プレビュー: Azure AD パスワード保護のデプロイ後Preview: Azure AD password protection post-deployment

Azure AD パスワード保護と禁止パスワードのカスタム リストは、Azure Active Directory のパブリック プレビュー機能です。Azure AD password protection and the custom banned password list are public preview features of Azure Active Directory. 詳細については、「Microsoft Azure プレビューの追加使用条件」を参照してください。For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews

Azure AD パスワード保護のインストールをオンプレミスで完了した後、Azure portal で構成する必要があるいくつかの項目があります。After you have completed the installation of Azure AD password protection on-premises, there are a couple items that must be configured in the Azure portal.

カスタムの禁止パスワード リストを構成するConfigure the custom banned password list

組織の禁止パスワード リストをカスタマイズする手順については、「カスタムの禁止パスワード リストを構成する」の記事のガイダンスに従います。Follow the guidance in the article Configuring the custom banned password list for steps to customize the banned password list for your organization.

パスワード保護を有効にするEnable password protection

  1. Azure portal にログインし、[Azure Active Directory][認証方法][パスワード保護 (プレビュー)] の順に参照します。Log in to the Azure portal and browse to Azure Active Directory, Authentication methods, then Password protection (Preview).
  2. [Windows Server Active Directory のパスワード保護を有効にする][はい] に設定しますSet Enable password protection on Windows Server Active Directory to Yes
  3. デプロイ ガイドのページで説明しているように、最初に [モード][監査] に設定することをお勧めしますAs mentioned in the Deployment guide, it is recommended to initially set the Mode to Audit
    • 機能に問題がなければ、[モード][強制] に切り替えることができますAfter you are comfortable with the feature, you can switch the Mode to Enforced
  4. [保存]Click Save

Azure portal で Azure AD パスワード保護コンポーネントを有効にする

監査モードAudit Mode

監査モードは、"what-if" モードでソフトウェアを実行する方法として用意されています。Audit mode is intended as a way to run the software in a “what if” mode. 各 DC エージェント サービスは、受信したパスワードを現在アクティブなポリシーに従って評価します。Each DC agent service evaluates an incoming password according to the currently active policy. 現在のポリシーが監査モードに構成されている場合、"不正な" パスワードは、イベント ログ メッセージが生成される原因となりますが受け入れられます。If the current policy is configured to be in Audit mode, “bad” passwords result in event log messages but are accepted. これは監査モードと強制モードの唯一の違いであり、他のすべての操作は同じように実行されます。This is the only difference between Audit and Enforce mode; all other operations run the same.


初期のデプロイとテストは常に監査モードで開始することをお勧めします。Microsoft recommends that initial deployment and testing always start out in Audit mode. イベント ログのイベントを監視して、強制モードが有効になった後で既存の運用プロセスが影響を受けるかどうかを予想してみる必要があります。Events in the event log should then be monitored to try to anticipate whether any existing operational processes would be disturbed once Enforce mode is enabled.

強制モードEnforce Mode

強制モードは最終構成として用意されています。Enforce mode is intended as the final configuration. 前述の監査モードと同じように、各 DC エージェント サービスは、受信したパスワードを現在アクティブなポリシーに従って評価します。As in Audit mode above, each DC agent service evaluates incoming passwords according to the currently active policy. ただし、強制モードが有効になっている場合、ポリシーに従って安全でないと見なされるパスワードは拒否されます。If Enforce mode is enabled though, a password that is considered unsecure according to the policy is rejected.

強制モードで Azure AD パスワード保護 DC エージェントによってパスワードが拒否された場合、エンド ユーザーの目に見える影響は、自分のパスワードが従来のオンプレミス パスワードの複雑さの適用によって拒否された場合と同じです。When a password is rejected in Enforce mode by the Azure AD password protection DC Agent, the visible impact seen by an end user is identical to what they would see if their password was rejected by traditional on-premises password complexity enforcement. たとえば、ログオン\パスワードの変更画面で、次の従来のエラー メッセージがユーザーに表示されることがあります。For example, a user might see the following traditional error message at the logon\change password screen:

"Unable to update the password.“Unable to update the password. The value provided for the new password does not meet the length, complexity, or history requirements of the domain." (パスワードを更新できません。新しいパスワードに対して指定された値がドメインの長さ、複雑さ、または履歴要件を満たしていません。)The value provided for the new password does not meet the length, complexity, or history requirements of the domain.”

このメッセージは、いくつかの考えられる結果の一例にすぎません。This message is only one example of several possible outcomes. 具体的なエラー メッセージは、実際のソフトウェアや、安全でないパスワードを設定しようとするシナリオによって異なる可能性があります。The specific error message can vary depending on the actual software or scenario that is attempting to set an unsecure password.

影響を受けるエンド ユーザーは、IT スタッフと協力して、新しい要件を理解し、セキュリティで保護されたパスワードを選択できるようになる必要があります。Affected end users may need to work with their IT staff to understand the new requirements and be more able to choose secure passwords.

使用状況レポートUsage reporting

Get-AzureADPasswordProtectionSummaryReport コマンドレットを使用して、アクティビティの概要ビューを生成できます。The Get-AzureADPasswordProtectionSummaryReport cmdlet may be used to produce a summary view of activity. このコマンドレットの出力例は次のとおりです。An example output of this cmdlet is as follows:

Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2
DomainController                : bplrootdc2
PasswordChangesValidated        : 6677
PasswordSetsValidated           : 9
PasswordChangesRejected         : 10868
PasswordSetsRejected            : 34
PasswordChangeAuditOnlyFailures : 213
PasswordSetAuditOnlyFailures    : 3
PasswordChangeErrors            : 0
PasswordSetErrors               : 1

コマンドレット レポートのスコープは、–Forest、-Domain、–DomainController のいずれかのパラメーターの使用の影響を受けることがあります。The scope of the cmdlet’s reporting may be influenced using one of the –Forest, -Domain, or –DomainController parameters. パラメーターを指定しないと暗黙的に –Forest が指定されます。Not specifying a parameter implies –Forest.


このコマンドレットは、各 DC エージェント サービスの管理イベント ログに対するクエリをリモートで実行することで動作します。This cmdlet works by remotely querying each DC agent service’s Admin event log. イベント ログに多数のイベントが含まれている場合、コマンドレットの完了に時間がかかることがあります。If the event logs contain large numbers of events, the cmdlet may take a long time to complete. また、大規模なデータ セットの一括ネットワーク クエリがドメイン コントローラーのパフォーマンスに影響を与える可能性があります。In addition, bulk network queries of large data sets may impact domain controller performance. そのため、このコマンドレットは、運用環境では慎重に使用する必要があります。Therefore, this cmdlet should be used carefully in production environments.

次の手順Next steps

Azure AD パスワード保護のトラブルシューティングとログイン情報Troubleshooting and logging information for Azure AD password protection