プレビュー: Azure AD パスワード保護の操作手順Preview: Azure AD password protection operational procedures

Azure AD パスワード保護は、Azure Active Directory のパブリック プレビュー機能です。Azure AD password protection is a public preview feature of Azure Active Directory. 詳細については、「Microsoft Azure プレビューの追加使用条件」を参照してください。For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews

Azure AD パスワード保護のインストールをオンプレミスで完了した後、Azure portal で構成する必要があるいくつかの項目があります。After you have completed the installation of Azure AD password protection on-premises, there are a couple items that must be configured in the Azure portal.

カスタムの禁止パスワード リストを構成するConfigure the custom banned password list

組織の禁止パスワード リストをカスタマイズする手順については、「カスタムの禁止パスワード リストを構成する」の記事のガイダンスに従います。Follow the guidance in the article Configuring the custom banned password list for steps to customize the banned password list for your organization.

パスワード保護を有効にするEnable password protection

  1. Azure portal にサインインし、[Azure Active Directory][認証方法][Password protection (Preview)](パスワード保護 (プレビュー)) の順に参照します。Sign in to the Azure portal and browse to Azure Active Directory, Authentication methods, then Password protection (Preview).
  2. [Windows Server Active Directory のパスワード保護を有効にする][はい] に設定しますSet Enable password protection on Windows Server Active Directory to Yes
  3. デプロイ ガイドのページで説明しているように、最初に [モード][監査] に設定することをお勧めしますAs mentioned in the Deployment guide, it is recommended to initially set the Mode to Audit
    • 機能に問題がなければ、[モード][強制] に切り替えることができますAfter you are comfortable with the feature, you can switch the Mode to Enforced
  4. [保存]Click Save

Azure portal で Azure AD パスワード保護コンポーネントを有効にする

監査モードAudit Mode

監査モードは、"what-if" モードでソフトウェアを実行する方法として用意されています。Audit mode is intended as a way to run the software in a “what if” mode. 各 DC エージェント サービスは、受信したパスワードを現在アクティブなポリシーに従って評価します。Each DC agent service evaluates an incoming password according to the currently active policy. 現在のポリシーが監査モードに構成されている場合、"不正な" パスワードは、イベント ログ メッセージが生成される原因となりますが受け入れられます。If the current policy is configured to be in Audit mode, “bad” passwords result in event log messages but are accepted. これは監査モードと強制モードの唯一の違いであり、他のすべての操作は同じように実行されます。This is the only difference between Audit and Enforce mode; all other operations run the same.

注意

初期のデプロイとテストは常に監査モードで開始することをお勧めします。Microsoft recommends that initial deployment and testing always start out in Audit mode. イベント ログのイベントを監視して、強制モードが有効になった後で既存の運用プロセスが影響を受けるかどうかを予想してみる必要があります。Events in the event log should then be monitored to try to anticipate whether any existing operational processes would be disturbed once Enforce mode is enabled.

強制モードEnforce Mode

強制モードは最終構成として用意されています。Enforce mode is intended as the final configuration. 前述の監査モードと同じように、各 DC エージェント サービスは、受信したパスワードを現在アクティブなポリシーに従って評価します。As in Audit mode above, each DC agent service evaluates incoming passwords according to the currently active policy. ただし、強制モードが有効になっている場合、ポリシーに従って安全でないと見なされるパスワードは拒否されます。If Enforce mode is enabled though, a password that is considered unsecure according to the policy is rejected.

強制モードで Azure AD パスワード保護 DC エージェントによってパスワードが拒否された場合、エンド ユーザーの目に見える影響は、自分のパスワードが従来のオンプレミス パスワードの複雑さの適用によって拒否された場合と同じです。When a password is rejected in Enforce mode by the Azure AD password protection DC Agent, the visible impact seen by an end user is identical to what they would see if their password was rejected by traditional on-premises password complexity enforcement. たとえば、Windows ログオン\パスワードの変更画面で、次の従来のエラー メッセージがユーザーに表示されることがあります。For example, a user might see the following traditional error message at the Windows logon\change password screen:

Unable to update the password. The value provided for the new password does not meet the length, complexity, or history requirements of the domain.

このメッセージは、いくつかの考えられる結果の一例にすぎません。This message is only one example of several possible outcomes. 具体的なエラー メッセージは、実際のソフトウェアや、安全でないパスワードを設定しようとするシナリオによって異なる可能性があります。The specific error message can vary depending on the actual software or scenario that is attempting to set an unsecure password.

影響を受けるエンド ユーザーは、IT スタッフと協力して、新しい要件を理解し、セキュリティで保護されたパスワードを選択できるようになる必要があります。Affected end users may need to work with their IT staff to understand the new requirements and be more able to choose secure passwords.

有効モードEnable Mode

通常、この設定は既定の有効 (はい) 状態のままにしておく必要があります。This setting should normally be left in its default enabled (Yes) state. この設定を無効 (いいえ) に設定すると、デプロイされているすべての Azure AD パスワード保護 DC エージェントは休止モードになります。このモードでは、すべてのパスワードがそのまま受け入れられ、検証アクティビティはまったく実行されません (たとえば、監査イベントでさえ実行されません)。Configuring this setting to disabled (No) will cause all deployed Azure AD password protection DC agents to go into a quiescent mode where all passwords are accepted as-is, and no validation activities will be executed whatsoever (for example, not even audit events will be emitted).

使用状況レポートUsage reporting

Get-AzureADPasswordProtectionSummaryReport コマンドレットを使用して、アクティビティの概要ビューを生成できます。The Get-AzureADPasswordProtectionSummaryReport cmdlet may be used to produce a summary view of activity. このコマンドレットの出力例は次のとおりです。An example output of this cmdlet is as follows:

Get-AzureADPasswordProtectionSummaryReport -DomainController bplrootdc2
DomainController                : bplrootdc2
PasswordChangesValidated        : 6677
PasswordSetsValidated           : 9
PasswordChangesRejected         : 10868
PasswordSetsRejected            : 34
PasswordChangeAuditOnlyFailures : 213
PasswordSetAuditOnlyFailures    : 3
PasswordChangeErrors            : 0
PasswordSetErrors               : 1

コマンドレット レポートのスコープは、–Forest、-Domain、–DomainController のいずれかのパラメーターの使用の影響を受けることがあります。The scope of the cmdlet’s reporting may be influenced using one of the –Forest, -Domain, or –DomainController parameters. パラメーターを指定しないと暗黙的に –Forest が指定されます。Not specifying a parameter implies –Forest.

注意

このコマンドレットは、各ドメイン コントローラーに対して PowerShell セッションを開くことで機能します。This cmdlet works by opening a PowerShell session to each domain controller. 成功させるには、各ドメイン コントローラーで PowerShell リモート セッションのサポートを有効にする必要があります。また、クライアントには十分な特権が必要です。In order to succeed, PowerShell remote session support must be enabled on each domain controller, and the client must have sufficient privileges. PowerShell のリモート セッション要件の詳細については、PowerShell ウィンドウで 'Get-Help about_Remote_Troubleshooting' を実行します。For more information on PowerShell remote session requirements, run 'Get-Help about_Remote_Troubleshooting' in a PowerShell window.

注意

このコマンドレットは、各 DC エージェント サービスの管理イベント ログに対するクエリをリモートで実行することで動作します。This cmdlet works by remotely querying each DC agent service’s Admin event log. イベント ログに多数のイベントが含まれている場合、コマンドレットの完了に時間がかかることがあります。If the event logs contain large numbers of events, the cmdlet may take a long time to complete. また、大規模なデータ セットの一括ネットワーク クエリがドメイン コントローラーのパフォーマンスに影響を与える可能性があります。In addition, bulk network queries of large data sets may impact domain controller performance. そのため、このコマンドレットは、運用環境では慎重に使用する必要があります。Therefore, this cmdlet should be used carefully in production environments.

DC エージェントの検出DC Agent discovery

Get-AzureADPasswordProtectionDCAgent コマンドレットを使用すると、ドメインまたはフォレスト内で実行されているさまざまな DC エージェントに関する基本的な情報を表示できます。The Get-AzureADPasswordProtectionDCAgent cmdlet may be used to display basic information about the various DC agents running in a domain or forest. この情報は、実行中の DC エージェント サービスによって登録された serviceConnectionPoint オブジェクトから取得されます。This information is retrieved from the serviceConnectionPoint object(s) registered by the running DC agent service(s). このコマンドレットの出力例は次のとおりです。An example output of this cmdlet is as follows:

Get-AzureADPasswordProtectionDCAgent
ServerFQDN            : bplChildDC2.bplchild.bplRootDomain.com
Domain                : bplchild.bplRootDomain.com
Forest                : bplRootDomain.com
Heartbeat             : 2/16/2018 8:35:01 AM

さまざまなプロパティは、各 DC エージェント サービスによって約 1 時間ごとに更新されます。The various properties are updated by each DC agent service on an approximate hourly basis. さらに、データは Active Directory レプリケーションの待機時間の影響を受けます。The data is still subject to Active Directory replication latency.

コマンドレットのクエリの範囲は、-Forest パラメーターまたは -Domain パラメーターの使用の影響を受ける可能性があります。The scope of the cmdlet’s query may be influenced using either the –Forest or –Domain parameters.

次の手順Next steps

Azure AD パスワード保護のトラブルシューティングと監視Troubleshooting and monitoring for Azure AD password protection