Azure AD パスワード保護の操作手順Azure AD Password Protection operational procedures

Azure AD パスワード保護のインストールをオンプレミスで完了した後、Azure portal で構成する必要があるいくつかの項目があります。After you have completed the installation of Azure AD Password Protection on-premises, there are a couple items that must be configured in the Azure portal.

カスタムの禁止パスワード リストを構成するConfigure the custom banned password list

組織の禁止パスワード リストをカスタマイズする手順については、「カスタムの禁止パスワード リストを構成する」の記事のガイダンスに従います。Follow the guidance in the article Configuring the custom banned password list for steps to customize the banned password list for your organization.

パスワード保護を有効にするEnable Password Protection

  1. Azure portal にサインインし、 [Azure Active Directory][認証方法][パスワード保護] の順に選択します。Sign in to the Azure portal and browse to Azure Active Directory, Authentication methods, then Password Protection.
  2. [Windows Server Active Directory のパスワード保護を有効にする][はい] に設定しますSet Enable Password Protection on Windows Server Active Directory to Yes
  3. デプロイ ガイドのページで説明しているように、最初に [モード][監査] に設定することをお勧めしますAs mentioned in the Deployment guide, it is recommended to initially set the Mode to Audit
    • 機能に問題がなければ、 [モード][強制] に切り替えることができますAfter you are comfortable with the feature, you can switch the Mode to Enforced
  4. [保存]Click Save

Azure portal で Azure AD パスワード保護コンポーネントを有効にする

監査モードAudit Mode

監査モードは、"what-if" モードでソフトウェアを実行する方法として用意されています。Audit mode is intended as a way to run the software in a “what if” mode. 各 DC エージェント サービスは、受信したパスワードを現在アクティブなポリシーに従って評価します。Each DC agent service evaluates an incoming password according to the currently active policy. 現在のポリシーが監査モードに構成されている場合、"不正な" パスワードは、イベント ログ メッセージが生成される原因となりますが受け入れられます。If the current policy is configured to be in Audit mode, “bad” passwords result in event log messages but are accepted. これは監査モードと強制モードの唯一の違いであり、他のすべての操作は同じように実行されます。This is the only difference between Audit and Enforce mode; all other operations run the same.

注意

初期のデプロイとテストは常に監査モードで開始することをお勧めします。Microsoft recommends that initial deployment and testing always start out in Audit mode. イベント ログのイベントを監視して、強制モードが有効になった後で既存の運用プロセスが影響を受けるかどうかを予想してみる必要があります。Events in the event log should then be monitored to try to anticipate whether any existing operational processes would be disturbed once Enforce mode is enabled.

強制モードEnforce Mode

強制モードは最終構成として用意されています。Enforce mode is intended as the final configuration. 前述の監査モードと同じように、各 DC エージェント サービスは、受信したパスワードを現在アクティブなポリシーに従って評価します。As in Audit mode above, each DC agent service evaluates incoming passwords according to the currently active policy. ただし、強制モードが有効になっている場合、ポリシーに従って安全でないと見なされるパスワードは拒否されます。If Enforce mode is enabled though, a password that is considered unsecure according to the policy is rejected.

強制モードで Azure AD パスワード保護 DC エージェントによってパスワードが拒否された場合、エンド ユーザーの目に見える影響は、自分のパスワードが従来のオンプレミス パスワードの複雑さの適用によって拒否された場合と同じです。When a password is rejected in Enforce mode by the Azure AD Password Protection DC Agent, the visible impact seen by an end user is identical to what they would see if their password was rejected by traditional on-premises password complexity enforcement. たとえば、Windows ログオン\パスワードの変更画面で、次の従来のエラー メッセージがユーザーに表示されることがあります。For example, a user might see the following traditional error message at the Windows logon\change password screen:

Unable to update the password. The value provided for the new password does not meet the length, complexity, or history requirements of the domain.

このメッセージは、いくつかの考えられる結果の一例にすぎません。This message is only one example of several possible outcomes. 具体的なエラー メッセージは、実際のソフトウェアや、安全でないパスワードを設定しようとするシナリオによって異なる可能性があります。The specific error message can vary depending on the actual software or scenario that is attempting to set an unsecure password.

影響を受けるエンド ユーザーは、IT スタッフと協力して、新しい要件を理解し、セキュリティで保護されたパスワードを選択できるようになる必要があります。Affected end users may need to work with their IT staff to understand the new requirements and be more able to choose secure passwords.

有効モードEnable Mode

通常、この設定は既定の有効 (はい) 状態のままにしておく必要があります。This setting should normally be left in its default enabled (Yes) state. この設定を無効 (いいえ) に設定すると、デプロイされているすべての Azure AD パスワード保護 DC エージェントは休止モードになります。このモードでは、すべてのパスワードがそのまま受け入れられ、検証アクティビティはまったく実行されません (たとえば、監査イベントでさえ実行されません)。Configuring this setting to disabled (No) will cause all deployed Azure AD Password Protection DC agents to go into a quiescent mode where all passwords are accepted as-is, and no validation activities will be executed whatsoever (for example, not even audit events will be emitted).

次の手順Next steps

Azure AD のパスワード保護について監視するMonitoring for Azure AD Password Protection