パスワード管理の概要

重要

サインインに問題がありますか? その場合は、 自分のパスワードを変更してリセットする方法をここから参照してください

ユーザーは、簡単な手順を実行するだけで、自分のクラウドの Azure Active Directory パスワードまたはオンプレミス Active Directory パスワードを管理できるようになります。 いくつかの簡単な前提条件を満たせば、すぐに組織全体のパスワードの変更とリセットが実行できるようになります。 この記事では、次の概念を説明します。

開始する前に読む必要がある、お客様からの重要なヒント

お客様の組織にパスワード管理をデプロイする際に役立つと判断した重要なヒントをいくつか次に紹介します。

重要なヒント: ドキュメント ナビゲーション - 目次とブラウザーの検索機能を使用して、回答を検索する

どのドキュメントを使用する場合でも、Microsoft では、学習を目的としている管理者にとって興味深い項目へのクイックリンクをすべて目次に表示するよう努めています。

以下の目次を確認してください。

ヒント 1: ライセンス - ライセンスの要件を確実に把握する

Azure AD のパスワード リセットが機能するには、組織で少なくとも 1 つのライセンスが割り当てられている必要があります。 パスワード リセット機能自体については、ユーザー数によるライセンスを設けていません。ただし、ユーザーにライセンスを割り当てずにこの機能を使用した場合は、Microsoft ライセンス契約に準拠していないと見なされ、それらのユーザーにライセンスを割り当てる必要があります。

パスワード リセットを利用するために必要なライセンスを理解するのに役立つドキュメントをいくつか紹介します。

ヒント 2: テスト - 管理者ではなく、エンド ユーザーとテストを実施し、少数のユーザーによる試験運用を行う

管理者とテストする場合は、以下に示す管理者のパスワード リセット ポリシーが適用されます。 そのため、エンド ユーザー用に構成したポリシーの期待した結果は確認できません。

管理 UX で構成したポリシーは、管理者ではなく、エンド ユーザーにのみ適用されます。 Microsoft では、組織の安全性を確実に維持するために、管理者に対して既定の強力なパスワード リセット ポリシーを適用します。このポリシーは、エンド ユーザーに対して設定したポリシーとは異なる場合があります。

管理者のパスワード リセット ポリシー

  • 適用対象 - すべての管理者ロール (グローバル管理者、ヘルプデスク管理者、パスワード管理者など)
  • ワン ゲート ポリシーが適用される場合
    • 試用版の作成を開始してから最初の 30 日間、または
    • バニティ ドメインが存在しない、かつ Azure AD Connect が ID を同期していない
    • 必要条件: 認証用電子メール、連絡用電子メール アドレス、認証用電話、携帯電話、または会社電話のうちのいずれか 1 つの値が存在すること
  • ツー ゲート ポリシーが適用される場合
    • 試用版の最初の 30 日間が経過した後、または
    • バニティ ドメインが存在する、または
    • Azure AD Connect がオンプレミス環境から ID を同期できるようにしている
    • 必要条件: 認証用電子メール、連絡用電子メール アドレス、認証用電話、携帯電話、または会社電話のうちのいずれか 2 つの値が存在すること

ヒント 3: デプロイ - ユーザーが登録する必要のないように、ユーザーのデータを事前に設定する

パスワード リセット機能を使用するうえで、ユーザーによる登録が必要ないことを知らない人がたくさんいます。 ユーザーの電話または電子メールのプロパティを事前に設定しておくと、組織全体にパスワード リセットをすぐに展開できます。ユーザーは何もする必要がありません

API、PowerShell、または Azure AD Connect を使用してこれを行う方法については、次のドキュメントを参照してください。

ヒント 4: デプロイ - パスワード リセットを使用して、一時パスワードを連絡する必要性を取り除く

これは、ヒント 3 に関連しています。 ユーザーをパスワード リセット用に事前に構成したら、新入社員が入社した場合のシナリオについて考えてみます。 新入社員に一時パスワードを連絡する代わりに、Azure AD パスワード リセット ポータルに案内して、パスワードをリセットしてもらうことができます。

ユーザーは、Windows 10 Azure AD ドメイン参加デバイスを使用している場合、Windows 10 の標準のサインイン画面から直接リセットし、新しい PC にアクセスすることもできます。管理者は何もする必要がありません。

API、PowerShell、または Azure AD Connect を使用してこれを行う方法については、次のドキュメントを参照してください。 このデータを事前に設定すると、ユーザーにパスワードをリセットしてもらうことで、ユーザーは自分のアカウントにすぐアクセスできるようになります。

ヒント 5: ライトバック - パスワード ライトバックのトラブルシューティングを行う際は、AAD Connect マシン上のアプリケーション イベント ログを調べる

Azure AD Connect アプリケーション イベント ログには、パスワード ライトバック サービスに関連して発生したほとんどのイベントに関するリアルタイムの豊富なログ情報が含まれています。 このログにアクセスするには、次の手順に従います。

  1. Azure AD Connect マシンにサインインします。
  2. [スタート] ボタンを押し、「イベント ビューアー」と入力して、Windows イベント ビューアーを開きます。
  3. アプリケーション イベント ログを開きます。
  4. PasswordResetService または ADSync のイベントを探して、発生している可能性のある問題の詳細を確認します。

このログに表示されるイベントの完全な一覧と、パスワード ライトバックのトラブルシューティング ガイダンスについては、次を参照してください。

ヒント 6: ライトバック - パスワード ライトバック用の適切なアクセス許可、ファイアウォール規則、および接続設定が有効になっていることを確認する

ライトバックが正常に機能するためには、以下を確認する必要があります。

  1. パスワード ライトバックを使用するユーザーに対して適切な Active Directory のアクセス許可が設定されており、ユーザーが AD で自分のパスワードおよびアカウントのロック解除フラグを変更する権限を持っている
  2. パスワード ライトバック サービスが送信接続を使用して外部と安全に通信できるように適切なファイアウォール ポートが開いている
  3. Service Bus など、主要なパスワード リセット サービスの URL に対して適切なファイアウォール例外が設定されている
  4. プロキシとファイアウォールでアイドル状態の送信接続が強制終了されない (10 分以上をお勧めします)

パスワード ライトバック用のアクセス許可とファイアウォール規則の構成に関するトラブルシューティング ガイダンスおよび固有のガイドラインの完全な一覧については、次を参照してください。

ヒント 7: レポート - 誰が登録しているかやパスワードをリセットしているかは Azure AD SSPR 監査ログで確認する

パスワード リセットがデプロイされて機能したら、次のステップとして、動作していることを確認し、それでも登録が必要なユーザー、リセットした場合にユーザーが直面する一般的な問題、将来の投資収益率を分析します。

Azure AD のパスワード リセット監査ログを使用すると、これ以外にもさまざまなことを Azure Portal、PowerBI、Azure AD Reporting Events API、または PowerShell から実行できます。 これらのレポート機能を使用する方法の詳細については、次を参照してください。

ヒント 8: トラブルシューティング - さまざまな問題を解決する際は、トラブルシューティング ガイドと FAQ を参照する

パスワード リセットには、豊富なトラブルシューティング ガイダンスと FAQ が用意されています。 質問がある場合は、以下のリンク先で答えを見つけることができます。

さらに、Azure Portal[サポートとトラブルシューティング] ブレードを使用して、(左側のナビゲーション ウィンドウの [Azure Active Directory] -> [ユーザーとグループ] -> [パスワードのリセット] -> [サポートとトラブルシューティング] にあるパスワード管理の管理者ユーザー エクスペリエンスから直接) 豊富なトラブルシューティング コンテンツにアクセスすることもできます。

パスワード リセットのトラブルシューティング ガイダンスと FAQ へのリンク:

ヒント 9: トラブルシューティング - それでも解決しない場合は、サポートに必要な情報を提供する

それでもトラブルシューティングのサポートが必要な場合は、心配は要りません。 サポート ケースを開くか、アカウント管理チームに連絡して、Microsoft に直接問い合わせてもらうことができます。 お気軽にお問い合わせください。

ただし、迅速に解決するために、問い合わせる前に、以下で求められている情報がすべて集まっていることを確認してください。

パスワード リセットのフィードバックを提供する方法

ユーザーによる Azure AD パスワードのリセットを有効にする

このセクションでは、AAD クラウド ディレクトリに対してセルフサービスのパスワード リセットを有効化し、セルフサービスのパスワード リセットが実行できるようにユーザーを登録し、最後にユーザーとしてセルフサービスのパスワード リセットのテストを実行する方法について説明します。

前提条件

セルフサービスのパスワード リセットを有効にして使用するには、次の前提条件を満たす必要があります。

  • AAD テナントを作成する。 詳細については、 Azure AD の使用
  • Azure サブスクリプションを取得する。 詳細については、 What is an Azure AD tenant? (Azure AD テナントとは)を参照してください。
  • AAD テナントを Azure サブスクリプションに関連付ける。 詳細については、 Azure サブスクリプションを Azure AD に関連付ける方法を参照してください。
  • Azure AD Premium、Azure AD Basic にアップグレードするか、または O365 有料ライセンスを使用します。 詳細については、 Azure Active Directory のエディションを参照してください。

    メモ

    クラウド ユーザーのセルフサービス パスワード リセットを有効にするには、Azure AD Premium、Azure AD Basic、または有料 O365 ライセンスにアップグレードする必要があります。 オンプレミスのユーザーのセルフサービスのパスワード リセットを有効にするには、Azure AD Premium にアップグレードする必要があります。 詳細については、 Azure Active Directory のエディションを参照してください。 この情報には、Azure AD Premium または Basic にサインアップする方法、ライセンス プランをアクティブ化して Azure AD アクセスをアクティブ化する方法、および管理者とユーザーのアカウントにアクセス権を割り当てる方法の詳細が含まれます。

  • AAD ディレクトリで、管理者アカウントとユーザー アカウントを少なくとも 1 つずつ作成する。
  • AAD Premium、Basic、または O365 有料ライセンスを、作成済みの管理者およびユーザーのアカウントに割り当てる。

手順 1: パスワードのリセット ポリシーを構成する

ユーザー パスワードのリセット ポリシーを構成するには、以下の手順を実行します。

  1. 任意のブラウザーを開いて、Azure クラシック ポータルに移動します。
  2. Azure クラシック ポータルの左側のナビゲーション バーで Active Directory 拡張機能を選択します。

    Azure AD でのパスワード管理

  3. [ ディレクトリ ] タブで、Wingtip Toys など、ユーザー パスワードのリセット ポリシーを構成するディレクトリをクリックします。

  4. [ 構成 ] タブをクリックします。

  5. [構成] タブで、下へスクロールして [ユーザー パスワードのリセット ポリシー] セクションを表示します。 ここでは、特定のディレクトリについて、ユーザー パスワードのリセット ポリシーのあらゆる側面を構成できます。 "[構成] タブが表示されない場合は、Azure Active Directory Premium または Basic にサインアップ済みであることと、この機能の構成を行う管理者アカウントに__ライセンスを割り当て済み__であることを確認してください。"

    メモ

    設定したポリシーが適用されるのは組織内のエンド ユーザーのみで、管理者には適用されません。 セキュリティ上の理由から、管理者のパスワード リセット ポリシーの管理はマイクロソフトが行います。 現在の管理者用ポリシーでは、携帯電話および電子メール アドレスという 2 つのチャレンジが要求されます。

  6. ユーザー パスワードのリセット ポリシーを構成するには、[パスワードのリセットが有効になっているユーザー] トグルを [はい] に設定します。 この操作を行うと、組織のディレクトリでのこの機能の動作を構成するためのさまざまなコントロールが追加表示されます。 組織のニーズに合わせて自由にパスワード リセットをカスタマイズしてください。 パスワード リセット ポリシーの各コントロールの機能の詳細については、 Customize: Azure AD Password Management (カスタマイズ: Azure AD でのパスワード管理)を参照してください。

  7. テナントのユーザー パスワード リセット ポリシーの構成が完了したら、画面の一番下にある [ 保存 ] ボタンをクリックします。

    メモ

    最も複雑な状況でこの機能がどのように動作するかを確認できるよう、ユーザー パスワードのリセット ポリシーのチャレンジは 2 つにすることをお勧めします。

    メモ

    設定したポリシーが適用されるのは組織内のエンド ユーザーのみで、管理者には適用されません。 セキュリティ上の理由から、管理者のパスワード リセット ポリシーの管理はマイクロソフトが行います。 現在の管理者用ポリシーでは、携帯電話および電子メール アドレスという 2 つのチャレンジが要求されます。

手順 2: テスト ユーザー用の連絡先データを追加する

組織内のユーザーがパスワードのリセットに使用するデータを指定する方法はいくつかあります。

  • Azure クラシック ポータルまたは Office 365 管理ポータルでユーザーを編集する
  • AAD Connect を使用して、ユーザー プロパティをオンプレミスの Active Directory ドメインから Azure AD に同期する
  • Windows PowerShell を使用してユーザー プロパティを編集する
  • ユーザーに登録ポータル ( http://aka.ms/ssprsetup
  • SSPR の構成オプション [ユーザーが初めてアクセス パネルにサインインするときに登録を要求][はい] に設定して、ユーザーがアクセス パネル (http://myapps.microsoft.com) にサインインしたときにパスワード リセットの登録を求める

パスワード リセットで使用されるデータ、およびこのデータの形式の要件についての詳細は、 What data is used by password reset? (パスワードのリセットで使用されるデータとは)を参照してください。

ユーザー登録ポータルからユーザーの連絡先データを追加するには

  1. パスワード リセットの登録ポータルを使用するには、組織内のユーザーにこのページへのリンク (http://aka.ms/ssprsetup) を連絡するか、ユーザーに対して自動登録を求めるオプションをオンにする必要があります。 ユーザーがこのリンクをクリックすると、組織のアカウントを使ってサインインするよう求められます。 サインインが終わると、次のページが表示されます。

  2. ここでは、携帯電話、代替電子メール アドレス、またはセキュリティの質問の指定や確認ができます。 携帯電話の番号の確認画面は、以下のようになります。

  3. ユーザーがこの情報を指定すると、ページが更新され、情報が有効である旨が表示されます (以下の画面では、情報を非表示にしています)。 ユーザーが [完了] ボタンまたは [キャンセル] ボタンをクリックすると、アクセス パネルが表示されます。

  4. ユーザーがここに挙げた情報を 2 つとも確認すると、入力されたデータでプロファイルが更新されます。 この例では、 会社電話番号 が手動で指定されたため、この番号をパスワードをリセットする際の連絡方法として利用できます。

手順 3: ユーザーとして Azure AD パスワードをリセットする

これでユーザーのリセット ポリシーが構成され、ユーザーの連絡先の詳細が指定できたので、このユーザーは、セルフサービスのパスワード リセットを実行できます。

セルフサービスのパスワード リセットを実行するには

  1. portal.microsoftonline.com などのサイトにアクセスすると、以下のようなログイン画面が表示されます。 [ アカウントにアクセスできません ] リンクをクリックして、パスワード リセットの UI をテストします。

  2. [アカウントにアクセスできない場合] をクリックすると新しいページが表示され、パスワードをリセットするユーザー ID の入力を求められます。 テスト ユーザー ID と captcha を入力し、[次へ] をクリックします。

  3. この場合、ユーザーは会社電話携帯電話、および代替電子メールを指定していたため、最初のチャレンジの選択肢にこれら 3 つがすべて表示されています。

  4. 今回は、最初に会社電話電話することを選択します。 電話ベースの方法を選択した場合、パスワードをリセットするには 電話番号の確認 が求められます。 これには、悪意のある個人によって組織内のユーザーの電話番号が漏洩されることを防ぐ目的があります。

  5. ユーザーが電話番号を確認した後は、[通話] ウォールをクリックするとスピナーが表示され、電話が鳴ります。 ユーザーが電話を取ると、アカウントの確認のため 「#」 を押すよう 指示するメッセージが再生されます。 # キーを押すと、ユーザーが最初のチャレンジをクリアしたことが自動的に確認され、2 番目の確認手順の UI に進みます。

  6. 最初のチャレンジをクリアすると、UI が自動的に更新され、クリアしたチャレンジが選択肢の一覧から除外されます。 今回は、会社電話を最初に使用しているため、2 番目の確認手順に利用できるチャレンジの選択肢には、携帯電話代替電子メールのみが残っています。 [ 連絡用電子メール アドレスにメールを送信 ] オプションをクリックします。 次に [電子メール] をクリックすると、登録済みの連絡用電子メール アドレスにメールが送信されます。

  7. ユーザーに送信される電子メールのサンプルを次に示します。テナントのブランド化に注目してください。

  8. 電子メールが届くとページが更新され、電子メールに記載されている確認コードを、以下に示す入力ボックスに入力できるようになります。 コードが正しく入力されると、[次へ] ボタンが点灯し、2 番目の確認手順が完了となります。

  9. 組織のポリシーの要件をクリアすると、新しいパスワードを作成できるようになります。 ここで作成するパスワードは、AAD の "強力な" パスワードに関する要件 (「Azure AD でのパスワード ポリシー」を参照) を満たすかどうかで検証されます。入力されたパスワードがこのポリシーに合致しているかどうかを示す、パスワードの強度検証コントロールが表示されます。

  10. 組織のポリシーに合致するパスワードを指定すると、パスワードがリセットされ、直ちに新しいパスワードでログインできるようになります。

ユーザーによる Azure AD パスワードのリセットまたは変更を有効にする

このセクションでは、オンプレミスの Active Directory パスワードにライトバックするためのパスワード リセットの構成方法を説明します。

ライトバックの前提条件

ライトバックを有効にして使用する前に、次の前提条件を満たす必要があります。

  • Azure AD テナントで Azure AD Premium が有効になっている。 詳細については、 Azure Active Directory のエディションを参照してください。
  • パスワード ライトバックを機能させるには、Azure AD Connect をプライマリ ドメイン コントローラー エミュレーターに接続する必要があります。 必要に応じて、プライマリ ドメイン コントローラーを使用するよう Azure AD Connect を構成できます。そのためには、Active Directory 同期コネクタのプロパティを右クリックして [configure directory partitions (ディレクトリ パーティションの構成)] を選択します。 そこで [domain controller connection settings (ドメイン コントローラーの接続の設定)] セクションを探して、[only use preferred domain controllers (優先ドメイン コントローラーのみを使用する)] というチェック ボックスをオンにします。 注: 優先 DC が PDC エミュレーターでない場合も、Azure AD Connect はパスワード ライトバックのために PDC に接続されます。
  • テナントでパスワード リセットが構成され、有効になっている。 詳細については、 ユーザーによる Azure AD パスワードのリセットを有効にする
  • 管理者アカウントと、この機能をテストするために使用できる Azure AD Premium ライセンスが付与されたテスト ユーザー アカウントが少なくとも 1 つずつある。 詳細については、 Azure Active Directory のエディションを参照してください。

    メモ

    パスワード ライトバックの有効化に使用する管理者アカウントは、クラウドの管理者アカウント (Azure AD で作成された) であり、フェデレーション アカウント (オンプレミスの AD で作成され、Azure AD に同期された) ではありません。

  • Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、または Windows Server 2012 R2 を最新のサービス パックをインストールして実行している、1 つまたは複数のマルチフォレスト AD オンプレミスのデプロイを使用している。

    メモ

    古いバージョンの Windows Server 2008 または 2008 R2 を実行している場合でもこの機能を使用できますが、クラウドでローカル AD パスワード ポリシーを適用するには、 KB 2386717 をダウンロードおよびインストール する必要があります。

  • Azure AD Connect ツールをインストールし、クラウドに同期するための AD 環境が準備されている。 詳細については、 クラウド内のオンプレミスの ID インフラストラクチャの使用を参照してください。

    メモ

    パスワード ライトバックをテストする前に、Azure AD Connect で AD と Azure AD の両方から、フル インポートと完全同期を完了していることを確認してください。

  • Azure AD Sync または Azure AD Connect を使用している場合は、TCP 送信ポート 443 (場合によっては TCP 9350-9354) を開く必要があります。 詳細については、「 手順 3: ファイアウォールを構成する 」を参照してください。 このシナリオでの DirSync の使用はサポートされなくなりました。 DirSync をまだ使用している場合は、パスワード ライトバックをデプロイする前に Azure AD Connect の最新バージョンにアップグレードしてください。

    メモ

    Azure AD Sync ツールまたは DirSync ツールを使用している場合、優れたエクスペリエンスと、リリースされる新しい機能を利用できるように、Azure AD Connect の最新バージョンにアップグレードすることを強くお勧めします。

手順 1: Azure AD Connect の最新バージョンをダウンロードする

パスワード ライトバックは、Azure AD Connect のリリース、またはバージョン番号が 1.0.0419.0911 以降の Azure AD Sync ツールで使用できます。 アカウントが自動的にロック解除されるパスワード ライトバックが使用できるのは、Azure AD Connect のリリース、またはバージョン番号が 1.0.0485.0222 以降の Azure AD Sync ツールです。 以前のバージョンを実行している場合は、続行する前に、少なくともこのバージョンにアップグレードしてください。 ここをクリックすると、Azure AD Connect の最新バージョンをダウンロードできます。

Azure AD Sync のバージョンを確認するには

  1. %ProgramFiles%\Azure Active Directory Sync\ に移動します。
  2. ConfigWizard.exe 実行可能ファイルを参照します。
  3. この実行可能ファイルを右クリックして、 コンテキスト メニューから [ プロパティ ] オプションを選択します。
  4. [ 詳細 ] タブをクリックします。
  5. [ ファイル バージョン ] フィールドを参照します。

このバージョン番号が 1.0.0419.0911 以上の場合、または Azure AD Connect をインストールしている場合は、「手順 2: UI または PowerShell を使用して Azure AD Connect でパスワード ライトバックを有効にしてから確認する」にスキップできます。

メモ

Azure AD Connect ツールを初めてインストールする場合は、いくつかのベスト プラクティスに従って、ディレクトリ同期の環境を準備することをお勧めします。 Azure AD Connect ツールをインストールする前に、Office 365 管理ポータルまたは Azure クラシック ポータルでディレクトリ同期を有効にする必要があります。 詳細については、 Managing Azure AD Connect (Azure AD Connect の管理)を参照してください。

手順 2: Azure AD Connect でパスワード ライトバックを有効にする

Azure AD Connect ツールをダウンロードしたので、パスワード ライトバックを有効にする準備ができました。 次の 2 つの方法のいずれかで有効にします。 パスワード ライトバックは、Azure AD Connect のセットアップ ウィザードの [オプション機能] 画面で有効にできますし、Windows PowerShell を使用して有効にすることもできます。

構成ウィザードでパスワード ライトバックを有効にするには

  1. ディレクトリ同期コンピューター上で、Azure AD Connect の構成ウィザードを開きます。
  2. [ オプション機能 ] 構成画面が表示されるまで、クリックして進みます。
  3. [ パスワード ライトバック ] オプションをオンにします。

  4. ウィザードを完了します。最後のページには、パスワード ライトバックの構成の変更を含む、変更の概要が表示されます。
メモ

パスワード ライトバックはいつでも無効にできます。無効にするには、このウィザードを再実行してこの機能を選択解除するか、Azure クラシック ポータルで、ディレクトリの [構成] タブの [ユーザー パスワードのリセット ポリシー] セクションにある [オンプレミスのディレクトリにパスワードをライトバック][いいえ] に設定します。 パスワード リセットのエクスペリエンスのカスタマイズの詳細については、Azure AD でのパスワード管理のカスタマイズに関するページを参照してください。

Windows PowerShell を使用して、パスワード ライトバックを有効にするには

  1. ディレクトリ同期コンピューター上で、新しい管理者特権の Windows PowerShell ウィンドウを開きます。
  2. モジュールがまだ読み込まれていない場合は、import-module ADSync コマンドを入力して、Azure AD Connect コマンドレットを現在のセッションに読み込みます。
  3. Get-ADSyncConnector コマンドレットを実行してシステム内の Azure AD コネクタの一覧を取得し、その結果を $aadConnectorName = Get-ADSyncConnector|where-object {$_.name -like "*AAD"} などの $aadConnectorName に保存します。
  4. 次のコマンドレットを実行して、現在のコネクタについてライトバックの現在の状態を取得します。Get-ADSyncAADPasswordResetConfiguration –Connector $aadConnectorName.name
  5. 次のコマンドレットを実行して、パスワード ライトバックを有効にします。 Set-ADSyncAADPasswordResetConfiguration –Connector $aadConnectorName.name –Enable $true
メモ

資格情報を求められた場合、AzureADCredential に指定した管理者アカウントが、 クラウドの管理者アカウント (Azure AD で作成された)であり、フェデレーション アカウント (オンプレミスの AD で作成され、Azure AD に同期された) ではないことを確認します。

メモ

パスワード ライトバックを無効にするには、PowerShell を使用して前述の手順を繰り返すか (ただし、$false を渡します)、Azure クラシック ポータルで、ディレクトリの [構成] タブの [ユーザー パスワードのリセット ポリシー] セクションにある [オンプレミスのディレクトリにパスワードをライトバック][いいえ] に設定します。

構成が正常に完了したことを確認する

構成が正常に完了すると、[Windows PowerShell] ウィンドウに「パスワード リセット ライトバックが有効になりました。」というメッセージが表示されます。

サービスが正しくインストールされたことを確認するには、イベント ビューアーを開き、アプリケーション イベント ログに移動して、ソース PasswordResetService でイベント "31005 - OnboardingEventSuccess" が表示されているかどうかを確認します。

手順 3: ファイアウォールを構成する

パスワード ライトバックを有効にした後は、Azure AD Connect を実行しているコンピューターが Microsoft のクラウド サービスにアクセスしてパスワード ライトバック要求を受信できるようにする必要があります。 この手順では、ネットワーク アプライアンス (プロキシ サーバー、ファイアウォールなど) の接続規則を更新し、Microsoft が所有する一定の URL および IP アドレスに対して特定のネットワーク ポートを介して行われる送信方向の接続を許可します。 ここに示した変更作業は、Azure AD Connect ツールのバージョンに応じて異なります。 背景情報としてのパスワード ライトバックのしくみパスワード ライトバックのセキュリティ モデルについては、別のページで詳細を確認してください。

必要な作業

パスワード ライトバックが正しく機能するためには、Azure AD Connect を実行するコンピューターがパスワード リセット サービスと Azure Service Bus と通信できる必要があります。

Azure AD Connect ツール 1.1.443.0 以降の場合:

  • 最新バージョンの Azure AD Connect ツールでは、以下のアドレスに対する送信方向の HTTPS アクセスが必要になります。
    • passwordreset.microsoftonline.com
    • servicebus.windows.net

Azure AD Connect ツールのバージョンが 1.0.8667.01.1.380.0 の場合:

  • オプション 1:ポート 443 を介した送信方向の HTTPS 接続をすべて許可する (URL または IP アドレスを使用する)。
    • このオプションを使用する局面
      • 最も簡単な構成を希望する場合には、このオプションを使用します。このオプションでは、Azure データセンターの IP 範囲が時間と共に変化しても、構成を更新する必要がありません。
    • 必要な手順
      • URL または IP アドレスを使って、ポート 443 を介する送信方向の HTTPS 接続をすべて許可します。

  • オプション 2: 一定の範囲の IP と URL に対する送信方向の HTTPS 接続を許可する。
    • このオプションを使用する局面
      • このオプションは、ネットワーク環境になんらかの制約がある場合や、何か他の事情により送信方向の接続を許可することが好ましくないと思われる場合に使用します。
      • この構成では、パスワード ライトバックを継続的に動作させるために週 1 回、ネットワーク アプライアンスの IP アドレスを Microsoft Azure データセンターの IP 範囲リストに記載の最新情報に更新する必要があります。 IP アドレスは XML ファイルで提供され、毎週水曜日 (太平洋標準時) に更新があり、次の週の月曜日 (太平洋標準時) に発効します。
    • 必要な手順
      • *.servicebus.windows.net に対する送信方向の HTTPS 接続をすべて許可します。
      • Microsoft Azure データセンターの IP 範囲リストに記載の IP 全部に対して HTTPS 接続を許可し、この構成を毎週更新していきます。 このリストはこちらからダウンロードできます。
メモ

上に示した手順に従ってパスワード ライトバックを構成した際に、Azure AD Connect のイベント ログにエラーが表示されなかったものの、テスト時に接続エラーが発生する場合には、お使いの環境のネットワーク アプライアンスにより IP アドレスに対する HTTPS 接続がブロックされている可能性があります。 たとえば、https://.servicebus.windows.net* に対する接続は許可されているときに、その範囲内にある特定の IP アドレスへの接続がブロックされることがあります。 この問題を解決するには、ネットワーク環境の構成を変更してポート 443 を介する送信方向の HTTPS 接続を URL、IP アドレスを問わずすべて許可する (上のオプション 1 に相当) か、ネットワーク チームの協力の下で特定の IP アドレスに対する HTTPS 接続を明示的に許可する (上のオプション 2 に相当) 必要があります。

以前のバージョンを使用している場合

メモ

Azure AD Connect のバージョンが 1.0.8667.0 よりも前の場合には、最新バージョンの Azure AD Connect にアップグレードすることを強くお勧めします。最新バージョンでは、ライトバック ネットワークに関する数々の機能が向上しており、構成を簡単に済ませることができます。

ネットワーク アプライアンスの構成が終わったら、Azure AD Connect ツールを実行しているコンピューターを再起動してください。

Azure AD Connect (1.1.443.0 以降) でのアイドル接続

Azure AD Connect ツールでは、接続が現在も有効であることを確認するために、ping または keepalive が ServiceBus エンドポイントに送信されます。 接続の強制終了がツールであまりにも多く検出される場合は、エンドポイントへの ping の送信頻度が自動的に上がります。 最短の "ping の送信間隔" は 60 秒あたり 1 ping ですが、プロキシやファイアウォールではアイドル接続を 2 ~ 3 分以上維持できるようにすることを強くお勧めします。 *これより前のバージョンでは、4 分以上が推奨されます。

手順 4: Active Directory の適切な権限を設定する

パスワードをリセットするユーザーを含むすべてのフォレストについて、構成ウィザードでそのフォレストに対して (初期構成中に) 指定されたアカウントが X である場合、X には、そのフォレスト内の各ドメインのルート オブジェクトまたは SSPR の対象に含めるユーザー OU に対して、lockoutTime[パスワードのリセット][パスワードの変更][書き込みアクセス許可]pwdLastSet[書き込みアクセス許可] など、拡張権限を付与する必要があります。 リセットのアクセス許可をドメインのルートに付与することが許容されないために、一連の特定のユーザー オブジェクトのみに限定する場合は、後者のオプションを使用できます。 この権限は、すべてのユーザー オブジェクトにより継承されるものとしてマークされます。

上記のどのアカウントが参照されるか明らかでない場合は、Azure Active Directory Connect の構成 UI を開き、 [ソリューションの確認] オプションをクリックします。 以下のスクリーンショットで、アクセス許可を追加する必要があるアカウントには赤色の下線が表示されています。

システムの各フォレストでドメインごとに、このアクセス許可を必ず設定します。そうしないと、パスワード ライトバックは正しく機能しません。

これらの権限を設定すると、パスワード管理が、フォレストに含まれるユーザー アカウントからではなく、各フォレストのMA サービス アカウントから可能になります。 これらの権限を割り当てないと、ライトバックが正常に構成されているように思われる場合でも、クラウドからオンプレミスのパスワードを管理しようとするとエラーが発生します。 ここでは、[ Active Directory ユーザーとコンピューター ] 管理スナップインを使用した権限の設定方法の手順を詳しく説明します。

メモ

ディレクトリ内のすべてのオブジェクトにこれらの権限をレプリケートするには、最大 1 時間かかることがあります。

ライトバックを行うために適切な権限を設定するには

  1. 適切なドメインの管理権限を持つアカウントで [ Active Directory ユーザーとコンピューター ] を開きます。
  2. [表示メニュー] オプションで、[高度な機能] がオンになっていることを確認します。
  3. 左側のパネルで、ドメインのルートを表すオブジェクトを右クリックします。
  4. [ セキュリティ ] タブをクリックします。
  5. [ 詳細設定] をクリックします。

  6. [アクセス権限] タブで [追加] をクリックします。

  7. アクセス許可するアカウント (フォレストの同期をセットアップ中に指定したものと同じアカウント) を選択します。
  8. 上部のドロップダウンで、[ 下位ユーザー オブジェクト] を選択します。
  9. 表示される [アクセス許可エントリ] ダイアログ ボックスで、lockoutTime[パスワードのリセット][パスワードの変更]、および [書き込みのアクセス許可] のチェック ボックスをオンにし、pwdLastSet[書き込みのアクセス許可] のチェック ボックスをオンにします。

  10. 開いているすべてのダイアログ ボックスで [適用] または [OK] をクリックします。

手順 5: ユーザーとして AD パスワードをリセットする

これでパスワード ライトバックが有効になったので、その動作をテストできます。テストするには、アカウントがクラウド テナントと同期されているユーザーのパスワードをリセットします。

パスワード ライトバックの正常な動作を確認するには

  1. http://passwordreset.microsoftonline.com に移動するか、組織の ID ログイン画面に移動し、[ アカウントにアクセスできない場合 ] リンクをクリックします。

  2. 新しいページが表示され、パスワードをリセットするユーザー ID を求められます。 テスト ユーザー ID を入力し、パスワード リセット フローを続行します。
  3. パスワードをリセットすると、次のような画面が表示されます。 これは、オンプレミスのディレクトリまたはクラウド ディレクトリ、あるいは両方のディレクトリでパスワードが正常にリセットされたことを意味します。

  4. 操作が正常に完了したか、またはエラーが診断されたかを確認するには、ディレクトリ同期コンピューターに進んで [イベント ビューアー] を開き、[アプリケーション イベント ログ] に移動して、ソース PasswordResetService でテスト ユーザーのイベント "31002 - PasswordResetSuccess" が表示されているかどうかを確認します。

次のステップ

Azure AD のパスワードのリセットに関するすべてのドキュメント ページへのリンクを以下に示します。