Windows Server Active Directory に Azure AD パスワード保護を適用するEnforce Azure AD password protection for Windows Server Active Directory

Azure AD パスワード保護は、組織のパスワード ポリシーを強化する機能です。Azure AD password protection is a feature that enhances password policies in an organization. オンプレミス デプロイのパスワード保護では、グローバル禁止パスワード リストと Azure AD に格納されているカスタムの禁止パスワード リストの両方を使用します。On-premises deployment of password protection uses both the global and custom banned-password lists that are stored in Azure AD. これは、クラウドベース Azure AD と同じチェックをオンプレミスで実行します。It does the same checks on-premises as Azure AD does for cloud-based changes. これらのチェックは、パスワードの変更時とパスワードのリセット時に実行されます。These checks are performed during password changes and password reset scenarios.

設計原則Design principles

Azure AD パスワード保護は、次の原則を考慮して設計されています。Azure AD password protection is designed with these principles in mind:

  • ドメイン コントローラーはインターネットと直接通信する必要がありません。Domain controllers never have to communicate directly with the internet.
  • ドメイン コントローラーで新しいネットワーク ポートが開かれません。No new network ports are opened on domain controllers.
  • Active Directory スキーマの変更は必要ありません。No Active Directory schema changes are required. このソフトウェアは、既存の Active Directory コンテナーおよび serviceConnectionPoint スキーマ オブジェクトを使用します。The software uses the existing Active Directory container and serviceConnectionPoint schema objects.
  • 最小限の Active Directory ドメインまたはフォレスト機能レベル (DFL\FFL) は必要ありません。No minimum Active Directory domain or forest functional level (DFL/FFL) is required.
  • このソフトウェアは、保護する Active Directory ドメイン内にアカウントを作成せず、要求もしません。The software doesn't create or require accounts in the Active Directory domains that it protects.
  • ユーザーのクリア テキスト パスワードは、パスワード検証操作のときも、他のどのようなときでも、ドメイン コントローラーの外部に出ることはありません。User clear-text passwords never leave the domain controller, either during password validation operations or at any other time.
  • このソフトウェアは、他の Azure AD 機能に依存しません。たとえば、Azure AD のパスワード ハッシュ同期は関連しておらず、Azure AD のパスワード保護を機能させるために必要ではありません。The software is not dependent on other Azure AD features; for example Azure AD password hash sync is not related and is not required in order for Azure AD password protection to function.
  • 増分デプロイはサポートされていますが、ドメイン コントローラー エージェント (DC エージェント) がインストールされている場合にのみパスワード ポリシーが適用されます。Incremental deployment is supported, however the password policy is only enforced where the Domain Controller Agent (DC Agent) is installed. 詳細については、次のトピックを参照してください。See next topic for more details.

増分デプロイIncremental deployment

Azure AD パスワード保護では、Active Directory ドメイン内のドメイン コントローラー全体への増分デプロイがサポートされていますが、これが何を意味するのか、何がトレードオフであるのかを理解することが重要です。Azure AD password protection supports incremental deployment across domain controllers in an Active Directory domain but it's important to understand what this really means and what the tradeoffs are.

Azure AD パスワード保護 DC エージェント ソフトウェアがパスワードを検証できるのは、それがドメイン コントローラーにインストールされるときと、そのドメイン コントローラーに送信されるパスワード変更に対してのみです。The Azure AD password protection DC agent software can only validate passwords when it is installed on a domain controller, and only for password changes that are sent to that domain controller. ユーザー パスワードの変更を処理するために Windows クライアント マシンによって選択されるドメイン コントローラーを制御することはできません。It is not possible to control which domain controllers are chosen by Windows client machines for processing user password changes. 一貫性のある動作と世界共通のパスワード保護のセキュリティを確実に適用するには、ドメイン内のすべてのドメイン コントローラーに DC エージェント ソフトウェアをインストールする必要があります。In order to guarantee consistent behavior and universal password protection security enforcement, the DC agent software MUST be installed on all domain controllers in a domain.

多くの組織では、完全なデプロイを行う前に、ドメイン コントローラーのサブセットで Azure AD パスワード保護を慎重にテストする必要があります。Many organizations will want to do careful testing of Azure AD password protection on a subset of their domain controllers prior to doing a full deployment. Azure AD パスワード保護は一部のデプロイをサポートしています。つまり、特定の DC 上にある DC エージェント ソフトウェアは、ドメイン内の他の DC に DC エージェント ソフトウェアがインストールされていない場合でも積極的にパスワードを検証します。Azure AD password protection does support partial deployment, ie the DC agent software on a given DC will actively validate passwords even when other DCs in the domain do not have the DC agent software installed. このような一部のデプロイは安全ではないため、テスト目的以外にはお勧めしません。Partial deployments of this type are NOT secure and are NOT recommended other than for testing purposes.

アーキテクチャ図Architectural diagram

オンプレミスの Active Directory 環境で Azure AD パスワード保護をデプロイする前に、基になる設計と機能の概念を理解することが重要です。It's important to understand the underlying design and function concepts before you deploy Azure AD password protection in an on-premises Active Directory environment. 次の図は、パスワード保護のコンポーネントの連携のしくみを示しています。The following diagram shows how the components of password protection work together:

Azure AD パスワード保護コンポーネントの連携方法

  • Azure AD パスワード保護プロキシ サービスは、現在の Active Directory フォレスト内のドメインに参加しているすべてのマシン上で実行されています。The Azure AD Password Protection Proxy service runs on any domain-joined machine in the current Active Directory forest. その主な目的は、パスワード ポリシーのダウンロード要求をドメイン コントローラーから Azure AD に転送することです。Its primary purpose is to forward password policy download requests from domain controllers to Azure AD. その後、Azure AD からドメイン コントローラーに応答を返します。It then returns the responses from Azure AD to the domain controller.
  • DC エージェントのパスワード フィルター DLL は、オペレーティング システムからユーザーのパスワード検証要求を受け取り、The password filter DLL of the DC Agent receives user password-validation requests from the operating system. ドメイン コントローラーでローカルで実行されている DC エージェント サービスに転送します。It forwards them to the DC Agent service that's running locally on the domain controller.
  • パスワード保護の DC エージェント サービスは、DC エージェントのパスワード フィルター DLL からパスワード検証要求を受け取り、The DC Agent service of password protection receives password-validation requests from the password filter DLL of the DC Agent. 現在の (ローカルで使用できる) パスワード ポリシーを使用して処理し、結果 (合格または失敗) を返します。It processes them by using the current (locally available) password policy and returns the result: pass or fail.

パスワード保護のしくみHow password protection works

各 Azure AD パスワード保護プロキシ サービス インスタンスは、Active Directory に serviceConnectionPoint オブジェクトを作成することによって、それ自体をフォレスト内のドメイン コントローラーにアドバタイズします。Each Azure AD Password Protection Proxy service instance advertises itself to the domain controllers in the forest by creating a serviceConnectionPoint object in Active Directory.

パスワード保護用の各 DC エージェント サービスは、Active Directory に serviceConnectionPoint オブジェクトも作成します。Each DC Agent service for password protection also creates a serviceConnectionPoint object in Active Directory. このオブジェクトは、主にレポートと診断に使用されます。This object is used primarily for reporting and diagnostics.

DC エージェント サービスは、Azure AD からの新しいパスワード ポリシーのダウンロードの開始を担当します。The DC Agent service is responsible for initiating the download of a new password policy from Azure AD. 最初の手順は、フォレストで、プロキシ serviceConnectionPoint オブジェクトをクエリすることによって、Azure AD パスワード保護プロキシ サービスを見つけることです。The first step is to locate an Azure AD Password Protection Proxy service by querying the forest for proxy serviceConnectionPoint objects. 使用可能なプロキシ サービスが見つかると、DC エージェント サービスがプロキシ サービスにパスワード ポリシー ダウンロード要求を送信します。When an available proxy service is found, the DC Agent sends a password policy download request to the proxy service. さらに、プロキシ サービスが Azure AD に要求を送信します。The proxy service in turn sends the request to Azure AD. 次にプロキシ サービスは、DC エージェント サービスに応答を返します。The proxy service then returns the response to the DC Agent service.

DC エージェント サービスが Azure AD から新しいパスワード ポリシーを受信すると、サービスはそのドメイン sysvol フォルダー共有のルートにある専用フォルダーにポリシーを格納します。After the DC Agent service receives a new password policy from Azure AD, the service stores the policy in a dedicated folder at the root of its domain sysvol folder share. さらに、DC エージェント サービスは、ドメイン内の他の DC エージェント サービスから新しいポリシーがレプリケートされた場合にこのフォルダーを監視します。The DC Agent service also monitors this folder in case newer policies replicate in from other DC Agent services in the domain.

DC エージェント サービスは、サービスの起動時に常に新しいポリシーを要求します。The DC Agent service always requests a new policy at service startup. DC エージェント サービスの起動後、1 時間ごとに現在のローカルで使用可能なポリシーの有効期間が確認されます。After the DC Agent service is started, it checks the age of the current locally available policy hourly. ポリシーが 1 時間よりも古い場合、DC エージェントは上記のように Azure AD にプロキシ サービスを介して新しいポリシーを要求します。If the policy is older than one hour, the DC Agent requests a new policy from Azure AD via the proxy service, as described previously. 現在のポリシーが 1 時間よりも古くない場合、DC エージェントはそのポリシーを使用し続けます。If the current policy isn't older than one hour, the DC Agent continues to use that policy.

Azure AD パスワード保護のパスワード ポリシーがダウンロードされたときは常に、そのポリシーがテナントに固有になります。Whenever an Azure AD password protection password policy is downloaded, that policy is specific to a tenant. つまり、パスワード ポリシーは常に、Microsoft のグローバルな禁止パスワード リストとテナントごとのカスタムの禁止パスワード リストの組み合わせになります。In other words, password policies are always a combination of the Microsoft global banned-password list and the per-tenant custom banned-password list.

DC エージェントは、TCP を介した RPC を使用してプロキシ サービスと通信します。The DC Agent communicates with the proxy service via RPC over TCP. プロキシ サービスは、構成に従って、動的または静的 RPC ポートでこれらの呼び出しをリッスンします。The proxy service listens for these calls on a dynamic or static RPC port, depending on the configuration.

DC エージェントはネットワークで使用可能なポートでリッスンしません。The DC Agent never listens on a network-available port.

プロキシ サービスは、DC エージェント サービスを呼び出すことはありません。The proxy service never calls the DC Agent service.

プロキシ サービスはステートレスです。The proxy service is stateless. Azure からダウンロードされたポリシーやその他の状態をキャッシュしません。It never caches policies or any other state downloaded from Azure.

DC エージェント サービスは、常に最新のローカルで使用可能なパスワード ポリシーを使用して、ユーザーのパスワードを評価します。The DC Agent service always uses the most recent locally available password policy to evaluate a user's password. ローカル DC に使用可能なパスワード ポリシーがない場合、パスワードは自動的に承認されます。If no password policy is available on the local DC, the password is automatically accepted. その場合、イベント ログ メッセージが記録され、管理者に警告されます。When that happens, an event message is logged to warn the administrator.

Azure AD パスワード保護は、リアルタイム ポリシー アプリケーション エンジンではありません。Azure AD password protection isn't a real-time policy application engine. パスワード ポリシー構成の変更が Azure AD で行われてから、その変更がすべてのドメイン コントローラーに到達して適用されるまでに、遅延が生じることがあります。There can be a delay between when a password policy configuration change is made in Azure AD and when that change reaches and is enforced on all domain controllers.

Azure AD のパスワード保護は、既存の Active Directory パスワード ポリシーを補完するものであり、代わりにはなりません。Azure AD password protection acts as a supplement to the existing Active Directory password policies, not a replacement. これには、インストールされる可能性がある他の任意のサード パーティ製パスワード フィルター dll が含まれます。This includes any other 3rd-party password filter dlls that may be installed. Active Directory では、常に、すべてのパスワード検証コンポーネントがパスワードの受け入れ前に同調している必要があります。Active Directory always requires that all password validation components agree before accepting a password.

パスワード保護のフォレスト/テナント バインディングForest/tenant binding for password protection

Active Directory フォレスト内の Azure AD パスワード保護のデプロイには、そのフォレストの Azure AD への登録が必要です。Deployment of Azure AD password protection in an Active Directory forest requires registration of that forest with Azure AD. デプロイ済みの各プロキシ サービスも、Azure AD に登録する必要があります。Each proxy service that is deployed must also be registered with Azure AD. このようなフォレストとプロキシの登録は、登録時に使用される資格情報によって暗黙的に識別される、特定の Azure AD テナントと関連付けられます。These forest and proxy registrations are associated with a specific Azure AD tenant, which is identified implicitly by the credentials that are used during registration.

Active Directory フォレストと、フォレスト内にデプロイ済みのすべてのプロキシ サービスは、同じテナントに登録する必要があります。The Active Directory forest and all deployed proxy services within a forest must be registered with the same tenant. Active Directory フォレストまたはそのフォレスト内のプロキシ サービスを別の Azure AD に登録することは、サポートされていません。It is not supported to have an Active Directory forest or any proxy services in that forest being registered to different Azure AD tenants. このような誤って構成されたデプロイの症状として、パスワード ポリシーをダウンロードできないことがあります。Symptoms of such a mis-configured deployment include the inability to download password policies.

ダウンロードDownload

Azure AD パスワード保護のために必要な 2 つのエージェント インストーラーは、Microsoft ダウンロード センターから入手できます。The two required agent installers for Azure AD password protection are available from the Microsoft Download Center.

次の手順Next steps

Azure AD のパスワード保護をデプロイするDeploy Azure AD password protection