“パススルー認証”と”パスワードハッシュの同期の有効化”の併用

 

はじめに

Azure AD Connectのユーザーサインインのパススルー認証とは、Azure ADでサインインを行うと認証用エージェントを介してオンプレミスAD側で認証を行う方式です。

認証を行う先がオンプレミスADになるため、オンプレミスADのパスワード有効期限をクラウド側にも適用することが可能となります。

 

比較検討されることの多いパスワードハッシュ同期方式では、Azure AD側にパスワード情報を同期しAzure ADで認証を行うため、オンプレミスADと連携が取れない場合でも問題なくサインインを行うことができます。

しかしパススルー認証方式では、オンプレミスAD側と連携が取れなくなってしまうとAzure AD側の認証も行うことができません。

そのため、マイクロソフト社は連携を行う認証用エージェントを3台以上構築することを推奨しています。

 

しかし、そもそもオンプレミスADで認証が行えなくなってしまった場合はどうすればいいのでしょうか。

障害等でオンプレミスADが使用できなくなってしまったとき、Azure ADで認証を行うクラウドアプリケーションも使用できなくなってしまうことが懸念されます。

 

パスワードハッシュの同期の有効化

そこで有効なのが、パススルー認証” + “パスワードハッシュの同期の有効化です。

通常のサインインはパススルー認証となりますのでオンプレミスADで認証を行いますが、パスワードハッシュの同期を有効化しておくことでAzure AD Connectのディレクトリ同期の際にパスワード情報も同期しておくことができます。

そしていざという時はディレクトリ同期を解除し、既にオンプレミスADから同期されたユーザーをクラウドユーザーとして使用することが可能となります。。

以下の手順に示す通り、あらかじめ設定しておけばディレクトリ同期の解除はコマンドを実行するだけという簡単な手順のため、障害時等でも早急にクラウド利用を復活させることができます。

 

パスワードハッシュの同期の有効化手順

1.”Azure AD Connect”を開き、[構成]をクリックします。

 

 

2.[同期オプションのカスタマイズ]を選択し、[次へ]をクリックします。

 

 

3.Azure ADのグローバル管理者の[ユーザー名][パスワード]を入力し、[次へ]をクリックします。

 

 

4.[次へ]をクリックします。

 

 

5.[次へ]をクリックします。

 

 

6.[パスワードハッシュの同期]を選択し、[次へ]をクリックします。

 

 

7.[構成]をクリックします。

 

 

 

ディレクトリ解除手順

1.”Windows Powershell”を管理者権限で開きます。

 

2.[Install-Module -Name MSOnline]を実行します。

 

[Connect-Msolservice]を実行します。

 

.サインイン画面が開くので、Azure ADのグローバル管理者の[ユーザー名]を入力し、[次へ]をクリックします。

 

Azure ADのグローバル管理者の[パスワード]を入力し、[次へ]をクリックします。

 

[Set-MsolDirSyncEnabled -EnableDirSync $false]を実行します。

 

[Get-MsolCompanyInformation | Select-Object DirectorySynchronizationEnabled]を実行し、結果が[False]になっていれば完了です。

 

ディレクトリ同期を解除することでユーザーの同期の種類[Active Directory]から[クラウド内]へ変わります。

 

 

 

(参考)ディレクトリ同期を再開する場合には[Set-MsolDirSyncEnabled -EnableDirSync $true]を実行します。

 

以上です。

 

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、弊社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。