オンプレミスの Azure Active Directory パスワード保護を有効にするEnable on-premises Azure Active Directory Password Protection

ユーザーは多くの場合、学校、スポーツ チーム、有名人などのありふれたローカル単語を使用してパスワードを作成します。Users often create passwords that use common local words such as a school, sports team, or famous person. これらのパスワードは簡単に推測できるため、辞書ベースの攻撃に対しては脆弱です。These passwords are easy to guess, and weak against dictionary-based attacks. 組織に強力なパスワードを適用するため、Azure Active Directory (Azure AD) パスワード保護では、グローバルかつカスタムの禁止パスワードの一覧が提供されます。To enforce strong passwords in your organization, Azure Active Directory (Azure AD) Password Protection provides a global and custom banned password list. この禁止パスワードの一覧に一致するものがある場合、パスワードの変更要求はエラーとなります。A password change request fails if there's a match in these banned password list.

オンプレミスの Active Directory Domain Services (AD DS) 環境を保護するために、Azure AD パスワード保護をインストールして、オンプレミスの DC と連携するように構成することができます。To protect your on-premises Active Directory Domain Services (AD DS) environment, you can install and configure Azure AD Password Protection to work with your on-prem DC. この記事では、オンプレミス環境での Azure AD パスワード保護を有効にする方法を示します。This article shows you how to enable Azure AD Password Protection for your on-premises environment.

オンプレミス環境での Azure AD パスワード保護のしくみの詳細については、Windows Server Active Directory に Azure AD パスワード保護を適用する方法に関する記事を参照してください。For more information on how Azure AD Password Protection works in an on-premises environment, see How to enforce Azure AD Password Protection for Windows Server Active Directory.

開始する前にBefore you begin

この記事では、オンプレミス環境での Azure AD パスワード保護を有効にする方法を示します。This article shows you how to enable Azure AD Password Protection for your on-premises environment. この記事を完了する前に、オンプレミスの AD DS 環境に Azure AD パスワード保護プロキシ サービスと DC エージェントをインストールして登録しますBefore you complete this article, install and register the Azure AD Password Protection proxy service and DC agents in your on-premises AD DS environment.

オンプレミスのパスワード保護を有効にするEnable on-premises password protection

  1. Azure portal にサインインし、 [Azure Active Directory] > [セキュリティ] > [認証方法] > [パスワード保護] の順に選択します。Sign in to the Azure portal and browse to Azure Active Directory > Security > Authentication methods > Password protection.

  2. [Windows Server Active Directory のパスワード保護を有効にする] オプションを [はい] に設定します。Set the option for Enable password protection on Windows Server Active Directory to Yes.

    この設定が [いいえ] に設定されている場合、デプロイされたすべての Azure AD パスワード保護 DC エージェントが休止モードに入り、すべてのパスワードがそのまま受け入れられます。When this setting is set to No, all deployed Azure AD Password Protection DC agents go into a quiescent mode where all passwords are accepted as-is. 検証アクティビティは実行されず、また、監査イベントは生成されません。No validation activities are performed, and audit events aren't generated.

  3. 最初に [モード] を "監査" に設定しておくことをお勧めします。It's recommended to initially set the Mode to Audit. 機能と組織内のユーザーへの影響を把握し終えたら、 [モード] を "強制" に切り替えてかまいません。After you're comfortable with the feature and the impact on users in your organization, you can switch the Mode to Enforced. 詳細については、次の「操作のモード」のセクションを参照してください。For more information, see the following section on modes of operation.

  4. 準備ができたら、 [保存] を選択します。When ready, select Save.

    Azure portal の [認証方法] でオンプレミスのパスワード保護を有効にするEnable on-premises password protection under Authentication Methods in the Azure portal

操作のモードModes of operation

オンプレミスの Azure AD パスワード保護を有効にすると、"監査" モードまたは "強制" モードのどちらかを使用できます。When you enable on-premises Azure AD Password Protection, you can use either audit mode or enforce mode. 初期のデプロイとテストは常に監査モードで開始することをお勧めします。We recommend that initial deployment and testing always start out in audit mode. イベント ログ上の項目を監視して、"強制" モードが有効になった後で、既存の運用プロセスが影響を受けるかどうかを予測する必要があります。Entries in the event log should then be monitored to anticipate whether any existing operational processes would be disturbed once Enforce mode is enabled.

監査モードAudit mode

"監査" モードは、"what-if" モードでソフトウェアを実行する方法として用意されています。Audit mode is intended as a way to run the software in a "what if" mode. 各 Azure AD パスワード保護 DC エージェント サービスでは、受信されたパスワードが現在アクティブなポリシーに従って評価されます。Each Azure AD Password Protection DC agent service evaluates an incoming password according to the currently active policy.

現在のポリシーが監査モードに構成されている場合、"不正な" パスワードは、イベント ログ メッセージが生成される原因となりますが、処理されて更新されます。If the current policy is configured to be in audit mode, "bad" passwords result in event log messages but are processed and updated. この動作は、監査モードと強制モード間での唯一の相違点です。This behavior is the only difference between audit and enforce mode. 他のすべての操作は、同じように実行されます。All other operations run the same.

強制モードEnforced Mode

"強制" モードは最終構成として用意されています。Enforced mode is intended as the final configuration. 監査モードの場合と同様に、各 Azure AD パスワード保護 DC エージェント サービスでは、受信されたパスワードが現在アクティブなポリシーに従って評価されます。Like when in audit mode, each Azure AD Password Protection DC agent service evaluates incoming passwords according to the currently active policy. ただし、強制モードが有効になっている場合は、ポリシーに従って安全でないと見なされたパスワードは拒否されます。When enforced mode is enabled though, a password that's considered insecure according to the policy is rejected.

強制モードで Azure AD パスワード保護 DC エージェントによってパスワードが拒否された場合、エンド ユーザーには、従来のオンプレミス パスワードの複雑さの適用によってパスワードが拒否された場合とほぼ同じエラーが表示されます。When a password is rejected in enforced mode by the Azure AD Password Protection DC agent, an end user sees a similar error like they would see if their password was rejected by traditional on-premises password complexity enforcement. たとえば、Windows のログオンまたはパスワード変更の画面で、次の従来のエラー メッセージがユーザーに表示されることがあります。For example, a user might see the following traditional error message at the Windows logon or change password screen:

"Unable to update the password.The value provided for the new password does not meet the length, complexity, or history requirements of the domain." (パスワードを更新できません。新しいパスワードに対して指定された値がドメインの長さ、複雑さ、または履歴要件を満たしていません。)"Unable to update the password. The value provided for the new password does not meet the length, complexity, or history requirements of the domain."

このメッセージは、いくつかの考えられる結果の一例にすぎません。This message is only one example of several possible outcomes. 具体的なエラー メッセージは、実際のソフトウェアや、安全でないパスワードの設定を試行するシナリオによって異なる可能性があります。The specific error message can vary depending on the actual software or scenario that is attempting to set an insecure password.

影響を受けたエンド ユーザーは、IT スタッフと協力して、新しい要件を理解し、安全なパスワードを選択できるようにする必要があります。Affected end users may need to work with their IT staff to understand the new requirements and to choose secure passwords.

注意

Azure AD のパスワード保護では、脆弱なパスワードが拒否されたときに、クライアント コンピューターによって表示される特定のエラー メッセージの制御は行われません。Azure AD Password Protection has no control over the specific error message displayed by the client machine when a weak password is rejected.

次のステップNext steps

組織の禁止されたパスワードの一覧をカスタマイズするには、Azure AD パスワード保護でのカスタムの禁止パスワードの構成に関する記事を参照してください。To customize the banned password list for your organization, see Configure the Azure AD Password Protection custom banned password list.

オンプレミスのイベントを監視するには、オンプレミスの Azure AD パスワード保護の監視に関する記事を参照してください。To monitor on-prem events, see Monitoring on-prem Azure AD Password Protection.