プレビュー: Azure AD パスワード保護の監視、レポート、トラブルシューティングPreview: Azure AD password protection monitoring, reporting, and troubleshooting

Azure AD パスワード保護と禁止パスワードのカスタム リストは、Azure Active Directory のパブリック プレビュー機能です。Azure AD password protection and the custom banned password list are public preview features of Azure Active Directory. 詳細については、「Microsoft Azure プレビューの追加使用条件」を参照してください。For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews

Azure AD のデプロイ後、パスワード保護の監視と報告は重要なタスクです。After deployment of Azure AD password protection monitoring and reporting are essential tasks. この記事では、各サービスが情報をログに記録する場所と、Azure AD パスワード保護の使用について報告する方法を理解できるように詳しく説明しています。This article goes into detail to help you understand where each service logs information and how to report on the use of Azure AD password protection.

オンプレミスのログとイベントOn-premises logs and events

DC エージェント サービスDC agent service

各ドメイン コントローラーで、DC エージェント サービス ソフトウェアは、パスワード検証の結果 (およびその他の状態) をローカルのイベント ログ (\Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin) に書き込みます。On each domain controller, the DC agent service software writes the results of its password validations (and other status) to a local event log: \Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Admin

イベントは、以下の範囲を使用して、さまざまな DC エージェント コンポーネントによってログに記録されます。Events are logged by the various DC agent components using the following ranges:

コンポーネントComponent イベント ID の範囲Event ID range
DC エージェントのパスワード フィルター DLLDC Agent password filter dll 10000 から 1999910000-19999
DC エージェント サービスのホスティング プロセスDC agent service hosting process 20000 から 2999920000-29999
DC エージェント サービス ポリシー検証ロジックDC agent service policy validation logic 30000 から 3999930000-39999

パスワード検証操作が適切に実行されるために、通常、DC エージェントのパスワード フィルター dll から 1 つのイベントがログに記録されます。For a successful password validation operation, there is generally one event logged from the DC agent password filter dll. パスワード検証操作が失敗した場合、通常、DC エージェント サービスのイベントと DC エージェント パスワード フィルター DLL のイベントの 2 つがログに記録されます。For a failing password validation operation, there are generally two events logged, one from the DC agent service, and one from the DC Agent password filter dll.

これらの状況をキャプチャする各イベントは、次の要因に基づいてログに記録されます。Discrete events to capture these situations are logged, based around the following factors:

  • 特定のパスワードが設定されているか、変更されているか。Whether a given password is being set or changed.
  • 特定のパスワードの検証に合格したか、失敗したか。Whether validation of a given password passed or failed.
  • Microsoft グローバル ポリシーと組織ポリシーのどちらのために検証が失敗したか。Whether validation failed due to the Microsoft global policy vs the organizational policy.
  • 現在のパスワード ポリシーで、監査のみモードが現在オンかオフか。Whether audit only mode is currently on or off for the current password policy.

主なパスワード検証関連イベントは次のとおりです。The key password-validation-related events are as follows:

パスワードの変更Password change パスワードの設定Password set
合格Pass 1001410014 1001510015
失敗 (顧客のパスワード ポリシーに合格しなかった)Fail (did not pass customer password policy) 10016、3000210016, 30002 10017、3000310017, 30003
失敗 (Microsoft のパスワード ポリシーに合格しなかった)Fail (did not pass Microsoft password policy) 10016、3000410016, 30004 10017、3000510017, 30005
監査のみの合格 (顧客のパスワード ポリシーに失敗)Audit-only Pass (would have failed customer password policy) 10024、3000810024, 30008 10025、3000710025, 30007
監査のみの合格 (Microsoft のパスワード ポリシーに失敗)Audit-only Pass (would have failed Microsoft password policy) 10024、3001010024, 30010 10025、3000910025, 30009

ヒント

受信したパスワードは、まず Microsoft のグローバル パスワード リストに対して検証されます。それに失敗すると、以降の処理は実行されません。Incoming passwords are validated against the Microsoft global password list first; if that fails, no further processing is performed. これは Azure のパスワード変更に対して実行される動作と同じです。This is the same behavior as performed on password changes in Azure.

イベント ID 10014 の成功したパスワード設定のサンプル イベント ログ メッセージSample event log message for Event ID 10014 successful password set

The changed password for the specified user was validated as compliant with the current Azure password policy.The changed password for the specified user was validated as compliant with the current Azure password policy.

UserName: BPL_02885102771 FullName:UserName: BPL_02885102771 FullName:

イベント ID 10017 および 30003 の失敗したパスワード設定のサンプル イベント ログ メッセージSample event log message for Event ID 10017 and 30003 failed password set

10017:10017:

The reset password for the specified user was rejected because it did not comply with the current Azure password policy.The reset password for the specified user was rejected because it did not comply with the current Azure password policy. Please see the correlated event log message for more details.Please see the correlated event log message for more details.

UserName: BPL_03283841185 FullName:UserName: BPL_03283841185 FullName:

30003:30003:

The reset password for the specified user was rejected because it matched at least one of the tokens present in the per-tenant banned password list of the current Azure password policy.The reset password for the specified user was rejected because it matched at least one of the tokens present in the per-tenant banned password list of the current Azure password policy.

UserName: BPL_03283841185 FullName:UserName: BPL_03283841185 FullName:

注意が必要なその他の主なイベント ログ メッセージは次のとおりです。Some other key event log messages to be aware of are:

イベント ID 30001 のサンプル イベント ログ メッセージSample event log message for Event ID 30001

The password for the specified user was accepted because an Azure password policy is not available yetThe password for the specified user was accepted because an Azure password policy is not available yet

UserName: FullName: UserName: FullName:

This condition may be caused by one or more of the following reasons:%nThis condition may be caused by one or more of the following reasons:%n

  1. The forest has not yet been registered with Azure.The forest has not yet been registered with Azure.

    Resolution steps: an administrator must register the forest using the Register-AzureADPasswordProtectionForest cmdlet.Resolution steps: an administrator must register the forest using the Register-AzureADPasswordProtectionForest cmdlet.

  2. An Azure AD password protection Proxy is not yet available on at least one machine in the current forest.An Azure AD password protection Proxy is not yet available on at least one machine in the current forest.

    Resolution steps: an administrator must install and register a proxy using the Register-AzureADPasswordProtectionProxy cmdlet.Resolution steps: an administrator must install and register a proxy using the Register-AzureADPasswordProtectionProxy cmdlet.

  3. This DC does not have network connectivity to any Azure AD password protection Proxy instances.This DC does not have network connectivity to any Azure AD password protection Proxy instances.

    Resolution steps: ensure network connectivity exists to at least one Azure AD password protection Proxy instance.Resolution steps: ensure network connectivity exists to at least one Azure AD password protection Proxy instance.

  4. This DC does not have connectivity to other domain controllers in the domain.This DC does not have connectivity to other domain controllers in the domain.

    Resolution steps: ensure network connectivity exists to the domain.Resolution steps: ensure network connectivity exists to the domain.

イベント ID 30006 のサンプル イベント ログ メッセージSample event log message for Event ID 30006

The service is now enforcing the following Azure password policy.The service is now enforcing the following Azure password policy.

AuditOnly: 1AuditOnly: 1

Global policy date: ‎2018‎-‎05‎-‎15T00:00:00.000000000ZGlobal policy date: ‎2018‎-‎05‎-‎15T00:00:00.000000000Z

Tenant policy date: ‎2018‎-‎06‎-‎10T20:15:24.432457600ZTenant policy date: ‎2018‎-‎06‎-‎10T20:15:24.432457600Z

Enforce tenant policy: 1Enforce tenant policy: 1

DC エージェントのログの場所DC Agent log locations

DC エージェント サービスは、操作関連のイベント ログも \Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational に記録しますThe DC agent service will also log operational-related events to the following log: \Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Operational

DC エージェント サービスは、詳細なデバッグレベルのトレース イベント ログも \Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace に記録することもできますThe DC agent service can also log verbose debug-level trace events to the following log: \Applications and Services Logs\Microsoft\AzureADPasswordProtection\DCAgent\Trace

警告

Trace ログは既定で無効です。The Trace log is disabled by default. 有効にすると、このログは大量のイベントを受け取り、ドメイン コントローラーのパフォーマンスに影響を与える可能性があります。When enabled, this log receives a high volume of events and may impact domain controller performance. そのため、この拡張ログは、問題を深く調査する必要がある場合にのみ、ごく短時間、有効にすることをお勧めします。Therefore, this enhanced log should only be enabled when a problem requires deeper investigation, and then only for a minimal amount of time.

Azure AD パスワード保護プロキシ サービスAzure AD password protection proxy service

パスワード保護プロキシ サービスは、イベント ログ \Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Operational に最低限のイベント セットを発行しますThe password protection Proxy service emits a minimal set of events to the following event log: \Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Operational

パスワード保護プロキシ サービスは、ログ \Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Trace に詳細なデバッグレベルのトレース イベントを発行することもできます。The password protection Proxy service can also log verbose debug-level trace events to the following log: \Applications and Services Logs\Microsoft\AzureADPasswordProtection\ProxyService\Trace

警告

Trace ログは既定で無効です。The Trace log is disabled by default. 有効にすると、このログは大量のイベントを受け取り、プロキシ ホストのパフォーマンスに影響を与える可能性があります。When enabled, this log receives a high volume of events and this may impact performance of the proxy host. そのため、このログは、問題を深く調査する必要がある場合にのみ、ごく短時間、有効にすることをお勧めします。Therefore, this log should only be enabled when a problem requires deeper investigation, and then only for a minimal amount of time.

DC エージェントの検出DC Agent discovery

Get-AzureADPasswordProtectionDCAgent コマンドレットを使用すると、ドメインまたはフォレスト内で実行されているさまざまな DC エージェントに関する基本的な情報を表示できます。The Get-AzureADPasswordProtectionDCAgent cmdlet may be used to display basic information about the various DC agents running in a domain or forest. この情報は、実行中の DC エージェント サービスによって登録された serviceConnectionPoint オブジェクトから取得されます。This information is retrieved from the serviceConnectionPoint object(s) registered by the running DC agent service(s). このコマンドレットの出力例は次のとおりです。An example output of this cmdlet is as follows:

PS C:\> Get-AzureADPasswordProtectionDCAgent
ServerFQDN            : bplChildDC2.bplchild.bplRootDomain.com
Domain                : bplchild.bplRootDomain.com
Forest                : bplRootDomain.com
Heartbeat             : 2/16/2018 8:35:01 AM

さまざまなプロパティは、各 DC エージェント サービスによって約 1 時間ごとに更新されます。The various properties are updated by each DC agent service on an approximate hourly basis. さらに、データは Active Directory レプリケーションの待機時間の影響を受けます。The data is still subject to Active Directory replication latency.

コマンドレットのクエリの範囲は、-Forest パラメーターまたは -Domain パラメーターの使用の影響を受ける可能性があります。The scope of the cmdlet’s query may be influenced using either the –Forest or –Domain parameters.

緊急時の修復Emergency remediation

DC エージェント サービスが問題の原因である残念な状況が発生した場合、DC エージェント サービスは直ちにシャットダウンされる可能性があります。If an unfortunate situation occurs where the DC agent service is causing problems, the DC agent service may be immediately shut down. DC エージェントのパスワード フィルター dll が実行中ではないサービスを呼び出そうとすると、警告イベント (10012、10013) がログに記録されますが、その間にすべての受信パスワードが承認されます。The DC agent password filter dll attempts to call the non-running service and will log warning events (10012, 10013), but all incoming passwords are accepted during that time. DC エージェント サービスは、必要に応じて Windows サービス コントロール マネージャーを使用してスタートアップの種類を "無効" に構成することもできます。The DC agent service may then also be configured via the Windows Service Control Manager with a startup type of “Disabled” as needed.

パフォーマンスの監視Performance monitoring

DC エージェント サービス ソフトウェアによって、Azure AD password protection というパフォーマンス カウンター オブジェクトがインストールされます。The DC agent service software installs a performance counter object named Azure AD password protection. 現在、次のパフォーマンス カウンターを使用できます。The following perf counters are currently available:

パフォーマンス カウンター名Perf counter name 説明Description
Passwords processedPasswords processed このカウンターには、前回の再起動以降に処理された (承認または拒否された) パスワードの合計数が表示されます。This counter displays the total number of passwords processed (accepted or rejected) since last restart.
Passwords acceptedPasswords accepted このカウンターには、前回の再起動以降に承認されたパスワードの合計数が表示されます。This counter displays the total number of passwords that were accepted since last restart.
Passwords rejectedPasswords rejected このカウンターには、前回の再起動以降に拒否されたパスワードの合計数が表示されます。This counter displays the total number of passwords that were rejected since last restart.
Password filter requests in progressPassword filter requests in progress このカウンターには、現在進行中のパスワード フィルター要求の数が表示されます。This counter displays the number of password filter requests currently in progress.
Peak password filter requestsPeak password filter requests このカウンターには、前回の再起動以降の同時パスワード フィルター要求のピーク数が表示されます。This counter displays the peak number of concurrent password filter requests since the last restart.
Password filter request errorsPassword filter request errors このカウンターには、前回の再起動以降にエラーのために失敗したパスワード フィルター要求の合計数が表示されます。This counter displays the total number of password filter requests that failed due to an error since last restart. Azure AD パスワード保護 DC エージェント サービスが実行されていないと、エラーが発生する可能性があります。Errors can occur when the Azure AD password protection DC agent service is not running.
Password filter requests/secPassword filter requests/sec このカウンターには、パスワードの処理速度が表示されます。This counter displays the rate at which passwords are being processed.
Password filter request processing timePassword filter request processing time このカウンターには、パスワード フィルター要求の処理に必要な平均時間が表示されます。This counter displays the average time required to process a password filter request.
Peak password filter request processing timePeak password filter request processing time このカウンターには、前回の再起動以降のパスワード フィルター要求のピーク処理時間が表示されます。This counter displays the peak password filter request processing time since the last restart.
Passwords accepted due to audit modePasswords accepted due to audit mode このカウンターには、通常は拒否されるところ、パスワード ポリシーが監査モードに構成されていたために承認されたパスワードの合計数 (前回の再起動以降) が表示されます。This counter displays the total number of passwords that would normally have been rejected, but were accepted because the password policy was configured to be in audit-mode (since last restart).

ディレクトリ サービスの修復モードDirectory Services Repair Mode

ドメイン コントローラーがディレクトリ サービスの修復モードで起動された場合、DC エージェント サービスでそれが検出され、現在アクティブなポリシー構成に関係なく、すべてのパスワード検証または適用アクティビティが無効にされます。If the domain controller is booted into Directory Services Repair Mode, the DC agent service detects this causing all password validation or enforcement activities to be disabled, regardless of the currently active policy configuration.

ドメイン コントローラーの降格Domain controller demotion

DC エージェント ソフトウェアを実行中でもドメイン コントローラーを降格させることができます。It is supported to demote a domain controller that is still running the DC agent software. 管理者は、DC エージェント ソフトウェアの実行は維持され、降格手続き中は現在のパスワード ポリシーが継続的に適用されていることに注意してください。Administrators should be aware however that the DC agent software keeps running and continues enforcing the current password policy during the demotion procedure. 新しいローカル管理者アカウントのパスワード (降格操作の一環で指定されます) は、他のパスワードと同様に検証されます。The new local Administrator account password (specified as part of the demotion operation) is validated like any other password. DC の降格手続きの一環でローカル管理者アカウントに安全なパスワードを選択することをお勧めします。ただし、DC エージェント ソフトウェアによる新しいローカル管理者アカウントのパスワードの検証は、既存の降格操作手続きに影響する可能性があります。Microsoft recommends that secure passwords be chosen for local Administrator accounts as part of a DC demotion procedure; however the validation of the new local Administrator account password by the DC agent software may be disruptive to pre-existing demotion operational procedures. 降格が成功し、ドメイン コントローラーが再起動され、通常のメンバー サーバーとして改めて実行されると、DC エージェント ソフトウェアはパッシブ モードで動作するようになります。Once the demotion has succeeded, and the domain controller has been rebooted and is again running as a normal member server, the DC agent software reverts to running in a passive mode. このソフトウェアはいつでもアンインストールできます。It may then be uninstalled at any time.

削除Removal

パブリック プレビュー ソフトウェアをアンインストールし、関連するすべての状態をドメインとフォレストからクリーンアップする場合、次の手順で実行できます。If it is decided to uninstall the public preview software and cleanup all related state from the domain(s) and forest, this task can be accomplished using the following steps:

重要

これらの手順は、順番に実行することが重要です。It is important to perform these steps in order. パスワード保護プロキシ サービスのインスタンスを実行中のままにすると、定期的に serviceConnectionPoint オブジェクトが再作成されるだけでなく、定期的に sysvol 状態が再作成されます。If any instance of the password protection Proxy service is left running it will periodically re-create its serviceConnectionPoint object as well as periodically re-create the sysvol state.

  1. すべてのマシンからパスワード保護プロキシ ソフトウェアをアンインストールします。Uninstall the password protection Proxy software from all machines. この手順では、再起動する必要はありませんThis step does not require a reboot.
  2. すべてのドメイン コントローラーから DC エージェント ソフトウェアをアンインストールします。Uninstall the DC Agent software from all domain controllers. この手順では、再起動する必要がありますThis step requires a reboot.
  3. 各ドメイン名前付けコンテキストのすべてのプロキシ サービス接続ポイントを手動で削除します。Manually remove all proxy service connection points in each domain naming context. これらのオブジェクトの場所は、次の Active Directory Powershell コマンドで検出できます。The location of these objects may be discovered with the following Active Directory Powershell command:

    $scp = “serviceConnectionPoint”
    $keywords = “{EBEFB703-6113-413D-9167-9F8DD4D24468}*”
    Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }
    

    $keywords 変数値の末尾のアスタリスク ("*") は省略しないでください。Do not omit the asterisk (“*”) at the end of the $keywords variable value.

    Get-ADObject コマンドで見つかった結果のオブジェクトは、Remove-ADObject にパイプ出力するか、手動で削除することができます。The resulting object found via the Get-ADObject command can then be piped to Remove-ADObject, or deleted manually.

  4. 各ドメイン名前付けコンテキストに含まれるすべての DC エージェント接続ポイントを手動で削除します。Manually remove all DC agent connection points in each domain naming context. パブリック プレビュー ソフトウェアの展開の規模によっては、フォレスト内のドメイン コントローラーごとにこのようなオブジェクトが 1 つ存在することがあります。There may be one these objects per domain controller in the forest, depending on how widely the public preview software was deployed. そのオブジェクトの場所は、次の Active Directory Powershell コマンドで検出できます。The location of that object may be discovered with the following Active Directory Powershell command:

    $scp = “serviceConnectionPoint”
    $keywords = “{B11BB10A-3E7D-4D37-A4C3-51DE9D0F77C9}*”
    Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }
    

    Get-ADObject コマンドで見つかった結果のオブジェクトは、Remove-ADObject にパイプ出力するか、手動で削除することができます。The resulting object found via the Get-ADObject command can then be piped to Remove-ADObject, or deleted manually.

  5. フォレストレベルの構成状態を手動で削除します。Manually remove the forest-level configuration state. フォレストの構成状態は、Active Directory 構成の名前付けコンテキストのコンテナーに保持されます。The forest configuration state is maintained in a container in the Active Directory configuration naming context. 次のように検出および削除できます。It can be discovered and deleted as follows:

    $passwordProtectonConfigContainer = "CN=Azure AD password protection,CN=Services," + (Get-ADRootDSE).configurationNamingContext
    Remove-ADObject $passwordProtectonConfigContainer
    
  6. 次のフォルダーとそのすべての内容を手動で削除して、すべての sysvol 関連の状態を手動で削除します。Manually remove all sysvol related state by manually deleting the following folder and all of its contents:

    \\<domain>\sysvol\<domain fqdn>\Policies\{4A9AB66B-4365-4C2A-996C-58ED9927332D}

    必要に応じて、特定のドメイン コントローラーのローカルでこのパスにアクセスすることもできます。既定の場所は次のようなパスになります。If necessary, this path may also be accessed locally on a given domain controller; the default location would be something like the following path:

    %windir%\sysvol\domain\Policies\{4A9AB66B-4365-4C2A-996C-58ED9927332D}

    sysvol 共有が既定以外の場所に設定されている場合は、別のパスになります。This path is different if the sysvol share has been configured in a non-default location.

次の手順Next steps

グローバルおよびカスタムの禁止パスワード リストの詳細については、不適切なパスワードの禁止に関する記事を参照してください。For more information on the global and custom banned password lists, see the article Ban bad passwords