チュートリアル: ハイブリッド環境の Microsoft Entra Domain Services でパスワード同期を有効にする

ハイブリッド環境では、Microsoft Entra Connect を使用して、Microsoft Entra テナントをオンプレミスの Active Directory Domain Services (AD DS) 環境と同期するように構成できます。 既定では、Microsoft Entra Connect によって、Microsoft Entra Domain Services に必要となる従来の NT LAN Manager (NTLM) と Kerberos のパスワード ハッシュは同期されません。

オンプレミスの AD DS 環境から同期されるアカウントで Domain Services を使用するには、NTLM および Kerberos 認証に必要なこれらのパスワード ハッシュを同期するよう Microsoft Entra Connect を構成する必要があります。 Microsoft Entra Connect の構成後は、オンプレミスのアカウント作成またはパスワード変更イベントでも、従来のパスワード ハッシュが Microsoft Entra ID に同期されます。

オンプレミスの AD DS 環境を持たないクラウド専用アカウントを使用する場合、これらの手順を実行する必要はありません。

このチュートリアルで学習する内容は次のとおりです。

• 従来の NTLM および Kerberos パスワード ハッシュが必要な理由
• Microsoft Entra Connect に対して従来のパスワード ハッシュ同期を構成する方法

Azure サブスクリプションをお持ちでない場合は、始める前にアカウントを作成してください。

前提条件

このチュートリアルを完了するには、以下のリソースが必要です。

• 有効な Azure サブスクリプション
  • Azure サブスクリプションをお持ちでない場合は、アカウントを作成してください。
• Microsoft Entra Connect を使用してオンプレミス ディレクトリと同期されるサブスクリプションに関連付けられている Microsoft Entra テナント。
  • 必要に応じて、Microsoft Entra テナントを作成するか、ご利用のアカウントに Azure サブスクリプションを関連付けます。
  • 必要に応じて、Microsoft Entra Connect でパスワード ハッシュの同期を有効にします。
• Microsoft Entra テナントで有効にされていて、構成されている Microsoft Entra Domain Services マネージド ドメイン。
  • 必要に応じて、Microsoft Entra Domain Services のマネージド ドメインを作成して構成します。

Microsoft Entra Connect を使用したパスワード ハッシュ同期

Microsoft Entra Connect は、ユーザー アカウントやグループなどのオブジェクトをオンプレミスの AD DS 環境から Microsoft Entra テナントに同期するために使用されます。 プロセスの一環として、パスワード ハッシュ同期により、オンプレミスの AD DS 環境と Microsoft Entra ID のアカウントで同じパスワードを使用できます。

マネージド ドメインのユーザーを認証するために、Domain Services では NTLM および Kerberos 認証に適した形式のパスワード ハッシュが必要になります。 NTLM または Kerberos 認証に必要な形式のパスワード ハッシュは、ご利用のテナントに対して Domain Services を有効にするまで、Microsoft Entra ID には格納されません。 また、セキュリティ上の理由から、クリアテキスト形式のパスワード資格情報が Microsoft Entra ID に保存されることもありません。 そのため、Microsoft Entra ID では、ユーザーの既存の資格情報に基づいて、これらの NTLM やKerberos のパスワード ハッシュを自動的に生成することはできません。

Microsoft Entra Connect は、Domain Services に必要な NTLM または Kerberos のパスワード ハッシュを同期するように構成できます。 Microsoft Entra Connect でパスワード ハッシュの同期を有効にするための手順を完了していることを確認します。 Microsoft Entra Connect の既存のインスタンスがある場合は、最新バージョンをダウンロードして更新し、NTLM と Kerberos の従来のパスワード ハッシュを確実に同期できるようにします。 この機能は、初期リリースの Microsoft Entra Connect や従来の DirSync ツールでは使用できません。 Microsoft Entra Connect バージョン 1.1.614.0 以降が必要です。

重要

Microsoft Entra Connect は、オンプレミスの AD DS 環境との同期のためにのみインストールおよび構成する必要があります。 オブジェクトを Microsoft Entra ID に同期するために、Domain Services マネージド ドメインに Microsoft Entra Connect をインストールすることはサポートされていません。

パスワード ハッシュの同期を有効にする

Microsoft Entra Connect がインストールされ、Microsoft Entra ID と同期するよう構成された状態で、NTLM と Kerberos の従来のパスワード ハッシュの同期を構成します。 PowerShell スクリプトは、必要な設定を構成してから、Microsoft Entra ID への完全なパスワード同期を開始するために使用されます。 その Microsoft Entra Connect のパスワード ハッシュの同期プロセスが完了すると、ユーザーは、従来の NTLM または Kerberos のパスワード ハッシュを使用する Domain Services を介してアプリケーションにサインインできます。

1. Microsoft Entra Connect がインストールされているコンピューターで、[スタート] メニューから [Microsoft Entra Connect] > [Synchronization Service] を開きます。

2. [コネクタ] タブを選択します。オンプレミスの AD DS 環境と Microsoft Entra ID の間で同期を確立するために使用される接続情報が一覧表示されます。

   [種類] では、[Windows Microsoft Entra ID (Microsoft)] (Microsoft Entra コネクタの場合) または [Active Directory Domain Services] (オンプレミスの AD DS コネクタの場合) が示されます。 次の手順でこの PowerShell スクリプトで使用するコネクタ名をメモしておきます。

   

   このスクリーンショットの例では、次のコネクタが使用されています。

   • Microsoft Entra コネクタの名前は contoso.onmicrosoft.com - Microsoft Entra ID です
   • オンプレミスの AD DS コネクタの名前は onprem.contoso.com です

3. 次の PowerShell スクリプトをコピーして、Microsoft Entra Connect がインストールされているコンピューターに貼り付けます。 このスクリプトにより、従来のパスワード ハッシュを含む完全なパスワード同期がトリガーされます。 前の手順のコネクタ名を使用して、$azureadConnector および $adConnector 変数を更新します。

   各 AD フォレストでこのスクリプトを実行して、オンプレミス アカウントの NTLM および Kerberos のパスワード ハッシュを Microsoft Entra ID に同期させます。

   # Define the Azure AD Connect connector names and import the required PowerShell module
   $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
   $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
   
   Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
   Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
   
   # Create a new ForceFullPasswordSync configuration parameter object then
   # update the existing connector with this new configuration
   $c = Get-ADSyncConnector -Name $adConnector
   $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
   $p.Value = 1
   $c.GlobalParameters.Remove($p.Name)
   $c.GlobalParameters.Add($p)
   $c = Add-ADSyncConnector -Connector $c
   
   # Disable and re-enable Azure AD Connect to force a full password synchronization
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
   

   アカウントとグループの数の観点からご利用のディレクトリのサイズに応じて、従来のパスワード ハッシュを Microsoft Entra ID に同期させるには時間がかかる場合があります。 パスワードは、Microsoft Entra ID に同期された後、マネージド ドメインに同期されます。

次のステップ

このチュートリアルで学習した内容は次のとおりです。

• 従来の NTLM および Kerberos パスワード ハッシュが必要な理由
• Microsoft Entra Connect に対して従来のパスワード ハッシュ同期を構成する方法

Microsoft Entra Domain Services のマネージド ドメインにおける同期の動作について学習する