Microsoft Entra Connect の選択的なパスワード ハッシュ同期の構成

  • [アーティクル]

パスワード ハッシュ同期は、ハイブリッド ID を実現するために使用されるサインイン方法の 1 つです。 Microsoft Entra Connect では、オンプレミスの Active Directory インスタンスからクラウドベースの Microsoft Entra インスタンスに、ユーザーのパスワードのハッシュを同期します。 既定では、セットアップが完了すると、同期しているすべてのユーザーに対してパスワード ハッシュ同期が実行されます。

一部のユーザーを Microsoft Entra ID へのパスワード ハッシュ同期から除外する場合、この記事で説明されている手順に従って、選択的なパスワード ハッシュ同期を構成することができます。

重要

公式に文書化されている構成やアクションを除き、Microsoft では Microsoft Entra Connect 同期の変更や操作はサポートされていません。 このような構成やアクションを行うと、Microsoft Entra Connect 同期が不整合な状態になったり、サポートされていない状態になったりする可能性があります。結果的に、Microsoft ではこのようなデプロイについて効果的なテクニカル サポートを提供できることを保障できなくなります。

実装について検討する

構成管理作業を軽減するために、まずパスワード ハッシュ同期から除外するユーザー オブジェクトの数を考慮する必要があります。 以下のシナリオのうち、相互に排他的なものを確認し、要件に合わせて適切な構成オプションを選択してください。

  • 除外するユーザーの数が、含めるユーザー数より小さい場合は、こちらのセクションの手順に従います。
  • 除外するユーザーの数が、含めるユーザー数より大きい場合は、こちらのセクションの手順に従います。

重要

いずれの構成オプションを選択しても、変更を適用するために必要な初期同期 (完全同期) が、次の同期サイクルで自動的に実行されます。

重要

選択的なパスワード ハッシュ同期を構成すると、パスワード ライトバックに直接影響します。 Microsoft Entra ID で開始されたパスワードの変更またはパスワードのリセットは、ユーザーがパスワード ハッシュ同期の対象になっている場合にのみ、オンプレミスの Active Directory に書き戻されます。

重要

選択的なパスワード ハッシュ同期は、Microsoft Entra Connect 1.6.2.4 以降でサポートされています。 それより前のバージョンを使用している場合、最新版にアップグレードしてください。

AdminDescription 属性

どちらのシナリオも、ユーザーの adminDescription 属性を特定の値に設定することに依存しています。 これにより、規則が適用され、選択的な PHS が機能するようになります。

シナリオ adminDescription 値
除外するユーザーが含めるユーザーよりも少ない PHSFiltered
除外するユーザーが含めるユーザーよりも多い PHSIncluded

この属性は、以下のいずれかの方法で、手動で設定できます。

  • Active Directory ユーザーとコンピューター UI を使用
  • Set-ADUser PowerShell コマンドレットの使用 詳細については、「Set-ADUser」を参照してください。

同期スケジューラを無効にする

どちらのシナリオを開始する場合も、同期規則を変更している間、同期スケジューラを無効にしておく必要があります。

  1. Windows PowerShell を起動します。

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. 次のコマンドレットを実行して、スケジューラが無効になっていることを確認します。

    Get-ADSyncScheduler

スケジューラについて詳しくは、Microsoft Entra Connect 同期スケジューラに関するページを参照してください。

除外するユーザーが含めるユーザーよりも少ない

次のセクションでは、除外するユーザーの数が、含めるユーザー数より小さい場合に、選択的なパスワード ハッシュ同期を有効にする方法について説明します。

重要

既に説明したように、続行する前に、同期スケジューラが無効になっていることを確認してください。

  • In from AD – User AccountEnabled の編集可能なコピーを作成し、パスワード ハッシュ同期を未選択にできるようにするオプションを選択します。そして、スコープ フィルターを定義します。
  • 既定の In from AD – User AccountEnabled の編集可能なコピーをもう 1 つ作成し、パスワード ハッシュ同期を選択できるようにするオプションを選択します。そして、スコープ フィルターを定義します。
  • 同期スケジューラを再度有効にする
  • パスワード ハッシュ同期で許可するユーザーに対してスコープ属性として定義されていた Active Directory の属性値を設定します。

重要

選択的なパスワード ハッシュ同期を構成するために指定された手順は、Active Directory で設定された属性 adminDescription (値は phsfiltered) を持つユーザー オブジェクトにのみ影響します。 この属性が設定されていない場合、または値が Phsfiltered 以外の場合、これらの規則はユーザー オブジェクトに適用されません。

必要な同期規則を構成します。

  1. 同期規則エディターを起動し、フィルター [パスワード同期][オン] にし、 [規則の種類][標準] に設定します。 Start sync rules editor
  2. 選択的なパスワード ハッシュ同期を構成する Active Directory フォレスト コネクタで、規則 [In from AD – User AccountEnabled] を選択し、 [編集] をクリックします。 次のダイアログ ボックスで [はい] を選択して、元の規則の編集可能なコピーを作成します。 Select rule
  3. 最初のルールでは、パスワード ハッシュ同期を無効にします。新しいカスタム規則に In from AD - User AccountEnabled - Filter Users from PHS という名前を指定します。 優先順位の値を 100 未満の数値に変更します (たとえば、90 または使用している環境で使用可能な最小値)。 [パスワード同期を有効にする] チェックボックスと [無効] チェックボックスがオフになっていることを確認します。 次へをクリックします。 Edit inbound
  4. [スコープ フィルター][句の追加] をクリックします。 [属性] 列で [adminDescription] 、[演算子] 列で [EQUAL] を選択し、値として「PHSFiltered」と入力します。 Scoping filter
  5. 他の変更は必要ありません。 [結合規則] および [変換] は、既定のコピーされた設定のままにし、ここで [保存] をクリックできます。 コネクタの次の同期サイクルで完全同期が実行されることを通知する警告ダイアログ ボックスで [OK] をクリックします。 Save rule
  6. 次に、パスワード ハッシュ同期を有効にする別のカスタム規則を作成します。 選択的なパスワード ハッシュ同期を構成する Active Directory フォレスト コネクタで、既定の規則 [In from AD – User AccountEnabled] をもう一度選択し、 [編集] をクリックします。 次のダイアログ ボックスで [はい] を選択して、元の規則の編集可能なコピーを作成します。 Custom rule
  7. 新しいカスタム規則に、「In from AD - User AccountEnabled - Users included for PHS」という名前を指定します。 優先順位の値を、前に作成した規則よりも低い数値に変更します (この例では 89 になります)。 [パスワード同期を有効にする] チェックボックスがオンで、 [無効] チェックボックスがオフになっていることを確認します。 次へをクリックします。
    Edit new rule
  8. [スコープ フィルター][句の追加] をクリックします。 [属性] 列で [adminDescription] 、[演算子] 列で [NOTEQUAL] を選択し、値として「PHSFiltered」と入力します。 Scope rule
  9. 他の変更は必要ありません。 [結合規則] および [変換] は、既定のコピーされた設定のままにし、ここで [保存] をクリックできます。 コネクタの次の同期サイクルで完全同期が実行されることを通知する警告ダイアログ ボックスで [OK] をクリックします。 Join rules
  10. 規則の作成を確認します。 [パスワード同期]オンで、[規則の種類][標準] のフィルターを削除します。 先ほど作成した新しい規則が両方とも表示されます。 Confirm rules

同期スケジューラを再度有効にする:

必要な同期規則を構成する手順を完了したら、次の手順で同期スケジューラを再度有効にします。

  1. Windows PowerShell で次を実行します。

    set-adsyncscheduler -synccycleenabled:$true

  2. 次を実行して、正常に有効にされたことを確認します。

    get-adsyncscheduler

スケジューラについて詳しくは、Microsoft Entra Connect 同期スケジューラに関するページを参照してください。

ユーザーの adminDescription 属性の編集:

すべての構成が完了したら、Active Directory でパスワード ハッシュ同期から除外するすべてのユーザーの属性 adminDescription を編集し、スコープ フィルターで使用される文字列「PHSFiltered」を追加する必要があります。

Edit attribute

次の PowerShell コマンドを使用して、ユーザーの adminDescription 属性を編集することもできます。

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

除外するユーザーが含めるユーザーよりも多い

次のセクションでは、除外するユーザーの数が、含めるユーザー数より大きい場合に、選択的なパスワード ハッシュ同期を有効にする方法について説明します。

重要

既に説明したように、続行する前に、同期スケジューラが無効になっていることを確認してください。

次に、以下の手順で実行されるアクションの概要を示します。

  • In from AD – User AccountEnabled の編集可能なコピーを作成し、パスワード ハッシュ同期を未選択にできるようにするオプションを選択します。そして、スコープ フィルターを定義します。
  • 既定の In from AD – User AccountEnabled の編集可能なコピーをもう 1 つ作成し、パスワード ハッシュ同期を選択できるようにするオプションを選択します。そして、スコープ フィルターを定義します。
  • 同期スケジューラを再度有効にする
  • パスワード ハッシュ同期で許可するユーザーに対してスコープ属性として定義されていた Active Directory の属性値を設定します。

重要

選択的なパスワード ハッシュ同期を構成するために指定された手順は、Active Directory で設定された属性 adminDescription (値は PHSIncluded) を持つユーザー オブジェクトにのみ影響します。 この属性が設定されていない場合、または値が PHSIncluded 以外の場合、これらの規則はユーザー オブジェクトに適用されません。

必要な同期規則を構成します。

  1. 同期規則エディターを起動し、フィルター [パスワード同期][オン] にし、[規則の種類][標準] に設定します。 Rule type
  2. 選択的なパスワード ハッシュ同期を構成する Active Directory フォレスト コネクタで、規則 [In from AD – User AccountEnabled] をもう一度選択し、 [編集] をクリックします。 次のダイアログ ボックスで [はい] を選択して、元の規則の編集可能なコピーを作成します。 In from AD
  3. 最初のルールでは、パスワード ハッシュ同期を無効にします。新しいカスタム規則に In from AD - User AccountEnabled - Filter Users from PHS という名前を指定します。 優先順位の値を 100 未満の数値に変更します (たとえば、90 または使用している環境で使用可能な最小値)。 [パスワード同期を有効にする] チェックボックスと [無効] チェックボックスがオフになっていることを確認します。 次へをクリックします。 Set precedence
  4. [スコープ フィルター][句の追加] をクリックします。 [属性] 列で [adminDescription] 、[演算子] 列で [NOTEQUAL] を選択し、値として「PHSIncluded」と入力します。 Add clause
  5. 他の変更は必要ありません。 [結合規則] および [変換] は、既定のコピーされた設定のままにし、ここで [保存] をクリックできます。 コネクタの次の同期サイクルで完全同期が実行されることを通知する警告ダイアログ ボックスで [OK] をクリックします。 Transformation
  6. 次に、パスワード ハッシュ同期を有効にする別のカスタム規則を作成します。 選択的なパスワード ハッシュ同期を構成する Active Directory フォレスト コネクタで、既定の規則 [In from AD – User AccountEnabled] をもう一度選択し、 [編集] をクリックします。 次のダイアログ ボックスで [はい] を選択して、元の規則の編集可能なコピーを作成します。 User AccountEnabled
  7. 新しいカスタム規則に、「In from AD - User AccountEnabled - Users included for PHS」という名前を指定します。 優先順位の値を、前に作成した規則よりも低い数値に変更します (この例では 89 になります)。 [パスワード同期を有効にする] チェックボックスがオンで、 [無効] チェックボックスがオフになっていることを確認します。 次へをクリックします。 Enable Password Sync
  8. [スコープ フィルター][句の追加] をクリックします。 [属性] 列で [adminDescription] 、[演算子] 列で [EQUAL] を選択し、値として「PHSIncluded」と入力します。 PHSIncluded
  9. 他の変更は必要ありません。 [結合規則] および [変換] は、既定のコピーされた設定のままにし、ここで [保存] をクリックできます。 コネクタの次の同期サイクルで完全同期が実行されることを通知する警告ダイアログ ボックスで [OK] をクリックします。 Save now
  10. 規則の作成を確認します。 [パスワード同期]オンで、[規則の種類][標準] のフィルターを削除します。 先ほど作成した新しい規則が両方とも表示されます。 Sync on

同期スケジューラを再度有効にする:

必要な同期規則を構成する手順を完了したら、次の手順で同期スケジューラを再度有効にします。

  1. Windows PowerShell で次を実行します。

    set-adsyncscheduler-synccycleenabled$true

  2. 次を実行して、正常に有効にされたことを確認します。

    get-adsyncscheduler

スケジューラについて詳しくは、Microsoft Entra Connect 同期スケジューラに関するページを参照してください。

ユーザーの adminDescription 属性の編集:

すべての構成が完了したら、Active Directory でパスワード ハッシュ同期に含めるすべてのユーザーの属性 adminDescription を編集し、スコープ フィルターで使用される文字列「PHSIncluded」を追加する必要があります。

Edit attributes

次の PowerShell コマンドを使用して、ユーザーの adminDescription 属性を編集することもできます。

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

次の手順