更新:Azure AD パスワード保護のトラブルシューティングPreview: Azure AD Password Protection troubleshooting

Azure AD パスワード保護は、Azure Active Directory のパブリック プレビュー機能です。Azure AD Password Protection is a public preview feature of Azure Active Directory. 詳細については、「Microsoft Azure プレビューの追加使用条件」を参照してください。For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews

Azure AD パスワード保護をデプロイした後、トラブルシューティングを必要とする場合があります。After the deployment of Azure AD Password Protection, troubleshooting may be required. この記事では、いくつかの一般的なトラブルシューティング手順を理解しやすいように詳しく説明しています。This article goes into detail to help you understand some common troubleshooting steps.

脆弱なパスワードが期待どおりには拒否されないWeak passwords are not getting rejected as expected

これには、次に示すいくつかの原因が考えられます。This may have several possible causes:

  1. ご利用の DC エージェントによってポリシーがまだダウンロードされていません。Your DC agent(s) have not yet downloaded a policy. この問題の症状は、DC エージェント管理イベント ログ内の 30001 イベントに相当します。The symptom of this is 30001 events in the DC agent Admin event log.

    この問題の原因としては、次のようなことが考えられます。Possible causes for this issue include:

    1. フォレストがまだ登録されていないForest is not yet registered
    2. プロキシがまだ登録されていないProxy is not yet registered
    3. ネットワーク接続の問題により、プロキシ サービスが Azure と通信できない (HTTP プロキシ要件を確認してください)Network connectivity issues are preventing the Proxy service from communicating with Azure (check HTTP Proxy requirements)
  2. パスワード ポリシーの適用モードがまだ [監査] に設定されています。The password policy Enforce mode is still set to Audit. この場合は、Azure AD パスワード保護ポータルを使用してそのモードを [強制] に再構成します。If this is the case, reconfigure it to Enforce using the Azure AD Password Protection portal. パスワード保護の有効化に関するページを参照してください。Please see Enable Password protection.

  3. パスワード ポリシーが無効にされています。The password policy has been disabled. この場合は、Azure AD パスワード保護のポータルを使用してパスワード ポリシーが有効になるように再構成します。If this is the case, reconfigure it to enabled using the Azure AD Password Protection portal. パスワード保護の有効化に関するページを参照してください。Please see Enable Password protection.

  4. パスワード検証アルゴリズムが期待どおりに動作している可能性があります。The password validation algorithm may be working as expected. パスワードの評価方法」を参照してください。Please see How are passwords evaluated.

ディレクトリ サービスの修復モードDirectory Services Repair Mode

ドメイン コントローラーがディレクトリ サービスの修復モードで起動された場合、DC エージェント サービスでそれが検出され、現在アクティブなポリシー構成に関係なく、すべてのパスワード検証または適用アクティビティが無効にされます。If the domain controller is booted into Directory Services Repair Mode, the DC agent service detects this and will cause all password validation or enforcement activities to be disabled, regardless of the currently active policy configuration.

緊急時の修復Emergency remediation

DC エージェント サービスが問題の原因である状況が発生した場合、DC エージェント サービスは直ちにシャットダウンされる可能性があります。If a situation occurs where the DC agent service is causing problems, the DC agent service may be immediately shut down. DC エージェントのパスワード フィルター dll が実行中ではないサービスをまだ呼び出そうとすると、警告イベント (10012、10013) がログに記録されますが、その間にすべての受信パスワードが承認されます。The DC agent password filter dll still attempts to call the non-running service and will log warning events (10012, 10013), but all incoming passwords are accepted during that time. DC エージェント サービスは、必要に応じて Windows サービス コントロール マネージャーを使用してスタートアップの種類を "無効" に構成することもできます。The DC agent service may then also be configured via the Windows Service Control Manager with a startup type of “Disabled” as needed.

また、Azure AD パスワード保護ポータルで有効モードを [いいえ] に設定することで修復する方法もあります。Another remediation measure would be to set the Enable mode to No in the Azure AD Password Protection portal. 更新されたポリシーがダウンロードされたら、各 DC エージェント サービスが休止モードに入り、すべてパスワードが現状のままで受け入れられます。Once the updated policy has been downloaded, each DC agent service will go into a quiescent mode where all passwords are accepted as-is. 詳細については、「強制モード」を参照してください。For more information, see Enforce mode.

ドメイン コントローラーの降格Domain controller demotion

DC エージェント ソフトウェアを実行中でもドメイン コントローラーを降格させることができます。It is supported to demote a domain controller that is still running the DC agent software. ただし、降格手続き中も DC エージェント ソフトウェアによって現在のパスワード ポリシーが継続的に適用されることに管理者は注意する必要があります。Administrators should be aware however that the DC agent software continues to enforce the current password policy during the demotion procedure. 新しいローカル管理者アカウントのパスワード (降格操作の一環で指定されます) は、他のパスワードと同様に検証されます。The new local Administrator account password (specified as part of the demotion operation) is validated like any other password. DC の降格手続きの一環でローカル管理者アカウントに安全なパスワードを選択することをお勧めします。ただし、DC エージェント ソフトウェアによる新しいローカル管理者アカウントのパスワードの検証は、既存の降格操作手続きに影響する可能性があります。Microsoft recommends that secure passwords be chosen for local Administrator accounts as part of a DC demotion procedure; however the validation of the new local Administrator account password by the DC agent software may be disruptive to pre-existing demotion operational procedures.

降格が成功し、ドメイン コントローラーが再起動され、通常のメンバー サーバーとして改めて実行されると、DC エージェント ソフトウェアはパッシブ モードで動作するようになります。Once the demotion has succeeded, and the domain controller has been rebooted and is again running as a normal member server, the DC agent software reverts to running in a passive mode. このソフトウェアはいつでもアンインストールできます。It may then be uninstalled at any time.

削除Removal

パブリック プレビュー ソフトウェアをアンインストールし、関連するすべての状態をドメインとフォレストからクリーンアップする場合、次の手順で実行できます。If it is decided to uninstall the public preview software and cleanup all related state from the domain(s) and forest, this task can be accomplished using the following steps:

重要

これらの手順は、順番に実行することが重要です。It is important to perform these steps in order. プロキシ サービスのインスタンスを実行中のままにすると、定期的に serviceConnectionPoint オブジェクトが再作成されます。If any instance of the Proxy service is left running it will periodically re-create its serviceConnectionPoint object. DC エージェント サービスのインスタンスを実行中のままにすると、定期的に serviceConnectionPoint オブジェクトと sysvol 状態が再作成されます。If any instance of the DC agent service is left running it will periodically re-create its serviceConnectionPoint object and the sysvol state.

  1. すべてのマシンからプロキシ ソフトウェアをアンインストールします。Uninstall the Proxy software from all machines. この手順では、再起動する必要はありませんThis step does not require a reboot.
  2. すべてのドメイン コントローラーから DC エージェント ソフトウェアをアンインストールします。Uninstall the DC Agent software from all domain controllers. この手順では、再起動する必要がありますThis step requires a reboot.
  3. 各ドメイン名前付けコンテキストのすべてのプロキシ サービス接続ポイントを手動で削除します。Manually remove all Proxy service connection points in each domain naming context. これらのオブジェクトの場所は、次の Active Directory PowerShell コマンドを使用して検出できます。The location of these objects may be discovered with the following Active Directory PowerShell command:

    $scp = "serviceConnectionPoint"
    $keywords = "{ebefb703-6113-413d-9167-9f8dd4d24468}*"
    Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }
    

    $keywords 変数値の末尾のアスタリスク ("*") は省略しないでください。Do not omit the asterisk (“*”) at the end of the $keywords variable value.

    Get-ADObject コマンドで見つかった結果のオブジェクトは、Remove-ADObject にパイプ出力するか、手動で削除することができます。The resulting object(s) found via the Get-ADObject command can then be piped to Remove-ADObject, or deleted manually.

  4. 各ドメイン名前付けコンテキストに含まれるすべての DC エージェント接続ポイントを手動で削除します。Manually remove all DC agent connection points in each domain naming context. パブリック プレビュー ソフトウェアの展開の規模によっては、フォレスト内のドメイン コントローラーごとにこのようなオブジェクトが 1 つ存在することがあります。There may be one these objects per domain controller in the forest, depending on how widely the public preview software was deployed. そのオブジェクトの場所は、次の Active Directory PowerShell コマンドを使用して検出できます。The location of that object may be discovered with the following Active Directory PowerShell command:

    $scp = "serviceConnectionPoint"
    $keywords = "{2bac71e6-a293-4d5b-ba3b-50b995237946}*"
    Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }
    

    Get-ADObject コマンドで見つかった結果のオブジェクトは、Remove-ADObject にパイプ出力するか、手動で削除することができます。The resulting object(s) found via the Get-ADObject command can then be piped to Remove-ADObject, or deleted manually.

    $keywords 変数値の末尾のアスタリスク ("*") は省略しないでください。Do not omit the asterisk (“*”) at the end of the $keywords variable value.

  5. フォレストレベルの構成状態を手動で削除します。Manually remove the forest-level configuration state. フォレストの構成状態は、Active Directory 構成の名前付けコンテキストのコンテナーに保持されます。The forest configuration state is maintained in a container in the Active Directory configuration naming context. 次のように検出および削除できます。It can be discovered and deleted as follows:

    $passwordProtectionConfigContainer = "CN=Azure AD Password Protection,CN=Services," + (Get-ADRootDSE).configurationNamingContext
    Remove-ADObject -Recursive $passwordProtectionConfigContainer
    
  6. 次のフォルダーとそのすべての内容を手動で削除して、すべての sysvol 関連の状態を手動で削除します。Manually remove all sysvol related state by manually deleting the following folder and all of its contents:

    \\<domain>\sysvol\<domain fqdn>\AzureADPasswordProtection

    必要に応じて、特定のドメイン コントローラーのローカルでこのパスにアクセスすることもできます。既定の場所は次のようなパスになります。If necessary, this path may also be accessed locally on a given domain controller; the default location would be something like the following path:

    %windir%\sysvol\domain\Policies\AzureADPasswordProtection

    sysvol 共有が既定以外の場所に設定されている場合は、別のパスになります。This path is different if the sysvol share has been configured in a non-default location.

次の手順Next steps

Azure AD パスワード保護についてよく寄せられる質問Frequently asked questions for Azure AD Password Protection

グローバルおよびカスタムの禁止パスワード リストの詳細については、不適切なパスワードの禁止に関する記事を参照してください。For more information on the global and custom banned password lists, see the article Ban bad passwords