Azure Active Directory Sync とのパスワード同期を行います。

発行: 2014年10月

重要

このトピックは間もなくアーカイブされます。
AADSync と DirSync に換わって、「Azure Active Directory Connect」と呼ばれる新しい製品が使用されるようになります。
Azure AD Connect には、Dirsync と AAD Sync としてリリースされていたコンポーネントと機能が組み込まれます。
将来的には、Dirsync と AAD Sync のサポートが終了します。
機能強化があった場合も、これらのツールが個別に更新されることはありません。今後の機能強化はすべて、Azure AD Connect の更新プログラムに含まれることになります。

Azure Active Directory Connect の最新情報については、「オンプレミス ID と Azure Active Directory の統合」をご覧ください。

パスワード同期により、ユーザーは、オンプレミス Active Directory にログオンするときと同じパスワードを使用して Azure Active Directory にログオンできるようになります。

このトピックでは、パスワード同期のしくみを理解するために必要な情報および環境でパスワード同期を有効にする方法について説明します。

パスワード同期とは

パスワード同期は Azure Active Directory Synchronization Service (Azure AD Sync) の機能であり、オンプレミス Active Directory のユーザー パスワードと Azure Active Directory ("Azure AD") を同期します。この機能を使用すると、ユーザーは、オンプレミス ネットワークにログインするときと同じパスワードを使用して、Azure Active Directory のサービス (Office 365、Microsoft Intune、CRM Online など) にログインできます。パスワード同期ベースの処理では、トークンの共有や交換がないので、この機能ではシングル サインオン (SSO) ソリューションは提供されないことに注意することが重要です。

注意

FIPS およびパスワード同期に対して構成されている Active Directory ドメイン サービスの詳細については、「Password Sync failing in FIPS-compliant systems (FIPS 準拠システムでパスワード同期が失敗する)」を参照してください。

パスワード同期の可用性

Azure Active Directory のユーザーはすべてパスワード同期を実行できます。パスワード同期とフェデレーション認証などの他の機能との互換性については、以下を参照してください。

パスワード同期を有効にするには、Azure AD Sync の 10 月以降のバージョンを使用する必要があります (このバージョンは、.exe インストーラーのダウンロードで使用できます)。Azure AD Sync の最新バージョンは、このリンクからダウンロードできます。

パスワード同期のしくみ

パスワード同期は、Directory Sync ツールによって実装されるディレクトリ同期機能に対する拡張機能です。そのため、この機能が動作するためには、オンプレミスと Azure Active Directory の間にディレクトリ同期が構成されている必要があります。

Active Directory ドメイン サービスは、実際のユーザー パスワードをハッシュ値表現の形式で格納します。パスワードのハッシュを使用してオンプレミス ネットワークにログインすることはできません。また、設計上、ユーザーのプレーンテキスト パスワードにアクセスするように元に戻すことはできません。パスワードを同期するには、Azure AD Sync でオンプレミスの Active Directory のパスワード ハッシュを抽出します。Azure Active Directory 認証サービスに同期される前に、パスワード ハッシュには、追加のセキュリティ処理が行われす。パスワード同期処理の実際のデータ フローは、表示名や電子メール アドレスなどのユーザー データの同期と似ています。

パスワードは、他の属性に対する標準のディレクトリ同期ウィンドウよりも頻繁に同期されます。パスワードは、ユーザーごとに同期され、通常は時間順に同期されます。ユーザーのパスワードがオンプレミス AD からクラウドに対して同期されるとき、既存のクラウド パスワードは上書きされます。

パスワード同期機能を初めて有効にすると、ツールはパスワードの初期同期を実行し、スコープ内のすべてのユーザーのパスワードをオンプレミス Active Directory から Azure Active Directory に同期します。パスワードをクラウドに同期するユーザーのセットを明示的に定義することはできません。その後は、オンプレミス ユーザーがパスワードを変更すると、パスワード同期機能は、ほとんどの場合は数分以内に、それを検出して変更されたパスワードを同期します。パスワードの同期が失敗すると、パスワード同期機能は自動的に再試行します。パスワード同期の試行中にエラーが発生した場合、イベント ビューアーにエラーが表示されます。

パスワードの同期によって、現在ログオン中のユーザーが影響を受けることはありません。クラウド サービスにログインしているユーザーがオンプレミスのパスワードを変更した場合でも、クラウド サービスのセッションは中断せずに続けられます。ただし、クラウド サービスでユーザーの再認証が必要になったときは、すぐに新しいパスワードを提供する必要があります。この時点で、ユーザーは新しいパスワード、つまりその前にオンプレミス Active Directory からクラウドに同期されたパスワードを提供する必要があります。

セキュリティに関する考慮事項

パスワードを同期するとき、ユーザーのプレーンテキスト バージョンのパスワードは、パスワード同期機能にも、Azure AD または関連するどのサービスにも、公開されません。

また、オンプレミス Active Directory でパスワードを可逆的に暗号化された形式で保存する必要はありません。Windows Active Directory パスワード ハッシュのダイジェストが、オンプレミス AD と Azure Active Directory の間の伝送に使用されます。パスワード ハッシュのダイジェストを使用して、ユーザーのオンプレミス環境のリソースにアクセスすることはできません

パスワード ポリシーの考慮事項

パスワード同期を有効にすることによって影響を受ける 2 種類のパスワード ポリシーがあります。

  1. パスワードの複雑さのポリシー

  2. パスワードの有効期限のポリシー

パスワードの複雑さのポリシー

パスワード同期を有効にすると、オンプレミス Active Directory で構成されているパスワードの複雑性のポリシーにより、同期されるユーザーに対してクラウドで定義されている複雑性のポリシーが上書きされます。つまり、ユーザーのオンプレミス Active Directory 環境において有効なパスワードは、Azure AD サービスのアクセスに使用できます。

注意

クラウド内で直接作成されたユーザーのパスワードには、引き続きクラウドで定義されているパスワード ポリシーが適用されます。

パスワードの有効期限のポリシー

ユーザーがパスワード同期の範囲内にいる場合、クラウド アカウントのパスワードは "期限なし" に設定されます。つまり、オンプレミス環境でユーザーのパスワードの期限が切れても、クラウド サービスにはその期限切れパスワードを使用して引き続きログインできる可能性があります。

クラウドのパスワードは、次にユーザーがオンプレミス環境でパスワードを変更したときに更新されます。

同期されたパスワードの上書き

管理者は、Azure Active Directory PowerShell を使用して手動でユーザーのパスワードをリセットできます。

この場合、新しいパスワードによってユーザーの同期されたパスワードは上書きされ、クラウドで定義されているすべてのパスワード ポリシーが新しいパスワードに適用されます。

ユーザーがオンプレミスのパスワードを再び変更した場合、新しいパスワードはクラウドに同期されて、手動で更新したパスワードを上書きします。

パスワード同期の準備

Azure Active Directory テナントのパスワード同期を有効にするには、先にディレクトリ同期を有効にする必要があります。

パスワード同期の有効化

Azure AD Sync 構成ウィザードを実行するときに、パスワード同期を有効にします。

[オプション機能] ダイアログ ページで、[パスワード同期] チェック ボックスをオンにします。

オプションの機能

注意

このプロセスにより完全同期がトリガーされます。通常、完全同期サイクルの完了には他の同期サイクルより時間がかかります。

パスワード同期の管理

Azure AD Sync を実行しているコンピューターのイベント ログを使用して、パスワード同期の進行状況を監視できます。

パスワード同期のステータスの特定

以下の条件に一致するイベントを調べることによって、パスワードの同期に成功したユーザーを特定できます。

Source イベント ID

ディレクトリ同期

656

ディレクトリ同期

657

ID 656 のイベントは、処理されたパスワード変更要求のレポートを提供します。

イベント ID 656

ID 657 に対応するイベントは、これらの要求の結果を提供します。

イベント ID 657

イベントでは、影響を受けたオブジェクトがアンカーおよび DN の値によって示されます。アンカーの値は、Get-MsoUser コマンドレットによってユーザーに返される ImmutableId の値に対応します。

オブジェクト ID に加えて、イベント ID 656 は、ユーザーのパスワードがオンプレミス Active Directory で変更された日付を提供します。

パスワード変更リクエスト

イベント ID 657 には、ソース オブジェクト ID に加えて、そのユーザー オブジェクトの同期ステータスを示す Result フィールドがあります。

パスワードの同期が正常に行われたことは、イベント ID 657 のイベントで Result 属性の値が Success に設定されていることによってわかります。パスワード同期の試行が失敗した場合、Result 属性の値は Failure になります。

パスワード変更結果

パスワード同期の無効化

パスワード同期を無効にするには、Azure AD Sync 構成ウィザードを再び実行します。

ウィザードで指定を求められたら、[パスワード同期] チェック ボックスをオフにします。

注意

このプロセスにより完全同期がトリガーされます。通常、完全同期サイクルの完了には他の同期サイクルより時間がかかります。

構成ウィザードを実行した後、テナントはパスワードを同期しなくなります。パスワードを新しく変更しても、クラウドには同期されません。それまでパスワードを同期していたユーザーは、クラウドにおいてパスワードを手動で変更するまで、同期されたパスワードで引き続きログインできます。

関連項目

概念

Azure Active Directory Sync

その他のリソース

Azure AD Sync リリース ノート