パスワード ライトバックとはWhat is password writeback?

クラウド ベースのパスワードのリセット ユーティリティは優れていますが、ほとんどの企業には、ユーザーが存在するオンプレミスのディレクトリがまだあります。Having a cloud-based password reset utility is great but most companies still have an on-premises directory where their users exist. Microsoft では、従来のオンプレミスの Active Directory (AD) とクラウドでのパスワード変更の同期をどのように保っているのでしょうか。How does Microsoft support keeping traditional on-premises Active Directory (AD) in sync with password changes in the cloud? パスワード ライトバックは、Azure AD Connect で有効になっている機能で、クラウド内でのパスワード変更を既存のオンプレミスのディレクトリにリアルタイムで書き戻せるようにします。Password writeback is a feature enabled with Azure AD Connect that allows password changes in the cloud to be written back to an existing on-premises directory in real time.

パスワード ライトバックは、以下を使用する環境でサポートされます。Password writeback is supported in environments that use:

警告

Azure Access Control Service (ACS) が 2018 年 11 月 7 日に廃止されると、パスワード ライトバックは Azure AD Connect バージョン 1.0.8641.0 以前を使用している顧客には機能しなくなります。Password writeback will stop working for customers who are using Azure AD Connect versions 1.0.8641.0 and older when the Azure Access Control service (ACS) is retired on November 7th, 2018. Azure AD Connect バージョン 1.0.8641.0 以前では、パスワード ライトバックは ACS に依存しているため、この時点でこの機能を許可することはなくなります。Azure AD Connect versions 1.0.8641.0 and older will no longer allow password writeback at that time because they depend on ACS for that functionality.

稼働中に中断しないように、Azure AD Connect の前のバージョンからより新しいバージョンにアップグレードします。「Azure AD Connect: 旧バージョンから最新バージョンにアップグレードする」の記事を参照してください。To avoid a disruption in service, upgrade from a previous version of Azure AD Connect to a newer version, see the article Azure AD Connect: Upgrade from a previous version to the latest

パスワード ライトバックは以下の機能を提供します。Password writeback provides:

  • オンプレミスの Active Directory パスワード ポリシーの強制: ユーザーが自分のパスワードをリセットするとき、パスワードがオンプレミスの Active Directory ポリシーに準拠していることを確認してから、そのディレクトリにコミットします。Enforcement of on-premises Active Directory password policies: When a user resets their password, it is checked to ensure it meets your on-premises Active Directory policy before committing it to that directory. この確認には、履歴、複雑さ、年齢、パスワード フィルター、ローカル Active Directory で定義された他のパスワード制限のチェックが含まれます。This review includes checking the history, complexity, age, password filters, and any other password restrictions that you have defined in local Active Directory.
  • ゼロ遅延フィードバック: パスワード ライトバックは同期操作です。Zero-delay feedback: Password writeback is a synchronous operation. ユーザーのパスワードがポリシーに合わなかった場合や、何らかの理由でリセットまたは変更できなかった場合は、すぐにユーザーに通知します。Your users are notified immediately if their password did not meet the policy or could not be reset or changed for any reason.
  • アクセス パネルと Office 365 からのパスワード変更のサポート: フェデレーション ユーザーかパスワード ハッシュ同期されたユーザーが有効期限切れ、または有効期限切れでないパスワードを変更すると、これらのパスワードはローカル Active Directory 環境に書き戻されます。Supports password changes from the access panel and Office 365: When federated or password hash synchronized users come to change their expired or non-expired passwords, those passwords are written back to your local Active Directory environment.
  • 管理者が Azure portal でパスワードをリセットするときのパスワード ライトバックのサポート: 管理者が Azure portal でユーザーのパスワードをリセットするときに、そのユーザーがフェデレーションまたはパスワード ハッシュ同期されている場合は、パスワードがオンプレミスに書き戻されます。Supports password writeback when an admin resets them from the Azure portal: Whenever an admin resets a user’s password in the Azure portal, if that user is federated or password hash synchronized, the password is written back to on-premises. 現在、この機能は Office 管理ポータルではサポートされていません。This functionality is currently not supported in the Office admin portal.
  • 受信ファイアウォール規則は不要: パスワード ライトバックは、基盤の通信チャネルとして Azure Service Bus リレーを使います。Doesn’t require any inbound firewall rules: Password writeback uses an Azure Service Bus relay as an underlying communication channel. すべての通信はポート 443 経由で送信されます。All communication is outbound over port 443.

注意

オンプレミスの AD の保護グループ内に存在する管理者アカウントは、パスワード ライトバックに使用できます。Administrator accounts that exist within protected groups in on-premises AD can be used with password writeback. 管理者はクラウドでパスワードを変更することはできますが、パスワードのリセットを使用して、忘れたパスワードをリセットすることはできません。Administrators can change their password in the cloud but cannot use password reset to reset a forgotten password. 保護グループについて詳しくは、「Protected Accounts and Groups in Active Directory (Active Directory の保護アカウントとグループ)」をご覧ください。For more information about protected groups, see Protected accounts and groups in Active Directory.

パスワード ライトバックに必要なライセンスLicensing requirements for password writeback

オンプレミスの書き戻しによるセルフサービスのパスワードのリセット/変更/ロック解除は、Azure AD の Premium 機能ですSelf-Service Password Reset/Change/Unlock with on-premises writeback is a premium feature of Azure AD. ライセンスの詳細については、Azure Active Directory の価格サイトを参照してください。For more information about licensing, see the Azure Active Directory pricing site.

パスワード ライトバックを使用するには、次のいずれかのライセンスがご自分のテナントに割り当てられている必要があります。To use password writeback, you must have one of the following licenses assigned on your tenant:

  • Azure AD Premium P1Azure AD Premium P1
  • Azure AD Premium P2Azure AD Premium P2
  • Enterprise Mobility + Security E3 または A3Enterprise Mobility + Security E3 or A3
  • Enterprise Mobility + Security E5 または A5Enterprise Mobility + Security E5 or A5
  • Microsoft 365 E3 または A3Microsoft 365 E3 or A3
  • Microsoft 365 E5 または A5Microsoft 365 E5 or A5
  • Microsoft 365 F1Microsoft 365 F1
  • Microsoft 365 BusinessMicrosoft 365 Business

警告

スタンドアロンの Office 365 ライセンス プランでは、"セルフサービスによるパスワードのリセット/変更/ロック解除 (オンプレミスの書き戻しが可能) をサポートしていません"。この機能を動作させるには、上記プランのいずれかが必要になります。Standalone Office 365 licensing plans don't support "Self-Service Password Reset/Change/Unlock with on-premises writeback" and require that you have one of the preceding plans for this functionality to work.

パスワード ライトバックのしくみHow password writeback works

フェデレーション ユーザーまたはパスワード ハッシュ同期されたユーザーがクラウドで自分のパスワードをリセットまたは変更しようとした場合は、次のアクションが実行されます。When a federated or password hash synchronized user attempts to reset or change their password in the cloud, the following actions occur:

  1. ユーザーのパスワードの種類のチェックが実行されます。A check is performed to see what type of password the user has. パスワードがオンプレミスで管理されている場合:If the password is managed on-premises:

    • ライトバック サービスが稼働しているかどうかのチェックが実行されます。A check is performed to see if the writeback service is up and running. 稼働している場合、ユーザーは続行できます。If it is, the user can proceed.
    • ライトバック サービスがダウンしている場合は、パスワードを今すぐにはリセットできないことがユーザーに通知されます。If the writeback service is down, the user is informed that their password can't be reset right now.
  2. 次に、ユーザーが適切な認証ゲートを通過すると、 [パスワードのリセット] ページが表示されます。Next, the user passes the appropriate authentication gates and reaches the Reset password page.

  3. ユーザーは新しいパスワードを選択して確認します。The user selects a new password and confirms it.

  4. ユーザーが [送信] を選ぶと、プレーンテキスト パスワードがライトバックのセットアップ プロセス時に作成された対称キーを使って暗号化されます。When the user selects Submit, the plaintext password is encrypted with a symmetric key created during the writeback setup process.

  5. 暗号化されたパスワードは、HTTPS チャネル経由でテナント固有の Service Bus Relay (ライトバックのセットアップ中に設定される) に送信されるペイロードに含められます。The encrypted password is included in a payload that gets sent over an HTTPS channel to your tenant-specific service bus relay (that is set up for you during the writeback setup process). このリレーは、オンプレミスのインストールのみを認識するランダムに生成されたパスワードによって保護されます。This relay is protected by a randomly generated password that only your on-premises installation knows.

  6. メッセージが Service Bus に到達した後、パスワード リセット エンドポイントが自動的にアクティブになり、保留中のリセット要求があるかどうかが確認されます。After the message reaches the service bus, the password-reset endpoint automatically wakes up and sees that it has a reset request pending.

  7. サービスは、クラウドのアンカー属性を使ってユーザーを探します。The service then looks for the user by using the cloud anchor attribute. この検索が成功するには:For this lookup to succeed:

    • Active Directory コネクタ スペースにユーザー オブジェクトが存在している必要があります。The user object must exist in the Active Directory connector space.
    • ユーザー オブジェクトが対応するメタバース (MV) オブジェクトにリンクされている必要があります。The user object must be linked to the corresponding metaverse (MV) object.
    • ユーザー オブジェクトが対応する Azure Active Directory コネクタ オブジェクトにリンクされている必要があります。The user object must be linked to the corresponding Azure Active Directory connector object.
    • Active Directory コネクタ オブジェクトから MC へのリンク上に、同期ルール Microsoft.InfromADUserAccountEnabled.xxx が存在する必要があります。The link from the Active Directory connector object to the MV must have the synchronization rule Microsoft.InfromADUserAccountEnabled.xxx on the link.

    クラウドからの呼び出しがあると、同期エンジンは cloudAnchor 属性を使って Azure Active Directory コネクタ スペース オブジェクトを検索します。When the call comes in from the cloud, the synchronization engine uses the cloudAnchor attribute to look up the Azure Active Directory connector space object. その後、リンクをたどって MV オブジェクトに戻り、さらにリンクをたどって Active Directory オブジェクトに戻ります。It then follows the link back to the MV object, and then follows the link back to the Active Directory object. 同じユーザーに対して複数の Active Directory オブジェクト (マルチ フォレスト) がある可能性があるため、同期エンジンは Microsoft.InfromADUserAccountEnabled.xxx のリンクに基づいて正しいユーザー アカウントを選びます。Because there can be multiple Active Directory objects (multi-forest) for the same user, the sync engine relies on the Microsoft.InfromADUserAccountEnabled.xxx link to pick the correct one.

  8. ユーザー アカウントが見つかると、適切な Active Directory フォレスト内で直接パスワードのリセットが試行されます。After the user account is found, an attempt to reset the password directly in the appropriate Active Directory forest is made.

  9. パスワードの設定操作に成功すると、ユーザーにパスワードが変更されたことが通知されます。If the password set operation is successful, the user is told their password has been changed.

    注意

    ユーザーのパスワード ハッシュがパスワード ハッシュ同期を使って Azure AD に同期される場合、オンプレミスのパスワード ポリシーが、クラウドのパスワード ポリシーと比べて厳密ではない可能性があります。If the user's password hash is synchronized to Azure AD by using password hash synchronization, there is a chance that the on-premises password policy is weaker than the cloud password policy. この場合は、オンプレミスのポリシーが適用されます。In this case, the on-premises policy is enforced. このポリシーにより、パスワード ハッシュ同期やフェデレーションによるシングル サインオンを提供していたとしても、クラウドでオンプレミスのポリシーが確実に適用されます。This policy ensures that your on-premises policy is enforced in the cloud, no matter if you use password hash synchronization or federation to provide single sign-on.

  10. パスワード設定操作が失敗した場合、ユーザーにもう一度試すように求めるエラーが表示されます。If the password set operation fails, an error prompts the user to try again. 次の理由により、操作が失敗することがあります。The operation might fail because:

    • サービスがダウンしていた。The service was down.

    • 選択したパスワードが組織のポリシーを満たしていなかった。The password they selected did not meet the organization's policies.

    • ローカル Active Directory でユーザーが見つからない。Unable to find the user in local Active Directory.

      エラー メッセージはユーザーにガイダンスを提供するので、ユーザーは管理者の介入なしに解決を試みることができます。The error messages provide guidance to users so they can attempt to resolve without administrator intervention.

パスワード ライトバックのセキュリティPassword writeback security

パスワード ライトバックは、安全性の高いサービスです。Password writeback is a highly secure service. ユーザーの情報を確実に保護するために、次に説明するように 4 層のセキュリティ モデルが有効になります。To ensure your information is protected, a four-tiered security model is enabled as the following describes:

  • テナント固有の Service Bus RelayTenant-specific service-bus relay
    • サービスを設定すると、Microsoft でもアクセスできない、ランダムに生成された強力なパスワードで保護されたテナント固有の Service Bus Relay が設定されます。When you set up the service, a tenant-specific service bus relay is set up that's protected by a randomly generated strong password that Microsoft never has access to.
  • ロックダウンされ、暗号強度の高いパスワード暗号化キーLocked down, cryptographically strong, password encryption key
    • Service Bus Relay が作成されると、強力な非対称キーが作成され、ネットワーク経由でパスワードが渡されるときに暗号化に使用されます。After the service bus relay is created, a strong symmetric key is created that is used to encrypt the password as it comes over the wire. このキーは、クラウド内の会社のシークレット ストアのみに存在し、厳重にロックダウンされ、ディレクトリ内の他のパスワードと同様に監査されます。This key only lives in your company's secret store in the cloud, which is heavily locked down and audited, just like any other password in the directory.
  • 業界標準のトランスポート層セキュリティ (TLS)Industry standard Transport Layer Security (TLS)
    1. クラウド内でパスワードのリセットや変更操作が行われる場合は、プレーンテキスト パスワードが公開キーを使用して暗号化されます。When a password reset or change operation occurs in the cloud, the plaintext password is encrypted with your public key.
    2. 暗号化されたパスワードが HTTPS メッセージに配置され、Microsoft の SSL 証明書を使って暗号化されたチャネルを介して Service Bus Relay に送信されます。The encrypted password is placed into an HTTPS message that is sent over an encrypted channel by using Microsoft SSL certs to your service bus relay.
    3. Service Bus にメッセージが到着すると、オンプレミスのエージェントが起動され、以前に生成された強力なパスワードを使用して Service Bus に認証します。After the message arrives in the service bus, your on-premises agent wakes up and authenticates to the service bus by using the strong password that was previously generated.
    4. オンプレミスのエージェントは、暗号化されたメッセージを取得し、秘密キーを使用して復号化します。The on-premises agent picks up the encrypted message and decrypts it by using the private key.
    5. オンプレミスのエージェントは、AD DS SetPassword API を使用して、パスワードの設定を試行します。The on-premises agent attempts to set the password through the AD DS SetPassword API. この手順に従うと、クラウドで Active Directory のオンプレミスのパスワード ポリシー (複雑さ、年齢、履歴、フィルターなど) を適用できます。This step is what allows enforcement of your Active Directory on-premises password policy (such as the complexity, age, history, and filters) in the cloud.
  • メッセージの有効期限ポリシーMessage expiration policies
    • オンプレミスのサービスがダウンしているためメッセージが Service Bus に残っている場合はタイムアウトになり、数分後に削除されます。If the message sits in service bus because your on-premises service is down, it times out and is removed after several minutes. タイムアウトとメッセージの削除により、セキュリティがさらに強化されます。The time-out and removal of the message increases security even further.

パスワード ライトバックの暗号化の詳細Password writeback encryption details

ユーザーがパスワードのリセットを送信した後、リセット要求はオンプレミスの環境に届く前に、いくつかの暗号化ステップを通過します。After a user submits a password reset, the reset request goes through several encryption steps before it arrives in your on-premises environment. これらの暗号化ステップにより、サービスの最大限の信頼性とセキュリティが保証されます。These encryption steps ensure maximum service reliability and security. 暗号化ステップの説明を次に示します。They are described as follows:

  • 手順 1:2048 ビット RSA キーによるパスワードの暗号化: ユーザーが、オンプレミスに書き戻すパスワードを送信すると、送信されたパスワードそのものが 2048 ビット RSA キーを使って暗号化されます。Step 1: Password encryption with 2048-bit RSA Key: After a user submits a password to be written back to on-premises, the submitted password itself is encrypted with a 2048-bit RSA key.
  • 手順 2:AES-GCM によるパッケージ レベルの暗号化: AES-GCM を使って、パッケージ全体 (パスワードと必要なメタデータ) が暗号化されます。Step 2: Package-level encryption with AES-GCM: The entire package, the password plus the required metadata, is encrypted by using AES-GCM. この暗号化により、ServiceBus チャネルに直接アクセスできる人物による内容の表示または改ざんを防止します。This encryption prevents anyone with direct access to the underlying ServiceBus channel from viewing or tampering with the contents.
  • 手順 3:すべての通信が TLS/SSL 経由で行われる: ServiceBus でのすべての通信は、SSL/TLS チャネルで実行されます。Step 3: All communication occurs over TLS/SSL: All the communication with ServiceBus happens in an SSL/TLS channel. この暗号化により、権限がないサード パーティに対してコンテンツが保護されます。This encryption secures the contents from unauthorized third parties.
  • 半年ごとの自動キー ロールオーバー: 半年ごとに、または Azure AD Connect でパスワード ライトバックが無効化されて再び有効化されるたびに、すべてのキーがロールオーバーされ、最大限のサービスのセキュリティと安全性が確保されます。Automatic key roll over every six months: All keys roll over every six months, or every time password writeback is disabled and then re-enabled on Azure AD Connect, to ensure maximum service security and safety.

パスワード ライトバックの帯域幅の使用Password writeback bandwidth usage

パスワード ライトバックは帯域幅の低いサービスで、次の状況でのみ要求をオンプレミスのエージェントに戻します。Password writeback is a low-bandwidth service that only sends requests back to the on-premises agent under the following circumstances:

  • Azure AD Connect を通じて機能が有効または無効にされると、2 つのメッセージが送信されます。Two messages are sent when the feature is enabled or disabled through Azure AD Connect.
  • サービスのハートビートとして 5 分おきに 1 回 1 つのメッセージが、サービスを実行している間中、送信されます。One message is sent once every five minutes as a service heartbeat for as long as the service is running.
  • 新しいパスワードが送信されるたびに 2 つのメッセージが送信されます。Two messages are sent each time a new password is submitted:
    • 1 番目のメッセージは操作の実行を要求します。The first message is a request to perform the operation.
    • 2 番目のメッセージには操作の結果が含まれ、次の状況で送信されます。The second message contains the result of the operation, and is sent in the following circumstances:
      • ユーザーのセルフサービスのパスワードのリセット時に新しいパスワードが送信された場合Each time a new password is submitted during a user self-service password reset.
      • ユーザーのパスワード変更操作時に新しいパスワードが送信された場合Each time a new password is submitted during a user password change operation.
      • 管理者によるユーザー パスワードのリセット時に新しいパスワードが送信された場合 (Azure 管理ポータルからのみ)Each time a new password is submitted during an admin-initiated user password reset (only from the Azure admin portals).

メッセージ サイズと帯域幅に関する考慮事項Message size and bandwidth considerations

前に説明した各メッセージのサイズは、通常 1 KB 未満です。The size of each of the message described previously is typically under 1 KB. 負荷が大きい場合でも、パスワード ライトバック サービス自体で 1 秒間に数キロビットの帯域幅しか消費されないことを意味します。Even under extreme loads, the password writeback service itself is consuming a few kilobits per second of bandwidth. 各メッセージは、パスワードの更新操作で必要になった場合にのみリアルタイムで送信されるため、またメッセージのサイズが非常に小さいため、ライトバック機能の帯域幅は非常に小さく、測定可能な影響を及ぼすには至りません。Because each message is sent in real time, only when required by a password update operation, and because the message size is so small, the bandwidth usage of the writeback capability is too small to have a measurable impact.

サポートされるライトバック操作Supported writeback operations

パスワードは次の状況で書き戻されます。Passwords are written back in all the following situations:

  • サポートされるエンドユーザーの操作Supported end-user operations
    • エンド ユーザーによる自発的なパスワード変更Any end-user self-service voluntary change password operation
    • エンドユーザーによる強制的なパスワード変更 (パスワードの期限切れなど)Any end-user self-service force change password operation, for example, password expiration
    • エンドユーザーにより、パスワード リセット ポータルから実行されたセルフサービスによるパスワードのリセットAny end-user self-service password reset that originates from the password reset portal
  • サポートされる管理者の操作Supported administrator operations
    • 管理者による自発的なパスワード変更Any administrator self-service voluntary change password operation
    • 管理者による強制的なパスワード変更 (パスワードの期限切れなど)Any administrator self-service force change password operation, for example, password expiration
    • 管理者によりパスワード リセット ポータルから実行された管理者によるセルフサービスによるパスワードのリセットAny administrator self-service password reset that originates from the password reset portal
    • Azure Portal から管理者が開始したエンドユーザーのパスワードのリセットAny administrator-initiated end-user password reset from the Azure portal

サポートされないライトバック操作Unsupported writeback operations

パスワードの書き戻しは、次の状況では実行されませんPasswords are not written back in any of the following situations:

  • サポートされないエンドユーザーの操作Unsupported end-user operations
    • PowerShell バージョン 1、バージョン 2、または Azure AD Graph API を使った、エンドユーザーによるパスワードのリセットAny end user resetting their own password by using PowerShell version 1, version 2, or the Azure AD Graph API
  • サポートされない管理者の操作Unsupported administrator operations
    • PowerShell バージョン 1、バージョン 2、または Azure AD Graph API から管理者が開始したエンド ユーザーのパスワードのリセットAny administrator-initiated end-user password reset from PowerShell version 1, version 2, or the Azure AD Graph API
    • Microsoft 365 管理センターから管理者が開始したエンドユーザーのパスワードのリセットAny administrator-initiated end-user password reset from the Microsoft 365 admin center

警告

[Active Directory ユーザーとコンピューター] や [Active Directory 管理センター] などのオンプレミスの Active Directory 管理ツールでの [ユーザーは次回ログオン時にパスワードの変更が必要] チェックボックスの使用はサポートされていません。Use of the checkbox "User must change password at next logon" in on-premises Active Directory administrative tools like Active Directory Users and Computers or the Active Directory Administrative Center is not supported. オンプレミスでパスワードを変更するときは、このオプションをオンにしないでください。When changing a password on-premises do not check this option.

次の手順Next steps

チュートリアルの「パスワード ライトバックを有効にする」を使用して、パスワード ライトバックを有効にするEnable password writeback using the Tutorial: Enabling password writeback