もっと詳しく

通常、オンプレミスのインフラストラクチャは、組織のディレクトリ サービスがクラウド (特に Azure Active Directory) に移行しても残ります。 この共存はハイブリッド セットアップと呼ばれ、オンプレミスで実行する必要があるタスクとクラウドで実行する必要があるタスクがあるため、エンド ユーザーを混乱させることがよくあります。

一例として、パスワードのリセットまたは変更があります。 一部の組織では、オンプレミスの AD でパスワードを変更する必要があります。 ユーザーが Azure AD で自分のパスワードをリセットしようとすると、エラーが発生し、サービス デスクへの問い合わせやユーザー エクスペリエンスの低下につながります。

正しい動きは何ですか? Azure AD とハイブリッド Active Directory インフラストラクチャでパスワード ライトバックを有効にする必要があります。 乞うご期待; このチュートリアルでは、パスワード ライトバックを有効にする方法を順を追って説明します。

前提条件

このチュートリアルは実践的なデモンストレーションです。 フォローしたい場合は、次のものが揃っていることを確認してください。

  • 最新の Azure AD Connect で既に構成されているオンプレミスの Active Directory 環境 – このチュートリアルでは、Azure AD Connect 2.1.15.0 を備えた Windows Server 2019 データセンターを使用します。

関連している:Azure AD Connect を使用して Azure AD を Office 365 に接続する方法

  • セルフサービス パスワード リセット機能は、Azure AD テナントで既に有効になっています。

関連している:Office 365 のセルフサービス パスワード リセット [Complete Guide]

パスワード ライトバック サポートの確認

パスワード ライトバックを有効にする前に、必要な条件がすべて満たされていることを確認する必要があります。 すべての Azure AD テナントがオンプレミス AD へのパスワード ライトバックをサポートしているわけではありません。 次のセクションに従って、パスワード ライトバックの適格性とサポートを確認します。

パスワード ライトバックを有効にする主な条件は、Azure AD Premium ライセンスです。

Azure AD P1 または P2 ライセンスを持っているかどうかを確認するには:

1. お気に入りの Web ブラウザーを開き、 Azure Active Directory 管理センター.

2. 次に、[Azure Active Directory]​​→[概要]ブレードをクリックします。

下のスクリーンショットのように、Azure AD Premium P1 または Azure AD Premium P2 が表示されます。

関連している:Azure AD Premium P1 と P2: どちらを選ぶべきか?

3. または、管理者として PowerShell を開き、 Connect-AzureAD 以下のコマンドを実行して、最初に Azure Active Directory に接続します。

関連している:PowerShell を管理者として実行する方法を確認する

4. ここで、次のコマンドのいずれかを実行して、テナントの Azure AD Premium ライセンスを一覧表示します。

(Get-AzureADSubscribedSku).ServicePlans | Where-Object {$_.ServicePlanName -like "AAD_PREMIUM*"}
(Get-AzureADTenantDetail).AssignedPlans | Where-Object {$_.Service -eq 'AADPremiumService'}

Azure AD Premium のライセンス情報を次の表に示します。

サービスプランID ライセンス名 取得-AzureADSubscribedSku 取得 AzureADTenantDetail
41781fb2-bc02-4b7c-bd55-b576c07bb09d Azure AD プレミアム P1 AAD_プレミアム AADプレミアムサービス
eec0eb4f-6444-4f95-aba0-50c24d67f998 Azure AD プレミアム P1 AAD_PREMIUM_P2 AADプレミアムサービス

以下のスクリーンショットは、このテナントが Azure AD Premium P2 ライセンスを持っていることを確認しています。

AAD PowerShell からの Azure AD Premium ライセンスの確認
AAD PowerShell からの Azure AD Premium ライセンスの確認

Azure AD Connect オンプレミス ディレクトリ アカウントの検索

Azure AD Connect をインストールして構成すると、インストール プロセスによってフォレスト ログイン アカウントが自動的に作成されます。 このアカウントには、パスワード ライトバックが正しく機能するための特定のアクセス許可が必要です。

現在の Azure AD Connect ドメイン ログイン アカウントがわからない場合:

管理者として PowerShell を開き、以下のコマンドを実行して以下を実行します。

  • IImport (インポート モジュール) AdSyncConfig モジュール。 このモジュールは、次の場所にある Azure AD Connect に含まれています。 C:Program FilesMicrosoft Azure Active Directory ConnectAdSyncConfigAdSyncConfig.psm1.
Import-Module 'C:Program FilesMicrosoft Azure Active Directory ConnectAdSyncConfigAdSyncConfig.psm1'
Get-ADSyncADConnectorAccount

次の結果が得られます。 ADConnectorアカウント名 プロパティには、Azure AD コネクタ アカウント名が含まれています。

Azure AD コネクタ アカウント名の取得
Azure AD コネクタ アカウント名の取得

パスワード ライトバック アクセス許可の構成

Azure AD コネクタ アカウントには、オンプレミスの Active Directory ドメインに対する次のアクセス許可が必要です。

  • パスワードを再設定する
  • lockoutTime の書き込み
  • pwdLastSet の書き込み
  • パスワードの有効期限を解除する フォレスト内の各ドメイン ルート。

幸いなことに、これらのアクセス許可を手動で設定する必要はありません。 AdSyncConfig モジュールには、というコマンドレットが含まれています。 セット-ADSyncPasswordWritebackPermissions これにより、必要なすべての権限が便利に設定されます。

パスワード ライトバック アクセス許可を設定するには、PowerShell で次のコマンドを実行します。 必ず交換してください ADConnectorAccountNameADConnectorAccountDomain あなたの価値観。

Set-ADSyncPasswordWritebackPermissions `
    -ADConnectorAccountName MSOL_27c8dae74e08 `
    -ADConnectorAccountDomain LAZYEXCHANGEADMIN.CYOU `
    -Confirm:$false

コマンドがすぐに終了するのを待つと、以下に示すような確認メッセージが表示されます。

パスワード ライトバック アクセス許可の設定
パスワード ライトバック アクセス許可の設定

Azure AD Connect でパスワード ライトバックを有効にする

これで、Azure AD テナントのパスワード ライトバックの適格性と構成されたパスワード ライトバック アクセス許可を確認できました。 しかし、それだけですか? まあ、十分に近くありません。 次の手順では、Azure AD Connect でパスワード ライトバックを有効にします。

1. サーバーで Azure AD Connect を開きます。

Azure AD コネクトを開く
Azure AD コネクトを開く

2.[Azure AD Connect へようこそ]ページで、[構成]をクリックします。

ようこそページをスキップする
ようこそページをスキップする

3.[追加タスク]ページで、[同期オプションのカスタマイズ]→[次へ]をクリックします。

同期のカスタマイズの選択
同期のカスタマイズの選択

4.[Azure AD への接続]ページで、グローバル管理者またはハイブリッド ID 管理者の資格情報を入力し、[次へ]をクリックします。

Azure AD 資格情報の提供
Azure AD 資格情報の提供

5.[ディレクトリを接続]ページでは何も変更せず、[次へ]をクリックします。

オンプレミスのディレクトリ情報をそのまま保持
オンプレミスのディレクトリ情報をそのまま保持

6.[ドメインと OU のフィルタリング]ページのデフォルトをそのままにして、すべてのドメインと OU と同期し、[次へ]をクリックします。

ドメインと OU のフィルタリング設定をデフォルトのままにする
ドメインと OU のフィルタリング設定をデフォルトのままにする

7.[オプション機能]ページで、パスワード ライトバックを有効にしているため、[パスワード ライトバック]機能にチェックマークを付け、[次へ]をクリックします。

パスワード ライトバック機能の有効化
パスワード ライトバック機能の有効化

8.[同期プロセスの開始]ボックスをオンのままにし、[構成]をクリックして、構成が完了したらすぐに同期を開始します。

Azure AD Connect 構成の完成
Azure AD Connect 構成の完成

以下に示すように、構成によりパスワード ライトバック機能が有効になります。

構成ステータスの表示
構成ステータスの表示

9. 最後に、構成が完了するのを待ち、[終了]をクリックして Azure AD Connect を閉じます。

Azure AD コネクトを閉じる
Azure AD コネクトを閉じる

Azure Active Directory でパスワード ライトバックを有効にする

Azure AD Connect でパスワード ライトバックを有効にしましたが、Azure Active Directory でもパスワード ライトバックが有効になっていることを確認する必要があります。

開く Azure Active Directory 管理センター あなたのウェブブラウザで。

次に、次のようにパスワード ライトバックを有効にします。

  • クリック Azure アクティブ ディレクトリパスワードのリセットオンプレミス統合.
  • [パスワードをオンプレミス ディレクトリに書き戻す]と[ユーザーがパスワードをリセットせずにアカウントのロックを解除できるようにする]オプションを有効にします。

注:[ユーザーがパスワードをリセットせずにアカウントのロックを解除できるようにする]機能は、パスワード ライトバックが機能するために必須ではありません。 この機能はオプションであり、パスワードをリセットせずにアカウントのロックを解除するオプションをユーザーに提供する場合にのみ適用されます。

  • 最後に、[保存]ボタンをクリックして変更を保存します。
Azure AD でパスワード ライトバックを有効にする
Azure AD でパスワード ライトバックを有効にする

注: この記事の執筆時点では、Azure AD でパスワード ライトバック機能を有効にする専用の PowerShell コマンドレットはありません。

パスワード ライトバックのテスト

パスワード ライトバック機能を有効にした後、ユーザー エクスペリエンスをテストして、すべてが適切な状態であることを確認する必要があります。

Azure AD のパスワード ライトバック機能を使用すると、ハイブリッド ユーザーはパスワードの変更とリセット アクションを実行できます。 以降のセクションの手順に従って、両方をテストします。

次のセクションでは、ハイブリッド/オンプレミスの同期が有効なアカウントを使用します。 [email protected] Azure AD にログインします。

Azure AD でのハイブリッド ユーザー アカウントの表示
Azure AD でのハイブリッド ユーザー アカウントの表示

パスワードの変更

パスワード変更の実行は、古いパスワードを知っていて変更したいユーザー向けです。

1. に移動します マイアカウント Web ブラウザーのページ。

2. 管理者以外のハイブリッド ユーザー アカウントを使用してログインします。

ハイブリッド ユーザーとしてサインインする
ハイブリッド ユーザーとしてサインインする

3.[マイ アカウント]ページで、 パスワードを変更する リンクをクリックして、アカウントのパスワードの変更を開始します。

パスワードの変更リンクをクリックします
パスワードの変更リンクをクリックします

4. ここで、古いパスワード フィールドに古いパスワードを入力し、新しいパスワードの作成フィールドと新しいパスワードの確認フィールドに新しいパスワードを入力します。

新しいパスワードに問題がなければ、[送信]をクリックして、アカウントのパスワードを変更します。

新しいパスワードの作成
新しいパスワードの作成

Azure AD はパスワードを書き戻すため、新しいパスワードはオンプレミス AD のパスワード要件ポリシーの対象となります。

新しいパスワードが受け入れられない場合、以下のエラーが表示されます。

パスワードの変更中にエラーが発生する
パスワードの変更中にエラーが発生する

パスワードのリセット

一方、パスワードのリセット アクションでは、古いパスワードは必要ありません。 このアクションは、パスワードを忘れた場合やアカウントがロックされている場合に最適です。

注: Azure AD でセルフサービス パスワード リセットを使用してパスワードをリセットすると、ユーザー アカウントのロックが自動的に解除されます。

1. Web ブラウザを開き、 セルフサービス パスワード リセット ページ。

2. ユーザー名とキャプチャ コードを入力し、[次へ]をクリックします。

ユーザー アカウントの入力
ユーザー アカウントの入力

3. アカウントに戻るためのオプションのいずれかを選択します。

  • パスワードを忘れた – このオプションを使用すると、パスワードをリセットできます
  • パスワードはわかっていますが、サインインできません – このオプションは、パスワードをリセットする代わりに、アカウントのロックを解除します。

この例では、[パスワードを忘れました]オプションを選択し、[次へ]をクリックしてパスワードのリセットを開始します。

パスワードのリセットを開始しています
パスワードのリセットを開始しています

4. 次に、検証方法の情報を指定します。 確認方法は、ユーザーがセルフサービス パスワード リセットを最初に有効にしたときに登録したものです。

この例では、確認方法はテキスト メッセージ経由です。

アカウントの確認方法を選択する
アカウントの確認方法を選択する

5. 電話に送信された確認コードを探し、下の空のフィールドにコードを入力して、[次へ]をクリックします。

確認コードが有効な場合、ブラウザは新しいパスワードを設定できるページにリダイレクトされます。

検証チャレンジを完了する
検証チャレンジを完了する

6. 最後に、両方のフィールドに新しいパスワードを入力し、[完了]をクリックしてパスワードのリセットを完了します。

新しいパスワードの入力
新しいパスワードの入力

パスワードのリセットが成功すると、次のような確認メッセージが表示されます。

パスワードのリセットが成功したことを確認する
パスワードのリセットが成功したことを確認する

パスワード変更アクションと同様に、パスワードのリセットもオンプレミス AD のパスワード ポリシーに従います。

結論

ハイブリッド環境でパスワード ライトバックを有効にすることは、オンプレミスの AD と Azure AD の間でパスワードの同期を維持するための重要なステップです。 このチュートリアルでは、ユーザーが Office 365 で直接パスワードを変更またはリセットしたり、アカウントのロックを解除したりする方法について説明しました。

この作業は、最初は大変かもしれません。 ただし、このチュートリアルで示したように、パスワード ライトバックの実装は複雑ではありません。 要件を満たしている限り、パスワード ライトバックを有効にするのは簡単です。

The post Microsoft Azure AD 同期パスワード ライトバックとの同期を維持する appeared first on Gamingsym Japan.