Azure Active Directory Sync とのパスワード同期を行います。
更新日: 2015 年 7 月 22 日
重要
このトピックは間もなくアーカイブされます。
AADSyncと DirSync を置き換える "Azure Active Directory Connect" という新しい製品があります。
Azure AD Connect には、以前 Dirsync と AAD Sync としてリリースされたコンポーネントと機能が組み込まれています。
将来のある時点で、Dirsync と AAD Sync のサポートは終了します。
これらのツールは機能改善によって個別に更新されなくなり、今後のすべての機能強化は Azure AD Connectの更新プログラムに含まれます。
パスワード同期により、ユーザーは、オンプレミス Active Directory にログオンするときと同じパスワードを使用して Azure Active Directory にログオンできるようになります。
このトピックでは、パスワード同期のしくみを理解するために必要な情報および環境でパスワード同期を有効にする方法について説明します。
パスワード同期とは
パスワード同期は Azure Active Directory Synchronization Service (Azure AD Sync) の機能であり、オンプレミス Active Directory のユーザー パスワードと Azure Active Directory ("Azure AD") を同期します。 この機能を使用すると、ユーザーはオンプレミス ネットワークへのログインに使用するのと同じパスワードを使用して、Azure Active Directory サービス (Office 365、Microsoft Intune、CRM Online など) にログインできます。 パスワード同期ベースの処理では、トークンの共有や交換がないので、この機能ではシングル サインオン (SSO) ソリューションは提供されないことに注意することが重要です。
注意
FIPS とパスワード同期用に構成されているActive Directory Domain Servicesの詳細については、「FIPS 準拠システムでのパスワード同期の失敗」を参照してください。
パスワード同期の可用性
Azure Active Directory のユーザーはすべてパスワード同期を実行できます。 パスワード同期とフェデレーション認証などの他の機能との互換性については、以下を参照してください。
パスワード同期を有効にするには、Azure AD Sync の 10 月以降のバージョンを使用する必要があります (このバージョンは、.exe インストーラーのダウンロードで使用できます)。 このリンクを使用して、最新バージョンのAzure AD Syncをダウンロードできます。
パスワード同期のしくみ
パスワード同期は、Directory Sync ツールによって実装されるディレクトリ同期機能に対する拡張機能です。 そのため、この機能が動作するためには、オンプレミスと Azure Active Directory の間にディレクトリ同期が構成されている必要があります。
Active Directory ドメイン サービスは、実際のユーザー パスワードをハッシュ値表現の形式で格納します。 パスワードのハッシュを使用してオンプレミス ネットワークにログインすることはできません。 また、設計上、ユーザーのプレーンテキスト パスワードにアクセスするように元に戻すことはできません。 パスワードを同期するには、Azure AD Sync でオンプレミスの Active Directory のパスワード ハッシュを抽出します。 Azure Active Directory 認証サービスに同期される前に、パスワード ハッシュには、追加のセキュリティ処理が行われす。 パスワード同期処理の実際のデータ フローは、表示名や電子メール アドレスなどのユーザー データの同期と似ています。
パスワードは、他の属性に対する標準のディレクトリ同期ウィンドウよりも頻繁に同期されます。 パスワードは、ユーザーごとに同期され、通常は時間順に同期されます。 ユーザーのパスワードがオンプレミス AD からクラウドに対して同期されるとき、既存のクラウド パスワードは上書きされます。
パスワード同期機能を初めて有効にすると、ツールはパスワードの初期同期を実行し、スコープ内のすべてのユーザーのパスワードをオンプレミス Active Directory から Azure Active Directory に同期します。 パスワードをクラウドに同期するユーザーのセットを明示的に定義することはできません。 その後は、オンプレミス ユーザーがパスワードを変更すると、パスワード同期機能は、ほとんどの場合は数分以内に、それを検出して変更されたパスワードを同期します。 パスワードの同期が失敗すると、パスワード同期機能は自動的に再試行します。 パスワード同期の試行中にエラーが発生した場合、イベント ビューアーにエラーが表示されます。
パスワードの同期によって、現在ログオン中のユーザーが影響を受けることはありません。 クラウド サービスにログインしているユーザーがオンプレミスのパスワードを変更した場合でも、クラウド サービスのセッションは中断せずに続けられます。 ただし、クラウド サービスでユーザーの再認証が必要になったときは、すぐに新しいパスワードを提供する必要があります。 この時点で、ユーザーは新しいパスワード、つまりその前にオンプレミス Active Directory からクラウドに同期されたパスワードを提供する必要があります。
セキュリティに関する考慮事項
パスワードを同期するとき、ユーザーのプレーンテキスト バージョンのパスワードは、パスワード同期機能にも、Azure AD または関連するどのサービスにも、公開されません。
また、オンプレミス Active Directory でパスワードを可逆的に暗号化された形式で保存する必要はありません。 Windows Active Directory パスワード ハッシュのダイジェストが、オンプレミス AD と Azure Active Directory の間の伝送に使用されます。 パスワード ハッシュのダイジェストを使用して、お客様のオンプレミス環境のリソースにアクセス することはできません 。
パスワード ポリシーの考慮事項
パスワード同期を有効にすることによって影響を受ける 2 種類のパスワード ポリシーがあります。
パスワードの複雑性のポリシー
パスワードの有効期限のポリシー
パスワードの複雑性のポリシー
パスワード同期を有効にすると、オンプレミス Active Directory で構成されているパスワードの複雑性のポリシーにより、同期されるユーザーに対してクラウドで定義されている複雑性のポリシーがオーバーライドされます。 つまり、ユーザーのオンプレミス Active Directory 環境において有効なパスワードは、Azure AD サービスのアクセスに使用できます。
注意
クラウド内で直接作成されたユーザーのパスワードには、引き続きクラウドで定義されているパスワード ポリシーが適用されます。
パスワードの有効期限のポリシー
ユーザーがパスワード同期の範囲内にいる場合、クラウド アカウントのパスワードは "期限なし" に設定されます。 つまり、オンプレミス環境でユーザーのパスワードの期限が切れても、クラウド サービスにはその期限切れパスワードを使用して引き続きログインできる可能性があります。
クラウドのパスワードは、次にユーザーがオンプレミス環境でパスワードを変更したときに更新されます。
同期されたパスワードの上書き
管理者は、Azure Active Directory PowerShell を使用して手動でユーザーのパスワードをリセットできます。
この場合、新しいパスワードによってユーザーの同期されたパスワードはオーバーライドされ、クラウドで定義されているすべてのパスワード ポリシーが新しいパスワードに適用されます。
ユーザーがオンプレミスのパスワードを再び変更した場合、新しいパスワードはクラウドに同期されて、手動で更新したパスワードをオーバーライドします。
パスワード同期の準備
Azure Active Directory テナントのパスワード同期を有効にするには、先にディレクトリ同期を有効にする必要があります。
パスワード同期の有効化
Azure AD Sync 構成ウィザードを実行するときに、パスワード同期を有効にします。
[オプション機能] ダイアログ ページで、[パスワード同期] チェック ボックスをオンにします。
.jpg "Optional features")
注意
このプロセスにより完全同期がトリガーされます。 通常、完全同期サイクルの完了には他の同期サイクルより時間がかかります。
パスワード同期の管理
Azure AD Sync を実行しているコンピューターのイベント ログを使用して、パスワード同期の進行状況を監視できます。
パスワード同期のステータスの特定
以下の条件に一致するイベントを調べることによって、パスワードの同期に成功したユーザーを特定できます。
| source | イベント ID |
|---|---|
ディレクトリ同期 |
656 |
ディレクトリ同期 |
657 |
ID 656 のイベントは、処理されたパスワード変更要求のレポートを提供します。
.jpg "Event ID 656")
ID 657 に対応するイベントは、これらの要求の結果を提供します。
.jpg "Event ID 657")
イベントでは、影響を受けたオブジェクトがアンカーおよび DN の値によって示されます。 アンカーの値は、Get-MsoUser コマンドレットによってユーザーに返される ImmutableId の値に対応します。
オブジェクト ID に加えて、イベント ID 656 は、ユーザーのパスワードがオンプレミス Active Directory で変更された日付を提供します。
.jpg "Password Change Request")
イベント ID 657 には、ソース オブジェクト ID に加えて、そのユーザー オブジェクトの同期ステータスを示す Result フィールドがあります。
パスワードの同期が正常に行われたことは、イベント ID 657 のイベントで Result 属性の値が Success に設定されていることによってわかります。 パスワード同期の試行が失敗した場合、Result 属性の値は Failure になります。
.jpg "Password Change Result")
パスワード同期の無効化
パスワード同期を無効にするには、Azure AD Sync 構成ウィザードを再び実行します。
ウィザードで指定を求められたら、[パスワード同期] チェック ボックスをオフにします。
注意
このプロセスにより完全同期がトリガーされます。 通常、完全同期サイクルの完了には他の同期サイクルより時間がかかります。
構成ウィザードを実行した後、テナントはパスワードを同期しなくなります。 パスワードを新しく変更しても、クラウドには同期されません。 それまでパスワードを同期していたユーザーは、クラウドにおいてパスワードを手動で変更するまで、同期されたパスワードで引き続きログインできます。