チュートリアル: Microsoft Entra セルフサービス パスワード リセットのオンプレミス環境へのライトバックを有効にする

Microsoft Entra のセルフサービス パスワード リセット (SSPR) を使用すると、ユーザーは Web ブラウザーを使用して自分のパスワードを更新したり、自分のアカウントのロックを解除したりできます。 Microsoft Entra ID で SSPR を有効にして構成する方法については、このビデオをお勧めします。 Microsoft Entra ID がオンプレミスの Active Directory Domain Services (AD DS) 環境に接続されているハイブリッド環境では、このシナリオにより、パスワードが 2 つのディレクトリ間で異なる場合があります。

パスワード ライトバックを使用すると、Microsoft Entra でのパスワード変更をオンプレミスの AD DS 環境に同期することができます。 Microsoft Entra Connect には、これらのパスワード変更を Microsoft Entra ID から既存のオンプレミス ディレクトリに送信するための安全なメカニズムが用意されています。

このチュートリアルでは、以下の内容を学習します。

前提条件

このチュートリアルを完了するには、以下のリソースと特権が必要です。

• Microsoft Entra ID P1 以上か試用版のライセンスが有効になっている稼働中の Microsoft Entra テナント。
  • 必要に応じて、 無料で作成します。
  • 詳細については、「 Microsoft Entra SSPR のライセンス要件」を参照してください。
• ハイブリッド ID 管理者を持つアカウント。
• セルフサービス パスワード リセット用に構成された Microsoft Entra ID。
  • 必要に応じて、 前のチュートリアルを完了して Microsoft Entra SSPR を有効にします。
• Microsoft Entra Connect の現在のバージョンを使って構成された既存のオンプレミスの AD DS 環境。
  • 必要に応じて、 Express またはカスタム設定を使用して Microsoft Entra Connect を 構成します。
  • パスワード ライトバックを使用するために、ドメイン コントローラーはサポートされている任意のバージョンの Windows Server を実行できます。

Microsoft Entra Connect のアカウントのアクセス許可を構成する

Microsoft Entra Connect を使用すると、オンプレミスの AD DS 環境と Microsoft Entra ID の間でユーザー、グループ、資格情報を同期できます。 通常は、オンプレミスの AD DS ドメインに参加している Windows Server 2016 以降のコンピューターに Microsoft Entra をインストールします。

SSPR のライトバックを正しく操作するには、Microsoft Entra Connect で指定されたアカウントに適切なアクセス許可とオプションが設定されている必要があります。 現在使用中のアカウントがわからない場合は、Microsoft Entra Connect を開き、[ 現在の構成の表示 ] オプションを選択します。 アクセス許可を追加する必要があるアカウントは、[ 同期されたディレクトリ] の下に一覧表示されます。 このアカウントには、次のアクセス許可とオプションを設定する必要があります。

• パスワードのリセット
• パスワードの変更
• アクセス許可の書き込みlockoutTime
• アクセス許可の書き込みpwdLastSet
• フォレスト内の各ドメインのルート オブジェクトに対する "Unexpire Password" の拡張権限 (まだ設定されていない場合)。

これらのアクセス許可を割り当てないと、ライトバックが正しく構成されているように見えても、ユーザーがクラウドからオンプレミスのパスワードを管理するときにエラーが発生することがあります。 Active Directory で "Unexpire Password" パーミッションを設定する際には、このオブジェクトとすべての子孫オブジェクト、このオブジェクトのみ、または すべての子孫オブジェクト のいずれかに適用しなければ、"Unexpire Password" パーミッションは表示されません。

パスワード ライトバックを行うための適切なアクセス許可を設定するには、以下の手順を完了します。

1. オンプレミスの AD DS 環境で、適切なドメイン管理者アクセス許可を持つアカウントで Active Directory ユーザーとコンピューターを開きます。
2. [ 表示 ] メニューで、[ 高度な機能 ] がオンになっていることを確認します。
3. 左側のパネルで、ドメインのルートを表すオブジェクトを右クリックし、 プロパティ>Security>Advanced を選択します。
4. [ アクセス許可 ] タブで、[ 追加] を選択します。
5. [プリンシパル] で、アクセス許可を適用する必要があるアカウント (Microsoft Entra Connect で使用されるアカウント) を選択します。
6. [ 適用対象 ] ドロップダウン リストで、[ 子孫ユーザー オブジェクト] を選択します。
7. [ アクセス許可] で、次のオプションのボックスを選択します。
   • パスワードのリセット
8. [ プロパティ] で、次のオプションのボックスを選択します。 これらのオプションを見つけるには、リストをスクロールします。これらは、既定で設定されている場合があります。

• lockoutTimeを書き込み

• pwdLastSet の書き込み

  

1. 準備ができたら、[ 適用] または [OK] を 選択して変更を適用します。
2. [ アクセス許可 ] タブで、[ 追加] を選択します。
3. [プリンシパル] で、アクセス許可を適用する必要があるアカウント (Microsoft Entra Connect で使用されるアカウント) を選択します。
4. [適用対象] ドロップダウン リストで、[このオブジェクトとすべての子孫オブジェクト] を選択します。
5. [ アクセス許可] で、次のオプションのボックスを選択します。
   • 無期限パスワード
6. 準備ができたら、[ 適用] または [OK] を 選択して変更を適用し、開いているダイアログ ボックスをすべて終了します。

アクセス許可を更新すると、ディレクトリ内のすべてのオブジェクトにこれらのアクセス許可がレプリケートされるまで最大で 1 時間以上かかる場合があります。

オンプレミスの AD DS 環境のパスワード ポリシーによって、パスワードのリセットが正しく処理されない場合があります。 パスワード ライトバックを最も効率的に機能させるには、パスワードの 最小有効期間 のグループ ポリシーを 0 に設定する必要があります。 この設定は、[ コンピューターの構成 > ポリシー] > [Windows の設定] > [セキュリティ設定] > [アカウント ポリシー ] の gpmc.mscにあります。

グループ ポリシーを更新する場合は、更新されたポリシーがレプリケートされるまで待つか、gpupdate /force コマンドを使用します。

Microsoft Entra Connect でパスワード ライトバックを有効にする

Microsoft Entra Connect の構成オプションの 1 つはパスワード ライトバック用です。 このオプションが有効になっていると、パスワード変更イベントにより、Microsoft Entra Connect は更新された資格情報をオンプレミスの AD DS 環境に同期します。

SSPR のライトバックを有効にするには、まず、Microsoft Entra Connect でライトバック オプションを有効にします。 Microsoft Entra Connect サーバーから、次の手順を実行します。

1. Microsoft Entra Connect サーバーにサインインし、 Microsoft Entra Connect 構成ウィザードを開始します。
2. [ ようこそ ] ページで、[ 構成] を選択します。
3. [ その他のタスク ] ページで、[ 同期オプションのカスタマイズ] を選択し、[ 次へ] を選択します。
4. [ Microsoft Entra ID への接続 ] ページで、Azure テナントのハイブリッド管理者の資格情報を入力し、[ 次へ] を選択します。
5. [ ディレクトリの接続 ] ページと [ドメイン/OU フィルター] ページで、[ 次へ] を選択します。
6. [ オプション機能 ] ページで、[ パスワード ライトバック ] の横にあるボックスを選択し、[ 次へ] を選択します。
7. [ ディレクトリ拡張機能 ] ページで、[ 次へ] を選択します。
8. [ 構成の準備完了 ] ページで、[ 構成 ] を選択し、プロセスが完了するまで待ちます。
9. 構成が完了したら、[終了] を選択 します。

SSPR のパスワード ライトバックを有効にする

Microsoft Entra Connect でパスワード ライトバックが有効になっているので、書き戻し用に Microsoft Entra SSPR を構成します。 SSPR を構成して、Microsoft Entra Connect 同期エージェントと Microsoft Entra Connect プロビジョニング エージェントを介して書き戻すように構成できます (クラウド同期)。 SSPR でパスワード ライトバックを使用できるようにすると、自分のパスワードを変更またはリセットするユーザーは、その更新したパスワードがオンプレミスの AD DS 環境にも同期されるようになります。

SSPR でパスワード ライトバックを有効にするには、次の手順を実行します。

1. Microsoft Entra 管理センターにグローバル管理者としてサインインします。
2. Entra ID>Password reset に移動し、[オンプレミス統合] を選択します。
3. [パスワードをオンプレミス ディレクトリに書き戻す] オプションをオンにします。
4. (省略可能)Microsoft Entra Connect プロビジョニング エージェントが検出された場合は、 Microsoft Entra Connect クラウド同期を使用してパスワードを書き戻すオプションも確認できます。
5. [ユーザーがパスワードを [はい] にリセットせずにアカウントのロックを解除できるようにするオプションをオンにします。
6. 準備ができたら、[ 保存] を選択します。

リソースをクリーンアップする

このチュートリアルの一環として構成した SSPR のライトバック機能をもう使用しない場合は、次の手順を実行します。

1. Microsoft Entra 管理センターにグローバル管理者としてサインインします。
2. Entra ID>Password reset に移動し、[オンプレミス統合] を選択します。
3. [パスワードをオンプレミス のディレクトリに書き戻す] オプションをオフにします。
4. Microsoft Entra Connect クラウド同期を使用してパスワードを書き戻すオプションをオフにします。
5. [ ユーザーがパスワードをリセットせずにアカウントのロックを解除できるようにする] オプションをオフにします。
6. 準備ができたら、[ 保存] を選択します。

SSPR ライトバック機能に Microsoft Entra Connect クラウド同期を使用しなくなった場合に、ライトバックに Microsoft Entra Connect 同期エージェントを引き続き使用するには、次の手順を実行します。

1. Microsoft Entra 管理センターにグローバル管理者としてサインインします。
2. Entra ID>Password reset に移動し、[オンプレミス統合] を選択します。
3. Microsoft Entra Connect クラウド同期を使用してパスワードを書き戻すオプションをオフにします。
4. 準備ができたら、[ 保存] を選択します。

パスワード機能を使用する必要がなくなった場合は、Microsoft Entra Connect サーバーから次の手順を実行します。

1. Microsoft Entra Connect サーバーにサインインし、 Microsoft Entra Connect 構成ウィザードを開始します。
2. [ ようこそ ] ページで、[ 構成] を選択します。
3. [ その他のタスク ] ページで、[ 同期オプションのカスタマイズ] を選択し、[ 次へ] を選択します。
4. [ Microsoft Entra ID への接続 ] ページで、ハイブリッド管理者の資格情報を入力し、[ 次へ] を選択します。
5. [ ディレクトリの接続 ] ページと [ドメイン/OU フィルター] ページで、[ 次へ] を選択します。
6. [ オプション機能 ] ページで、[ パスワード ライトバック ] の横にあるボックスの選択を解除し、[ 次へ] を選択します。
7. [ 構成の準備完了 ] ページで、[ 構成 ] を選択し、プロセスが完了するまで待ちます。
8. 構成が完了したら、[終了] を選択 します。

次のステップ

このチュートリアルでは、オンプレミスの AD DS 環境に対する Microsoft Entra SSPR のライトバックを有効にしました。 以下の方法を学習しました。