync ツールでは使用できません。This functionality isn't available in early releases of Azure AD Connect or with the legacy DirSync tool. Azure AD Connect バージョン 1.1.614.0 以降が必要です。Azure AD Connect version 1.1.614.0 or later is required.

重要

Azure AD Connect は、オンプレミスの AD DS 環境との同期のためにのみインストールおよび構成する必要があります。Azure AD Connect should only be installed and configured for synchronization with on-premises AD DS environments. オブジェクトを Azure AD に同期するために、Azure AD DS マネージド ドメインに Azure AD Connect をインストールすることはサポートされていません。It's not supported to install Azure AD Connect in an Azure AD DS managed domain to synchronize objects back to Azure AD.

パスワード ハッシュの同期を有効にするEnable synchronization of password hashes

Azure AD Connect がインストールされ、Azure AD と同期するよう構成された状態で、NTLM と Kerberos の従来のパスワード ハッシュの同期を構成します。With Azure AD Connect installed and configured to synchronize with Azure AD, now configure the legacy password hash sync for NTLM and Kerberos. PowerShell スクリプトは、必要な設定を構成してから Azure AD への完全なパスワード同期を開始する際に使用されます。A PowerShell script is used to configure the required settings and then start a full password synchronization to Azure AD. その Azure AD Connect のパスワード ハッシュの同期プロセスが完了すると、ユーザーは、従来の NTLM または Kerberos のパスワード ハッシュを使用する Azure AD DS を介してアプリケーションにサインインできます。When that Azure AD Connect password hash synchronization process is complete, users can sign in to applications through Azure AD DS that use legacy NTLM or Kerberos password hashes.

  1. Azure AD Connect がインストールされているコンピューターで、[スタート] メニューから [Azure AD Connect] > [Synchronization Service](同期サービス) を開きます。On the computer with Azure AD Connect installed, from the Start menu, open the Azure AD Connect > Synchronization Service.

  2. [コネクタ] タブを選択します。オンプレミスの AD DS 環境と Azure AD の間で同期を確立するために使用される接続情報が一覧表示されます。Select the Connectors tab. The connection information used to establish the synchronization between the on-premises AD DS environment and Azure AD are listed.

    [種類] では、 [Microsoft Azure の Active Directory (Microsoft)] (Azure AD コネクタの場合) または [Active Directory Domain Services] (オンプレミスの AD DS コネクタの場合) が示されます。The Type indicates either Windows Azure Active Directory (Microsoft) for the Azure AD connector or Active Directory Domain Services for the on-premises AD DS connector. 次の手順でこの PowerShell スクリプトで使用するコネクタ名をメモしておきます。Make a note of the connector names to use in the PowerShell script in the next step.

    Sync Service Manager でコネクタ名を一覧表示する

    このスクリーンショットの例では、次のコネクタが使用されています。In this example screenshot, the following connectors are used:

    • Azure AD コネクタの名前は contoso.onmicrosoft.com - AAD ですThe Azure AD connector is named contoso.onmicrosoft.com - AAD
    • オンプレミスの AD DS コネクタの名前は onprem.contoso.com ですThe on-premises AD DS connector is named onprem.contoso.com
  3. Azure AD Connect がインストールされているコンピューターに、次の PowerShell スクリプトをコピーして貼り付けます。Copy and paste the following PowerShell script to the computer with Azure AD Connect installed. このスクリプトにより、従来のパスワード ハッシュを含む完全なパスワード同期がトリガーされます。The script triggers a full password sync that includes legacy password hashes. 前の手順のコネクタ名を使用して、$azureadConnector および $adConnector 変数を更新します。Update the $azureadConnector and $adConnector variables with the connector names from the previous step.

    各 AD フォレストでこのスクリプトを実行して、オンプレミス アカウントの NTLM および Kerberos のパスワード ハッシュを Azure AD と同期します。Run this script on each AD forest to synchronize on-premises account NTLM and Kerberos password hashes to Azure AD.

    # Define the Azure AD Connect connector names and import the required PowerShell module
    $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
    $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
    
    Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
    
    # Create a new ForceFullPasswordSync configuration parameter object then
    # update the existing connector with this new configuration
    $c = Get-ADSyncConnector -Name $adConnector
    $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
    $p.Value = 1
    $c.GlobalParameters.Remove($p.Name)
    $c.GlobalParameters.Add($p)
    $c = Add-ADSyncConnector -Connector $c
    
    # Disable and re-enable Azure AD Connect to force a full password synchronization
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
    

    アカウントとグループの数の観点からご利用のディレクトリのサイズに応じて、従来のパスワード ハッシュを Azure AD と同期するには時間がかかる場合があります。Depending on the size of your directory in terms of number of accounts and groups, synchronization of the legacy password hashes to Azure AD may take some time. このパスワードは、Azure AD と同期された後、マネージド ドメインと同期されます。The passwords are then synchronized to the managed domain after they've synchronized to Azure AD.

次のステップNext steps

このチュートリアルで学習した内容は次のとおりです。In this tutorial, you learned:

  • 従来の NTLM および Kerberos パスワード ハッシュが必要な理由Why legacy NTLM and Kerberos password hashes are needed
  • Azure AD Connect に対して従来のパスワード ハッシュ同期を構成する方法How to configure legacy password hash synchronization for Azure AD Connect