次の方法で共有

Microsoft Entra ID でのセルフサービス パスワード リセット ライトバック機能のしくみ

Microsoft Entra セルフサービス パスワード リセット (SSPR) を使用すると、ユーザーはクラウドでパスワードをリセットできますが、ほとんどの企業にはユーザー向けのオンプレミスの Active Directory Domain Services (AD DS) 環境もあります。 パスワード ライトバックを使用すると、 Microsoft Entra Connect または Microsoft Entra Connect クラウド同期を使用して、クラウド内のパスワード変更をオンプレミスのディレクトリにリアルタイムで書き戻すことができます。ユーザーがクラウドで SSPR を使用してパスワードを変更またはリセットすると、更新されたパスワードもオンプレミスの AD DS 環境に書き戻されます。

Von Bedeutung

この概念記事では、セルフサービス パスワード リセット ライトバックのしくみについて管理者に説明します。 既にセルフサービス パスワード リセットの登録が済んでいて、自分のアカウントに戻る必要があるエンド ユーザーは、 https://aka.ms/sspr にアクセスしてください。

ユーザーが自分でパスワードをリセットする機能が IT チームによって有効にされていない場合は、ヘルプデスクに連絡して追加のサポートを依頼してください。

パスワード ライトバックは、次のハイブリッド ID モデルを使用する環境でサポートされています。

セキュリティ グループに対して段階的なロールアウトが有効になっている場合、オンプレミス ドメインへの書き戻しを伴う SSPR はサポートされません。 場合によっては機能しますが、段階的ロールアウトが有効になっている場合、SSPR が一貫して動作することを保証することはできません。

パスワード ライトバックには、次の機能が用意されています。

  • オンプレミス Active Directory Domain Services (AD DS) パスワード ポリシーの適用: ユーザーが自分のパスワードをリセットすると、そのディレクトリにコミットする前に、パスワードがオンプレミスの AD DS ポリシーを満たしていることを確認します。 このレビューには、履歴、複雑さ、有効期間、パスワード フィルター、AD DS で定義したその他のパスワード制限の確認が含まれます。
  • ゼロ遅延フィードバック: パスワード ライトバックは同期操作です。 パスワードがポリシーを満たしていない場合、または何らかの理由でリセットまたは変更できない場合、ユーザーは直ちに通知を受け取ります。
  • アクセス パネルと Microsoft 365 からのパスワード変更をサポートします。フェデレーション ユーザーまたはパスワード ハッシュ同期されたユーザーが期限切れまたは期限切れでないパスワードを変更すると、それらのパスワードが AD DS に書き戻されます。
  • 管理者が Microsoft Entra 管理センターからパスワード ライトバックをリセットするときにパスワード ライトバックをサポートします。管理者が Microsoft Entra 管理センターでユーザーのパスワードをリセットすると、そのユーザーがフェデレーションまたはパスワード ハッシュ同期されている場合、パスワードはオンプレミスに書き戻されます。 この機能は現在、Office 管理ポータルではサポートされていません。
  • 受信ファイアウォール規則は必要ありません。パスワード ライトバックでは、基になる通信チャネルとして Azure Service Bus リレーが使用されます。 すべての通信はポート 443 経由で送信されます。
  • Microsoft Entra Connect またはクラウド同期を使用したサイド バイ サイドのドメイン レベルの展開をサポートし、切断されたドメイン内のユーザーを含め、ニーズに応じて異なるユーザー セットをターゲットにします。

パスワード ライトバック要求を処理するオンプレミスのサービス アカウントは、保護されたグループに属するユーザーのパスワードを変更できません。 管理者はクラウドでパスワードを変更できますが、パスワード ライトバックを使用して、オンプレミス ユーザーの忘れたパスワードをリセットすることはできません。 保護されたグループの詳細については、「 AD DS の保護されたアカウントとグループ」を参照してください。

SSPR ライトバックの使用を開始するには、次のチュートリアルのいずれかまたは両方を完了します:

Microsoft Entra Connect とクラウド同期のサイド バイ サイドデプロイ

異なるドメインに Microsoft Entra Connect とクラウド同期をサイド バイ サイドで展開して、さまざまなユーザー セットをターゲットにすることができます。 これにより、会社の合併または分割のためにユーザーが切断されたドメインにいる場合にオプションを追加しながら、既存のユーザーがパスワードの変更を書き戻し続けるのに役立ちます。 Microsoft Entra Connect とクラウド同期は異なるドメインで構成できるため、あるドメインのユーザーは Microsoft Entra Connect を使用でき、別のドメインのユーザーはクラウド同期を使用できます。クラウド同期は、Microsoft Entra Connect の 1 つのインスタンスに依存しないため、可用性を高めることもできます。 2 つのデプロイ オプション間の機能の比較については、「 Microsoft Entra Connect とクラウド同期の比較」を参照してください。

パスワード ライトバックのしくみ

フェデレーション、パスワード ハッシュ同期 (または Microsoft Entra Connect 展開の場合はパススルー認証) 用に構成されたユーザー アカウントが、クラウド内のパスワードのリセットまたは変更を試みると、次のアクションが実行されます。

  1. ユーザーが持っているパスワードの種類を確認するチェックが実行されます。 パスワードがオンプレミスで管理されている場合:

    • 書き戻しサービスが稼働しているかどうかを確認するチェックが実行されます。 その場合、ユーザーは続行できます。
    • ライトバック サービスがダウンしている場合、ユーザーは自分のパスワードを今すぐリセットできないことを通知されます。

  2. 次に、ユーザーは適切な認証ゲートを渡し、[ パスワードのリセット ] ページに到達します。

  3. ユーザーが新しいパスワードを選択し、確認します。

  4. ユーザーが [送信] を選択すると、プレーンテキスト パスワードは、書き戻しのセットアップ プロセス中に作成された公開キーで暗号化されます。

  5. 暗号化されたパスワードは、HTTPS チャネル経由でテナント固有の Service Bus Relay に送信されるペイロードに含まれます (書き戻しのセットアップ プロセス中に設定されます)。 このリレーは、オンプレミスのインストールでのみ認識されるランダムに生成されたパスワードによって保護されます。

  6. メッセージがサービス バスに到達すると、パスワード リセット エンドポイントは自動的に起動し、リセット要求が保留中であることを確認します。

  7. その後、サービスはクラウド アンカー属性を使用してユーザーを検索します。 この検索を成功させるには、次の条件を満たす必要があります。

    • ユーザー オブジェクトは、AD DS コネクタ スペースに存在する必要があります。
    • ユーザー オブジェクトは、対応するメタバース (MV) オブジェクトにリンクされている必要があります。
    • ユーザー オブジェクトは、対応する Microsoft Entra コネクタ オブジェクトにリンクされている必要があります。
    • AD DS コネクタ オブジェクトから MV へのリンクには、リンクに Microsoft.InformADUserAccountEnabled.xxx 同期規則が必要です。

    呼び出しがクラウドから着信すると、同期エンジンは cloudAnchor 属性を使用して Microsoft Entra コネクタ スペース オブジェクトを検索します。 次に、MV オブジェクトへのリンクに戻り、AD DS オブジェクトへのリンクに戻ります。 同じユーザーに対して複数の AD DS オブジェクト (マルチフォレスト) が存在する可能性があるため、同期エンジンは Microsoft.InformADUserAccountEnabled.xxx リンクに依存して正しいものを選択します。

  8. ユーザー アカウントが見つかったら、適切な AD DS フォレストでパスワードを直接リセットしようとしました。

  9. パスワードの設定操作が成功すると、ユーザーは自分のパスワードが変更されたと通知されます。

    ユーザーのパスワード ハッシュがパスワード ハッシュ同期を使用して Microsoft Entra ID に同期されている場合、オンプレミスのパスワード ポリシーがクラウド パスワード ポリシーよりも弱い可能性があります。 この場合、オンプレミス ポリシーが適用されます。 このポリシーにより、パスワード ハッシュ同期またはフェデレーションを使用してシングル サインオンを提供する場合でも、オンプレミス ポリシーがクラウドに適用されます。

  10. パスワードの設定操作が失敗した場合、エラーが発生すると、ユーザーに再試行を求められます。 次の理由により、操作が失敗する可能性があります。

    • サービスが停止しました。
    • 選択したパスワードが組織のポリシーを満たしていません。
    • ローカル AD DS 環境でユーザーが見つかりません。

    エラー メッセージは、管理者の介入なしに解決を試みることができるように、ユーザーにガイダンスを提供します。

パスワード ライトバックのセキュリティ

パスワード書き戻しは、安全性の高いサービスです。 情報を確実に保護するために、次のように 4 層セキュリティ モデルが有効になります。

  • テナント固有のサービスバスリレー
    • サービスを設定すると、Microsoft がアクセスできないランダムに生成された強力なパスワードによって保護されるテナント固有の Service Bus Relay が設定されます。
  • 厳重に保護された、暗号的に強固な、パスワード暗号化キー
    • Service Bus Relay が作成されると、強力な対称キーが作成されます。このキーは、ネットワーク経由でパスワードを暗号化するために使用されます。 このキーは、ディレクトリ内の他のパスワードと同様に、クラウド内の会社のシークレット ストアにのみ存在します。これは、頻繁にロックダウンされ、監査されます。
  • 業界標準のトランスポート層セキュリティ (TLS)
    1. クラウドでパスワードのリセットまたは変更操作が行われると、プレーンテキスト パスワードは公開キーで暗号化されます。
    2. 暗号化されたパスワードは、Microsoft TLS/SSL 証明書を使用して Service Bus Relay に送信される、暗号化されたチャネル経由で送信される HTTPS メッセージに配置されます。
    3. メッセージが Service Bus に到着すると、オンプレミス のエージェントが起動し、以前に生成された強力なパスワードを使用してサービス バスに対して認証を行います。
    4. オンプレミス エージェントは、暗号化されたメッセージを取得し、秘密キーを使用して暗号化を解除します。
    5. オンプレミス エージェントは、AD DS SetPassword API を使用してパスワードの設定を試みます。 この手順により、クラウドで AD DS オンプレミスパスワード ポリシー (複雑さ、年齢、履歴、フィルターなど) を適用できます。
  • メッセージの有効期限ポリシー
    • オンプレミスのサービスが停止しているためにメッセージが Service Bus に配置されている場合はタイムアウトになり、数分後に削除されます。 メッセージのタイムアウトと削除により、セキュリティがさらに強化されます。

パスワード ライトバックの暗号化の詳細

ユーザーがパスワード リセットを送信した後、リセット要求は、オンプレミス環境に到着する前にいくつかの暗号化手順を経ます。 これらの暗号化手順により、サービスの信頼性とセキュリティを最大限に高めることができます。 これらは次のように説明されています。

  1. 2048 ビット RSA キーを使用したパスワード暗号化: ユーザーがパスワードを送信してオンプレミスに書き戻した後、送信されたパスワード自体は 2048 ビット RSA キーで暗号化されます。
  2. 256 ビット AES-GCM を使用したパッケージ レベルの暗号化: パッケージ全体、パスワード、および必要なメタデータは、AES-GCM を使用して暗号化されます (キー サイズは 256 ビット)。 この暗号化により、基になる Service Bus チャネルに直接アクセスできるユーザーがコンテンツを表示または改ざんできなくなります。
  3. すべての通信は TLS/SSL 経由で行われます。Service Bus との通信はすべて SSL/TLS チャネルで行われます。 この暗号化により、承認されていない第三者からコンテンツが保護されます。
  4. 6 か月ごとに自動キー ロールオーバー: すべてのキーが 6 か月ごとにロールオーバーされるか、パスワード ライトバックが無効になってから Microsoft Entra Connect で再度有効になるたびに、サービスのセキュリティと安全性を最大限に確保します。

パスワード ライトバックの帯域幅の使用

パスワード ライトバックは、次の状況で要求をオンプレミス エージェントに送り返すだけの低帯域幅サービスです。

  • この機能が Microsoft Entra Connect を通じて有効または無効になると、2 つのメッセージが送信されます。
  • サービスが実行されている限り、5 分ごとに 1 つのメッセージがサービス ハートビートとして送信されます。
  • 新しいパスワードが送信されるたびに、次の 2 つのメッセージが送信されます。
    • 最初のメッセージは、操作を実行する要求です。
    • 2 番目のメッセージには操作の結果が含まれており、次の状況で送信されます。
      • ユーザーのセルフサービス パスワード リセット中に新しいパスワードが送信されるたびに。
      • ユーザーのパスワード変更操作中に新しいパスワードが送信されるたびに。
      • 管理者が開始したユーザー パスワードのリセット中に新しいパスワードが送信されるたびに (Entra 管理ポータルからのみ)。

メッセージ のサイズと帯域幅に関する考慮事項

前述の各メッセージのサイズは、通常 1 KB 未満です。 極端な負荷の下でも、パスワード ライトバック サービス自体は帯域幅の 1 秒あたり数キロビットを消費しています。 各メッセージは、パスワードの更新操作で必要な場合にのみリアルタイムで送信されるため、メッセージ サイズが非常に小さいため、書き戻し機能の帯域幅の使用が小さすぎて測定可能な影響を与える可能性があります。

サポートされている書き戻し操作

パスワードは、次のすべての状況で書き戻されます。

  • サポートされているエンドユーザー操作

    • エンドユーザーが自らの意思で行う自己サービス型のパスワード変更操作。
    • エンドユーザーが行うセルフサービスによるパスワード変更操作(例: パスワードの期限切れ)。
    • エンドユーザーにより、パスワード リセット ポータルから実行されたセルフサービス パスワード リセット。

  • サポートされている管理者操作

    • 管理者による自発的なパスワード変更。
    • 管理者によるセルフサービスでの強制的なパスワード変更操作(例: パスワードの有効期限切れ)。
    • 管理者による、パスワード リセット ポータルから行われたセルフサービス パスワード リセット。
    • Microsoft Entra 管理センターから管理者が開始したエンドユーザーのパスワードのリセット。
    • 管理者が開始したエンドユーザーのパスワードリセットを Microsoft Graph API から行う。

サポートされていない書き戻し操作

パスワードは、次のどの状況でも書き戻されません。

  • サポートされていないエンドユーザー操作

    • PowerShell バージョン 1、バージョン 2、または Microsoft Graph API を使った、エンド ユーザーによるパスワードのリセット。

  • サポートされていない管理者操作

    • 管理者によって開始されたエンドユーザーのパスワードリセットは、PowerShell バージョン 1 またはバージョン 2 から行います。
    • 管理者が開始したあらゆるエンドユーザーのパスワードリセットはMicrosoft 365 管理センターから行います。
    • すべての管理者は、パスワード リセット ツールを使用して自身のパスワード ライトバック用パスワードをリセットすることはできません。

Active Directory (AD) で [パスワードの有効期限が切れない] オプションがユーザーに設定されている場合、Active Directory (AD) ではパスワード変更フラグが設定されないため、管理者が開始したエンドユーザーパスワードのリセット中に、次回のログオン時にパスワードの変更を強制するオプションが選択されている場合でも、ユーザーは次回のサインイン時にパスワードの変更を求められることはありません。

次のステップ

SSPR 書き戻しの使用を開始するには、次のチュートリアルをご覧ください。

チュートリアル: セルフサービス パスワード リセット (SSPR) 書き戻しを有効にする