グループウェアとしてMicrosoft 365を導入している場合、オンプレミスADのアカウントをMicrosoft Entra ID(旧Azure AD)に同期するためにMicrosoft Entra Connect(旧Azure AD Connect)を合わせて導入しているケースはよくあると思います。また、近年リモートワーク普及に伴い社外でPCを利用する機会も増えており、PCをオンプレミスADではなくMicrosoft Entra IDに参加させる機会も徐々に増えていると思います。
今回は、オンプレミスAD参加のPCで使用しているMicrosoft 365環境に対してMicrosoft Entra(旧Azure AD)参加のPCを新たに導入していくにあたり、Microsoft Entra Connectのパスワードライトバック機能を合わせて有効にする際の注意すべき事項を纏めます。
概要
Microsoft Entra ConnectとはMicrosoftのドキュメントを引用すると「Microsoft Entra Connect は、ハイブリッド ID の目標を満たして実現するように設計されたオンプレミスの Microsoft アプリケーションです。」と書かれています。簡単に言い換えますと、オンプレミスADで管理しているユーザーやグループ、デバイスなどのオブジェクトをMicrosoft Entra IDへ同期することで、Microsoft Entra ID上のオブジェクトについてもオンプレミスAD上で一括して管理を実現するツールになります。
Microsoft Entra Connectに関する詳細は以下リンクを参照ください。
冒頭にも書きましたが、リモートワーク環境を導入するにあたり、Microsoft Entra参加のPCを導入するケースはよくあることと思います。Microsoft Entra参加のPCはオンプレミスADには参加しないため、グループポリシーを適用することはできません。ユーザーアカウントのパスワードについてもMicrosoft Entra IDのパスワードポリシーが適用されます。つまり、Microsoft Entra Connect同期でユーザーアカウントを管理している場合は、Microsoft Entra Connectのパスワードライトバック機能を有効にして、Microsoft Entra ID側でパスコードが更新された場合にオンプレミスADに対して逆方向の同期をしなければいけません。
そこで、今回はMicrosoft Entra Connectのパスワードライトバック機能について検証を行った際に、個人的にハマった動作仕様に関して備忘として記載します。
Microsoft 365管理センターからパスワードリセットした場合は同期されない!!!
結論を見出しに書いてしまったのですが、Microsoft 365管理センターからユーザーのパスワードをリセットした場合、Microsoft Entra ID側のパスワードは更新されますがオンプレミスAD側は更新されません。その結果、パスワードの不整合が発生してしまい、仮にMicrosoft Entra ハイブリッド参加のPCからMicrosoft 365を使用している場合はアクセスすることが出来なくなってしまいます。また、Microsoft Entra IDの監査ログにエラーログは出力されず、気づくことも困難でした。
実際に検証した時のエビデンスを手順に沿って紹介します。
1. Microsoft Entra Connectによるパスワードライトバックの有効確認
設定箇所:Entra管理センター>保護>パスワードリセット>オンプレミスの統合
2. Microsoft 365管理センターにてユーザーパスワードをリセット
設定箇所:Microsoft 365管理センター>ユーザー>アクティブなユーザー>任意のユーザー>パスワードのリセット
3. Microsoft Entra ID監査ログを確認
4件のログが出力されているが、すべて成功したログになっており問題無いよう見えます。
4. オンプレミスADのユーザーパスワードの更新履歴を確認
Microsoft 365管理センターでは、7/14 22:00に更新したのに対してオンプレミスADのパスワード更新日時は7/7 11:22になっていることが確認できます。
5. Entra管理センターにてユーザーパスワードをリセット
設定箇所:Entra管理センター>ID>ユーザー>すべてのユーザー>任意のユーザー>パスワードのリセット
6. Microsoft Entra ID監査ログを確認
今回は5件のログが出力されているのが確認できます。
7. オンプレミスADのユーザーパスワードの更新履歴を確認
Entra管理センターで7/14 22:14に更新したのに対して、オンプレミスADのパスワード更新日時も7/14 22:14になっていることが確認できます。
また、Microsoft Entra Connectサーバのアプリケーションログにもパスワードがリセットされたログが出力されます。
上記の通り、管理者にてユーザーのパスワードを変更する場合、Microsoft 365管理センターから実施すると不整合が発生してします。そのため、Microsoft Entra Connectにてパスワードライトバック機能を有効にしている状態で管理者にてユーザーのパスワードを変更する場合は、Entra管理センターからリセット、もしくはオンプレミスADからリセットを実施するようにしましょう。
その他のパスワードライトバック機能有効時の注意事項について
Microsoft Entra Connectのパスワードライトバック機能について、サポートされない操作は他にもいくつかありMicrosoftのドキュメントに記載されています。以下にリンクを添付しますので、詳細はそちらを参照ください。
※Microsoft 365管理センターのことも書かれています。(事前に確認しておけば良かったと反省しました。。)
