プレビュー: Azure AD パスワード保護を展開するPreview: Deploy Azure AD password protection

Azure AD パスワード保護と禁止パスワードのカスタム リストは、Azure Active Directory のパブリック プレビュー機能です。Azure AD password protection and the custom banned password list are public preview features of Azure Active Directory. プレビューの詳細については、「Microsoft Azure プレビューの追加使用条件」を参照してください。For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews

Windows Server Active Directory に対して Azure AD パスワード保護を適用する方法が理解できたので、次の手順は、その展開を計画して実行することです。Now that we have an understanding of how to enforce Azure AD password protection for Windows Server Active Directory, the next step is to plan and execute the deployment.

展開戦略Deployment strategy

Microsoft では、すべての展開を監査モードで開始することをお勧めしています。Microsoft suggests that any deployment start in audit mode. 監査モードは既定の初期設定であり、パスワードの設定は継続でき、ブロックされた場合は、イベント ログにエントリが作成されます。Audit mode is the default initial setting where passwords can continue to be set and any that would be blocked create entries in the event log. プロキシ サーバーと DC エージェントが監査モードで完全に配置されたら、パスワード ポリシーが適用された場合にその適用がユーザーと環境にどのような影響を与えるかを見極めるために、通常の監視を実行する必要があります。Once proxy server(s) and DC agents are fully deployed in audit mode, regular monitoring should be done in order to determine what impact password policy enforcement would have on users and the environment if the policy was enforced.

この監査段階中に、多くの組織は、以下に気付きます。During the audit stage, many organizations find:

  • より安全なパスワードを使用するように存の運用プロセスを改善する必要がある。They need to improve existing operational processes to use more secure passwords.
  • ユーザーは、安全でないパスワードを定期的に選択することに慣れている。Users are accustomed to regularly choosing unsecure passwords
  • セキュリティの適用の今後の変更と、それによってもたらされる可能性がある影響をユーザーに通知し、より安全なパスワードを選択できる方法をユーザーが理解するための手助けをする必要がある。They need to inform users about the upcoming change in security enforcement, the impact it may have on them, and help them better understand how they can choose more secure passwords.

この機能を妥当な時間にわたって監査モードで実行した後、適用構成を [監査] から [適用] に変更することで、より安全なパスワードを要求できます。Once the feature has been running in audit mode for a reasonable time, the enforcement configuration can be flipped from Audit to Enforce thereby requiring more secure passwords. この期間中に、集中的な監視を行うことをお勧めします。Focused monitoring during this time is a good idea.

既知の制限事項Known limitation

Azure AD パスワード保護プロキシのプレビュー バージョンには、既知の制限があります。There is a known limitation in the preview version of the Azure AD password protection proxy. MFA を必要とするテナント管理者アカウントの使用はサポートされません。Use of tenant administrator accounts that require MFA is unsupported. Azure AD パスワード保護プロキシの今後の更新で、MFA を必要とする管理者アカウントのプロキシ登録をサポートする予定です。A future update of the Azure AD password protection proxy will support proxy registration with administrator accounts that require MFA.

1 つのフォレストへの展開Single forest deployment

Azure AD パスワード保護のプレビューは、最大 2 台のサーバー上に展開でき、DC エージェント サービスは、Active Directory フォレスト内のすべてのドメイン コントローラーに付加的に展開できます。The preview of Azure AD password protection is deployed with the proxy service on up to two servers, and the DC agent service can be incrementally deployed to all domain controllers in the Active Directory forest.

Azure AD パスワード保護コンポーネントの連携方法

ソフトウェアをダウンロードするDownload the software

Azure AD パスワード保護のために必要なインストーラーが 2 つあり、これらは Microsoft ダウンロード センターからダウンロードできます。There are two required installers for Azure AD password protection that can be downloaded from the Microsoft download center

Azure AD パスワード保護プロキシ サービスをインストールして構成するInstall and configure the Azure AD password protection proxy service

  1. Azure AD パスワード保護プロキシ サービスをホストする 1 つまたは複数のサーバーを選択します。Choose one or more servers to host the Azure AD password protection proxy service.

    • 各サービスは 1 つのフォレストにのみパスワード ポリシーを提供でき、ホスト コンピューターは、フォレスト内のドメインに対してドメイン参加済みである必要があります (ルートと子はどちらも同じようにサポートされます)。Each such service can only provide password policies for a single forest, and the host machine must be domain-joined to a domain (root and child are both equally supported) in that forest. Azure AD パスワード保護プロキシ サービスがその機能を発揮するには、フォレストの各ドメイン内の少なくとも 1 つの DC と Azure AD パスワード保護プロキシ ホスト コンピューターとの間にネットワーク接続が存在する必要があります。For Azure AD password protection proxy service to fulfill its mission, there must exist network connectivity between at least one DC in each domain of the forest, and the Azure AD password protection Proxy host machine.
    • テスト目的でのドメイン コントローラーへの Azure AD パスワード保護プロキシ サービスのインストールと実行はサポートされていますが、インターネット接続が必要です。It is supported to install and run the Azure AD password protection proxy service on a domain controller for testing purposes but then requires internet connectivity.

    注意

    パブリック プレビューでは、フォレストごとに最大 2 台のプロキシ サーバーをサポートします。The public preview supports a maximum of two (2) proxy servers per forest.

  2. AzureADPasswordProtectionProxy.msi MSI パッケージを使用して、パスワード ポリシー プロキシ サービス ソフトウェアをインストールします。Install the Password Policy Proxy Service software using the AzureADPasswordProtectionProxy.msi MSI package.

    • このソフトウェアのインストールでは、再起動は必要ありません。The software installation does not require a reboot. ソフトウェアのインストールは、標準 MSI プロシージャ (例: msiexec.exe /i AzureADPasswordProtectionProxy.msi /quiet /qn) を使用して自動化できます。The software installation may be automated using standard MSI procedures, for example: msiexec.exe /i AzureADPasswordProtectionProxy.msi /quiet /qn
  3. 管理者として PowerShell ウィンドウを開きます。Open a PowerShell window as an Administrator.

    • Azure AD パスワード保護プロキシ ソフトウェアには、AzureADPasswordProtection という名前の新しい PowerShell モジュールが含まれています。The Azure AD password protection Proxy software includes a new PowerShell module named AzureADPasswordProtection. 次の手順は、この PowerShell モジュールのさまざまなコマンドレットの実行に基づいており、新しい PowerShell ウィンドウを開いて、新しいモジュールを次のようにインポートしていることを前提としています。The following steps are based on running various cmdlets from this PowerShell module, and assume that you have opened a new PowerShell window and have imported the new module as follows:

      • Import-Module AzureADPasswordProtection

        注意

        インストール ソフトウェアは、ホスト コンピューターの PSModulePath 環境変数を変更します。The installation software modifies the host machine’s PSModulePath environment variable. この変更を有効にして、AzureADPasswordProtection powershell モジュールをインポートして使用できるようにするに、最新の PowerShell コンソール ウィンドウを開く必要がある場合があります。In order for this change to take effect so that the AzureADPasswordProtection powershell module can be imported and used, you may need to open a brand new PowerShell console window.

    • 次の PowerShell コマンドを使用して、サービスが実行されていることを確認します。Get-Service AzureADPasswordProtectionProxy | flCheck that the service is running using the following PowerShell command: Get-Service AzureADPasswordProtectionProxy | fl.

      • [実行中] という状態を返す結果が生成されます。The result should produce a result with the Status returning a "Running" result.
  4. プロキシを登録します。Register the proxy.

    • 手順 3 が完了すると、Azure AD パスワード保護プロキシ サービスがコンピューター上で実行されますが、Azure AD と通信するために必要な資格情報がまだ用意されていません。Once step 3 has been completed the Azure AD password protection proxy service is running on the machine, but does not yet have the necessary credentials to communicate with Azure AD. Register-AzureADPasswordProtectionProxy PowerShell コマンドレットを使用してその機能を有効にするには、Azure AD の登録が必要です。Registration with Azure AD is required to enable that ability using the Register-AzureADPasswordProtectionProxy PowerShell cmdlet. このコマンドレットは、Azure テナントのグローバル管理者資格情報と、フォレストのルート ドメイン内にオンプレミスの Active Directory ドメインの管理者特権を必要とします。The cmdlet requires global administrator credentials for your Azure tenant as well as on-premises Active Directory domain administrator privileges in the forest root domain. Register-AzureADPasswordProtectionProxy の呼び出しは、特定のプロキシ サービスで成功すれば、次回以降の呼び出しも成功しますが、これ以上の呼び出しは必要ありません。Once it has succeeded for a given proxy service, additional invocations of Register-AzureADPasswordProtectionProxy continue to succeed but are unnecessary.

      • コマンドレットは、次のように実行できます。The cmdlet may be run as follows:

        $tenantAdminCreds = Get-Credential
        Register-AzureADPasswordProtectionProxy -AzureCredential $tenantAdminCreds
        

        この例は、現在ログインしているユーザーがルート ドメインの Active Directory ドメイン管理者でもある場合にのみ有効です。The example only works if the currently logged in user is also an Active Directory domain administrator for the root domain. 別の方法は、-ForestCredential パラメーターを使用して必要なドメイン資格情報を指定することです。An alternative is to supply the necessary domain credentials via the -ForestCredential parameter.

    ヒント

    特定の Azure テナントに対するこのコマンドレットの初回の実行では、コマンドレットの実行が完了するまで、かなりの遅延 (数十秒) が発生することがあります。There may be a considerable delay (many seconds) the first time this cmdlet is run for a given Azure tenant before the cmdlet completes execution. エラーが報告される場合を除き、この遅延について心配する必要はありません。Unless a failure is reported this delay should not be considered alarming.

    注意

    Azure AD パスワード保護プロキシ サービスの登録は、サービスの有効期間中に 1 回限り実行される手順であると想定されています。Registration of the Azure AD password protection proxy service is expected to be a one-time step in the lifetime of the service. この時点以降、他の必要なメンテナンスは、プロキシ サービスによって自動的に実行されます。The proxy service will automatically perform any other necessary maintainenance from this point onwards. 'Register-AzureADPasswordProtectionProxy' の呼び出しは、特定のフォレストで成功すれば、次回以降の呼び出しも成功しますが、これ以上の呼び出しは必要ありません。Once it has succeeded for a given forest, additional invocations of 'Register-AzureADPasswordProtectionProxy' continue to succeed but are unnecessary.

  5. フォレストを登録します。Register the forest.

    • Register-AzureADPasswordProtectionForest Powershell コマンドレットを使用して、Azure と通信するために必要な資格情報で、オンプレミスの Active Directory フォレストを初期化する必要があります。The on-premises Active Directory forest must be initialized with the necessary credentials to communicate with Azure using the Register-AzureADPasswordProtectionForest Powershell cmdlet. このコマンドレットは、Azure テナントのグローバル管理者資格情報と、フォレストのルート ドメイン内にオンプレミスの Active Directory ドメインの管理者特権を必要とします。The cmdlet requires global administrator credentials for your Azure tenant as well as on-premises Active Directory domain administrator privileges in the forest root domain. この手順は、フォレストごとに 1 回実行されます。This step is run once per forest.

      • コマンドレットは、次のように実行できます。The cmdlet may be run as follows:

        $tenantAdminCreds = Get-Credential
        Register-AzureADPasswordProtectionForest -AzureCredential $tenantAdminCreds
        

        この例は、現在ログインしているユーザーがルート ドメインの Active Directory ドメイン管理者でもある場合にのみ有効です。The example only works if the currently logged in user is also an Active Directory domain administrator for the root domain. 別の方法は、-ForestCredential パラメーターを使用して、必要なドメイン資格情報を指定することです。An alternative is to supply the necessary domain credentials via the -ForestCredential parameter.

        注意

        環境に複数のプロキシ サーバーがインストールされている場合、上記の手順でどのプロキシ サーバーが指定されているかの制限はありません。If multiple proxy servers are installed in your environment, it does not matter which proxy server is specified in the procedure above.

        ヒント

        特定の Azure テナントに対するこのコマンドレットの初回の実行では、コマンドレットの実行が完了するまで、かなりの遅延 (数十秒) が発生することがあります。There may be a considerable delay (many seconds) the first time this cmdlet is run for a given Azure tenant before the cmdlet completes execution. エラーが報告される場合を除き、この遅延について心配する必要はありません。Unless a failure is reported this delay should not be considered alarming.

    注意

    Active Directory フォレストの登録は、フォレストの有効期間中に 1 回のみ実行される手順であると想定されています。Registration of the Active Directory forest is expected to be a one-time step in the lifetime of the forest. この時点以降、他の必要なメンテナンスは、フォレストで実行されるドメイン コントローラー エージェントによって自動的に実行されます。The domain controller agents running in the forest will automatically perform any other necessary maintainenance from this point onwards. Register-AzureADPasswordProtectionForest の呼び出しは、特定のフォレストで成功すれば、次回以降の呼び出しも成功しますが、これ以上の呼び出しは必要ありません。Once it has succeeded for a given forest, additional invocations of Register-AzureADPasswordProtectionForest continue to succeed but are unnecessary.

  6. 省略可能: 特定のポートでリッスンするように Azure AD パスワード保護プロキシ サービスを構成します。Optional: Configure the Azure AD password protection proxy service to listen on a specific port.

    • Azure AD パスワード保護プロキシ サービスと通信するために、ドメイン コントローラー上の Azure AD パスワード保護 DC エージェント ソフトウェアによって、TCP 経由で RPC が使用されます。RPC over TCP is used by the Azure AD password protection DC Agent software on the domain controllers to communicate with the Azure AD password protection proxy service. 既定では、Azure AD パスワード保護パスワード ポリシー プロキシ サービスは、使用可能な動的 RPC エンドポイントでリッスンします。By default, the Azure AD password protection Password Policy Proxy service listens on any available dynamic RPC endpoint. ネットワーク トポロジまたはファイアウォールの要件応じて、必要であれば、特定の TCP ポートでリッスンするようにサービスを構成できます。If necessary due to networking topology or firewall requirements, the service may instead be configured to listen on a specific TCP port.

      • 静的ポートで実行するようにサービスを構成するには、Set-AzureADPasswordProtectionProxyConfiguration コマンドレットを使用します。To configure the service to run under a static port, use the Set-AzureADPasswordProtectionProxyConfiguration cmdlet.

        Set-AzureADPasswordProtectionProxyConfiguration –StaticPort <portnumber>
        

        警告

        これらの変更を有効にするには、サービスを停止して、再起動する必要があります。You must stop and restart the service for these changes to take effect.

      • 動的ポートで実行するようにサービスを構成するには、同じ手順を使用しますが、次のように StaticPort の設定を 0 に戻します。To configure the service to run under a dynamic port, use the same procedure but set StaticPort back to zero, like so:

        Set-AzureADPasswordProtectionProxyConfiguration –StaticPort 0
        

        警告

        これらの変更を有効にするには、サービスを停止して、再起動する必要があります。You must stop and restart the service for these changes to take effect.

    注意

    Azure AD パスワード保護プロキシ サービスは、ポート構成の変更後に、手動で再起動する必要があります。The Azure AD password protection proxy service requires a manual restart after any change in port configuration. この種の構成の変更を行った後、ドメイン コントローラーで実行されている DC エージェント サービス ソフトウェアを再起動する必要はありません。It is not necessary to restart the DC agent service software running on domain controllers after making configuration changes of this nature.

    • サービスの現在の構成は、次の例に示すように Get-AzureADPasswordProtectionProxyConfiguration コマンドレットを使用して確認できます。The current configuration of the service may be queried using the Get-AzureADPasswordProtectionProxyConfiguration cmdlet as the following example shows:

      Get-AzureADPasswordProtectionProxyConfiguration | fl
      
      ServiceName : AzureADPasswordProtectionProxy
      DisplayName : Azure AD password protection Proxy
      StaticPort  : 0 
      

Azure AD パスワード保護 DC エージェント サービスをインストールするInstall the Azure AD password protection DC agent service

  • AzureADPasswordProtectionDCAgent.msi MSI パッケージを使用して、Azure AD パスワード 保護 DC エージェント ソフトウェア サービスをインストールします。Install the Azure AD password protection DC agent service software using the AzureADPasswordProtectionDCAgent.msi MSI package:

    • パスワード フィルター DLL のロードとアンロードは再起動時にのみ実行されるというオペレーティング システムの要件により、このソフトウェアのインストールでは、インストールとアンインストールの実行時に再起動する必要があります。The software installation does require a reboot on install and uninstall due to the operating system requirement that password filter dlls are only loaded or unloaded upon a reboot.
    • ドメイン コントローラーではないコンピューターへの DC エージェント サービスのインストールがサポートされています。It is supported to install the DC agent service on a machine that is not yet a domain-controller. この場合、サービスは開始して実行されますが、コンピューターがドメイン コントローラーにレベル上げされるまで、サービスはアクティブになりません。In this case, the service will start and run but will otherwise be inactive until after the machine is promoted to be a domain controller.

      ソフトウェアのインストールは、標準 MSI プロシージャ (例: msiexec.exe /i AzureADPasswordProtectionDCAgent.msi /quiet /qn) を使用して自動化できます。The software installation may be automated using standard MSI procedures, for example: msiexec.exe /i AzureADPasswordProtectionDCAgent.msi /quiet /qn

      警告

      この msiexec コマンドの例を使用すると、すぐに再起動します。これは、/norestart フラグを指定することで回避できます。The example msiexec command will result in an immediate reboot; this can be avoided by specifying the /norestart flag.

ドメイン コントローラーにインストールして再起動されたら、Azure AD パスワード保護 DC エージェント ソフトウェアのインストールは完了です。Once installed on a domain controller and rebooted, the Azure AD password protection DC Agent software installation is complete. これ以外の構成は必要ないか、可能ではありません。No other configuration is required or possible.

複数のフォレストへの展開Multiple forest deployments

Azure AD パスワード保護を複数のフォレストに展開するための追加要件はありません。There are no additional requirements to deploy Azure AD password protection across multiple forests. 各フォレストは、「1 つのフォレストへの展開」セクションで説明したように、個別に構成されます。Each forest is independently configured as described in the single forest deployment section. 各 Azure AD パスワード保護プロキシは、参加先のフォレストのドメイン コントローラーのみをサポートします。Each Azure AD password protection Proxy can only support domain controllers from the forest it is joined to. 特定のフォレスト内の Azure AD パスワード保護ソフトウェアは、Active Directory 信頼の構成に関係なく、別のフォレストに展開されている Azure AD パスワード保護ソフトウェアを認識しません。The Azure AD password protection software in a given forest is unaware of Azure AD password protection software deployed in another forest regardless of Active Directory trust configurations.

読み取り専用ドメイン コントローラーRead-only domain controllers

パスワードの変更/設定は、読み取り専用ドメイン コントローラー (RODC) で処理と保持が行われることはありません。それらは書き込み可能ドメイン コントローラーに転送されます。Password changes\sets are never processed and persisted on read-only domain controllers (RODCs); instead, these are forwarded to writable domain controllers. そのため、RODC に DC エージェント ソフトウェアをインストールする必要はありません。Therefore there is no need to install the DC agent software on RODCs.

高可用性High availability

Azure AD パスワード保護の高可用性の確保に関する主要な関心事は、フォレストのドメイン コントローラーが Azure から新しいポリシーやその他のデータをダウンロードしようとしたときのプロキシ サーバーの可用性です。The main concern with ensuring high availability of Azure AD password protection is the availability of the proxy servers, when domain controllers in a forest are attempting to download new policies or other data from Azure. このパブリック プレビューでは、フォレストごとに最大 2 台のプロキシ サーバーをサポートします。The public preview supports a maximum of two proxy servers per forest. 各 DC エージェントは、どのプロキシ サーバーを呼び出すかを決定するときに、単純なラウンドロビン方式のアルゴリズムを使用し、応答しないプロキシ サーバーをスキップします。Each DC agent uses a simple round-robin style algorithm when deciding which proxy server to call, and skips over proxy servers that are not responding. 高可用性に関連する一般的な問題は、DC エージェント ソフトウェアの設計によって軽減されています。The usual problems associated with high availability are mitigated by the design of the DC agent software. DC エージェントは、ごく最近ダウンロードされたパスワード ポリシーのローカル キャッシュを保持します。The DC agent maintains a local cache of the most recently downloaded password policy. 登録されているすべてのプロキシ サーバーが何らかの理由で使用できなくなった場合でも、DC エージェントは、キャッシュされたパスワード ポリシーを引き続き適用します。Even if all registered proxy servers become unavailable for any reason, the DC agent(s) continue to enforce their cached password policy. 大規模な展開でのパスワード ポリシーの妥当な更新頻度は、通常は日単位であり、時間やそれ以下の単位ではありません。A reasonable update frequency for password policies in a large deployment is usually on the order of days, not hours or less. そのため、プロキシ サーバーの短時間の停止によって、Azure AD パスワード保護機能の運用やセキュリティ上の利点に大きな影響が出ることはありません。Therefore brief outages of the proxy servers do not cause significant impact to the operation of the Azure AD password protection feature or its security benefits.

次の手順Next steps

Azure AD パスワード保護に必要なサービスがオンプレミス サーバーにインストールされたので、インストール後の構成とレポート情報の収集を実行して、デプロイを完了します。Now that you have installed the services required for Azure AD password protection on your on-premises servers complete the post-install configuration and gather reporting information to complete your deployment.

Azure AD パスワード保護の概念の概要Conceptual overview of Azure AD password protection