この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

 

はじめに

Azure AD Connectのユーザーサインインの”パススルー認証”とは、Azure ADでサインインを行うと認証用エージェントを介してオンプレミスAD側で認証を行う方式です。

認証を行う先がオンプレミスADになるため、オンプレミスADのパスワード有効期限をクラウド側にも適用することが可能となります。

 

比較検討されることの多い”パスワードハッシュ同期”方式では、Azure AD側にパスワード情報を同期しAzure ADで認証を行うため、オンプレミスADと連携が取れない場合でも問題なくサインインを行うことができます。

しかし”パススルー認証”方式では、オンプレミスAD側と連携が取れなくなってしまうとAzure AD側の認証も行うことができません。

そのため、マイクロソフト社は連携を行う認証用エージェントを3台以上構築することを推奨しています。

 

しかし、そもそもオンプレミスADで認証が行えなくなってしまった場合はどうすればいいのでしょうか。

障害等でオンプレミスADが使用できなくなってしまったとき、Azure ADで認証を行うクラウドアプリケーションも使用できなくなってしまうことが懸念されます。

 

“パスワードハッシュの同期”の有効化

そこで有効なのが、”パススルー認証” + “パスワードハッシュの同期の有効化”です。

通常のサインインはパススルー認証となりますのでオンプレミスADで認証を行いますが、パスワードハッシュの同期を有効化しておくことでAzure AD Connectのディレクトリ同期の際にパスワード情報も同期しておくことができます。

そしていざという時はディレクトリ同期を解除し、既にオンプレミスADから同期されたユーザーをクラウドユーザーとして使用することが可能となります。。

以下の手順に示す通り、あらかじめ設定しておけばディレクトリ同期の解除はコマンドを実行するだけという簡単な手順のため、障害時等でも早急にクラウド利用を復活させることができます。

 

”パスワードハッシュの同期”の有効化手順

１．”Azure AD Connect”を開き、[構成]をクリックします。

 

 

２．[同期オプションのカスタマイズ]を選択し、[次へ]をクリックします。

 

 

３．Azure ADのグローバル管理者の[ユーザー名][パスワード]を入力し、[次へ]をクリックします。

 

 

４．[次へ]をクリックします。

 

 

５．[次へ]をクリックします。

 

 

６．[パスワードハッシュの同期]を選択し、[次へ]をクリックします。

 

 

７．[構成]をクリックします。

 

 

 

ディレクトリ解除手順

１．”Windows Powershell”を管理者権限で開きます。

 

２．[Install-Module -Name MSOnline]を実行します。

 

３．[Connect-Msolservice]を実行します。

 

４．サインイン画面が開くので、Azure ADのグローバル管理者の[ユーザー名]を入力し、[次へ]をクリックします。

 

５．Azure ADのグローバル管理者の[パスワード]を入力し、[次へ]をクリックします。

 

６．[Set-MsolDirSyncEnabled -EnableDirSync $false]を実行します。

 

７．[Get-MsolCompanyInformation | Select-Object DirectorySynchronizationEnabled]を実行し、結果が[False]になっていれば完了です。

 

ディレクトリ同期を解除することでユーザーの”同期の種類”が[Active Directory]から[クラウド内]へ変わります。

 

 

 

（参考）ディレクトリ同期を再開する場合には[Set-MsolDirSyncEnabled -EnableDirSync $true]を実行します。

 

以上です。