パスワード ハッシュの同期 (PHS) の実装と管理

  • 2 分

パスワード ハッシュ同期のしくみ

パスワード ハッシュ同期は、ハイブリッド ID を実現するために使用されるサインイン方法の 1 つです。 Microsoft Entra Connect では、オンプレミスの Active Directory インスタンスからクラウドベースの Microsoft Entra インスタンスに、ユーザーのパスワードのハッシュを同期します。

Diagram of Microsoft Entra Connect passes a password hash for a user between on-premises and in the cloud.

Active Directory ドメイン サービスは、実際のユーザー パスワードをハッシュ値表現の形式で格納します。 ハッシュ値は、一方向の数学関数 (ハッシュ アルゴリズム) の結果として求められます。 一方向の関数の結果をパスワードのプレーンテキスト バージョンに戻す方法はありません。 パスワードを同期するために、Microsoft Entra Connect 同期は、オンプレミスの Active Directory インスタンスからパスワード ハッシュを抽出します。 Microsoft Entra 認証サービスに同期される前のパスワード ハッシュには、追加のセキュリティ処理が適用されます。 パスワードは、ユーザーごとに、時間順に同期されます。

パスワード ハッシュ同期処理の実際のデータ フローは、ユーザー データの同期と似ています。 ただし、パスワードは、他の属性に対する標準のディレクトリ同期ウィンドウよりも頻繁に同期されます。 パスワード ハッシュ同期プロセスは 2 分間隔で実行されます。 このプロセスの頻度を変更することはできません。 パスワードを同期すると、既存のクラウド パスワードが上書きされます。

パスワード ハッシュ同期機能を初めて有効にすると、スコープ内のすべてのユーザーの初回同期が実行されます。 最初の同期時に同期するユーザー パスワードのサブセットを明示的に定義することはできません。 初回の同期が完了すると、以降の同期のために選択的パスワード ハッシュの同期を設定できるようになります。

複数のコネクタが存在する場合、一部のコネクタについてパスワード ハッシュの同期を無効にできます。 オンプレミス パスワードを変更すると、更新されたパスワードは、多くの場合、ほんの数分で同期されます。 同期の試行に失敗すると、パスワード ハッシュ同期機能により自動的に再試行が行われます。 パスワード同期の試行中にエラーが発生した場合、イベント ビューアーにエラーが記録されます。

パスワード ハッシュ同期を有効にする

[簡単設定] オプションを使って Microsoft Entra Connect をインストールすると、パスワード ハッシュ同期が自動的に有効になります。 Microsoft Entra Connect のインストール時にカスタム設定を使うと、ユーザー サインイン ページでパスワード ハッシュ同期を使用できるようになります。

Screenshot of Microsoft Entra Connect with the Password Hash Synchronization option selected.

パスワードハッシュの同期と Federal Information Processing Standard

Federal Information Processing Standard (FIPS) に従ってサーバーがロックされた場合、MD5 は無効になります。

パスワード ハッシュ同期で MD5 を有効にするには、次の手順を実行します。

  1. %programfiles%\Azure A D Sync\Bin 」を参照してください。
  2. miiserver.exe.config を開きます。
  3. ファイルの末尾にある configuration/runtime ノードに移動します。
  4. <enforceFIPSPolicy enabled="false"/>
  5. 変更を保存します。

参考までに、このスニペットは次のようになります。

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false"/>
        </runtime>
    </configuration>

PingFederate の使用

接続するドメインとのフェデレーションを設定するために Microsoft Entra Connect で PingFederate を構成します。 以下の前提条件が必要です。

  • PingFederate 8.4 以降。
  • 使用する予定のフェデレーション サービス名の TLS/SSL 証明書 (sts.contoso.com など)。

AD Connect で PingFederate を使用してフェデレーションを設定することを選択すると、フェデレーションするドメインを検証するように求められます。 ドロップダウン メニューでドメインを選択します。

Screenshot of Microsoft Entra Connect interface showing the domain you want to create a federation with.

各フェデレーション Azure ドメインのフェデレーション サーバーとして、PingFederate を構成します。 次に、[設定のエクスポート] を選択し、この情報を PingFederate 管理者と共有します。 フェデレーション サーバーの管理者は、構成を更新し、PingFederate サーバーの URL とポート番号を指定して、Microsoft Entra Connect がメタデータ設定を検証できるようにします。