Microsoft Entra Cloud Sync(以下、Cloud Sync)で同期したアカウントにおいて、Entra ID(旧 Azure AD)上で、ユーザーによるパスワードリセット(セルフサービスパスワードリセット)及び管理者によるパスワードリセットのいずれも不可となる事象が発生しています。
※2024年3月下旬より発生していることを検証環境にて確認しましたが、正確な事象発生タイミング及び影響範囲は不明です。
本事象による影響を受けるものの1つとして考えられるのは、Entra IDのユーザーリスクポリシー*1です。
ユーザーリスクポリシーを利用し、ユーザーリスクが検知された場合にパスワードを変更することでユーザーのテナントへのアクセスを許可するという構成の場合、Entra ID上でパスワード変更が出来なければ、ユーザーへの救済措置(パスワード変更)を取ることが出来ず、ユーザーの業務に影響を及ぼします。
本記事では、事象の詳細と原因、現時点での対処法についてお伝えします。
Microsoft Entra Cloud Syncとは
Cloud Syncとは、Microsoft Entra Connect(旧 Azure AD Connect)と同様にオンプレミス ADDSとEntra IDを同期するサービスです。日本語表記では、Microsoft Entra クラウド同期となります。
Microsoft Entra Connectを利用するためにはAD DS のサーバー、またはMicrosoft Entra Connect用のサーバーを別建てで用意し、Microsoft Entra Connectアプリケーションをインストールする必要があります。
一方、Cloud Sync導入における必要最低限の作業は軽量なエージェントのインストールのみとなる、という大きな違いがあります。
そのため、Cloud Syncを採用することで、より容易に同期構成を構築できるというメリットがあります。
一方で、Cloud SyncはMicrosoft Entra Connectと比較すると、デバイス同期が出来ない等、利用できない機能がいくつかあるというデメリットもあります。
お客様の環境や要件によって、適切なサービスを選択する必要があります。
事象の詳細
以下より、本記事の本題となる、Cloud Syncより同期したアカウントにおいてパスワードリセットが不可となる事象について説明します。
検証環境情報
以下に、本事象を再現した検証環境情報を記載します。
- セルフサービスパスワードリセットを有効化済み
- パスワードライトバックを有効化済み
- Cloud Syncエージェントをインストール済みのサーバーは起動済み
- パスワードリセット対象アカウントに必要ライセンスは付与済み
発生する事象
本事象は、下記の操作で発生する事を確認しています。
- パスワードリセット対象ユーザーにてMicrosoft 365ポータルにアクセスし、「パスワードを忘れた場合」よりパスワード変更を試みる
- 管理者にてEntra IDポータルにアクセスし、パスワードリセット対象ユーザーを選択して「パスワードリセット」よりパスワード変更を試みる
※クラウドユーザー及びMicrosoft Entra Connectより同期したユーザーのパスワード変更は可能
ユーザーによるMicrosoft 365ポータルでのパスワード変更
パスワードリセット対象ユーザーにてMicrosoft 365ポータルにアクセスし、「パスワードを忘れた場合」よりパスワード変更を試みると、画像の文字を入力後、[次へ]を選択すると以下のエラーが表示され、パスワードリセットが出来ません。
管理者によるEntra IDポータルからのパスワード変更
管理者にてEntra IDポータルにアクセスし、パスワードリセット対象ユーザーを選択して「パスワードリセット」よりパスワード変更を試みると、一時的なパスワードを入力後、[パスワードのリセット]を選択すると以下のエラーが表示され、パスワードリセットが出来ません。
※パスワードリセット対象ユーザーの監査ログにはパスワードリセットの失敗ログ自体出力されていない
事象の原因
本事象はEntra ID側の問題であり、テナントのデータセンターのリージョンが “Japan datacenters” である場合、パスワードリセットを行っても、何らかの要因で別のデータセンターへ要求を行ってしまうことが原因だと判明しました。
※“Japan datacenters” 以外である場合は、パスワードリセット及びパスワードライトバックを正常に完了可能
現時点での対処法
テナントのリージョンは、Entra IDポータルの「プロパティ」から確認が可能となるため、まずは本事象が発生し得る環境なのかを確認する必要があります。
“Japan datacenters” であり、該当の環境を別テナントへ移行することが困難な場合はMicrosoftによる事象の解消を待機します。その間は、ユーザーリスクに引っかかったユーザーが管理者へ連絡し、管理者にてオンプレミスADDS上でパスワードリセットを行う等、運用で回避する必要があります。
※事象の解消及び展開には、2024年5月15日時点の情報では約2~3週間要する見込みです。
これから新しく環境を構築する場合は、“Japan datacenters” 以外のリージョンでテナントを建てることで本事象を回避することが可能です。
なお、過去 ( 2022月10月以前 ) に"Japan"を選んで作成したテナントの場合、データセンターのリージョンが"Asia"となっている場合があることをMicrosoft内で確認しており、その場合は、本事象は発生しません。
さいごに
今回は、Cloud Syncより同期したアカウントがパスワードリセット出来ない事象の詳細と原因、現時点での対処法について説明しました。
このように業務に大きく関わる機能に突然不具合が発生することはあるため、トラブル発生時の運用を前もって決めておくことが重要であると考えます。
*1:ユーザーリスクポリシーとは、ユーザが危険なサインイン動作をしている場合、または資格情報が漏洩した場合、アクセスをブロック/パスワードの変更が必要、のいずれかのアクションを適用できる、Entra IDの条件付きアクセスポリシーを指す。