Microsoft Entra Connectで一時パスワードの同期を有効化する

Microsoft Entra Connect(以下、MEC)で一時パスワードを同期する方法を紹介します。

既定の動作

オンプレミスのActive Directory ドメインサービス(AD DS)側で、ユーザー作成時やパスワードリセット時に[次回ログオン時にパスワードの変更が必要]を設定する事があります。

この状態で、Entra ID側にサインインする際、正しいパスワードを入力しているにも関わらず、「パスワードが正しくありません」という旨のエラーが表示されます。

これは想定された動作で、既定の設定値では一時パスワードを同期することができないために、サインイン時にエラーが発生します。

回避策

既定で無効化されているForcePasswordChangeOnLogOn"オプションを有効化することで、一時パスワードを同期することができるようになります。

前提条件

実装するために必要な前提条件は以下の通りです。

  • MECバージョン2.0.3.0以降がインストールされていること
  • MECで以下の機能を有効化していること
    • パスワードハッシュ同期
    • パスワードライトバック
  • Microsoft Graph Powershellモジュールが利用できること

構成手順

Powershellを利用して構成を行います。

※ Graphへの接続ができれば問題ないため、MECサーバーから実行する必要はありません。

  1. Powershellを起動します。

  2. 以下コマンドを実行し、Graphへ接続します。
    Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

    ※資格情報の入力が求められた場合は、適切な権限が付与されたアカウントのID/パスワードを入力します。

  3. 以下コマンドを実行し、ForcePasswordChangeOnLogOn"オプションを有効化します。
    $OnPremSync = Get-MgDirectoryOnPremiseSynchronization
    $OnPremSync.Features.UserForcePasswordChangeOnLogonEnabled = $true
    Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $OnPremSync.Id -Features $OnPremSync.Features



  4. 以下コマンドを実行し、"UserForcePasswordChangeOnLogOnEnabled"の値が"True"となっていることを確認します。
    $OnPremSync.Features |FL

動作確認

一時パスワードを使用してEntra ID側でサインインを行います。

パスワードの更新が求められることを確認します。

構成前は「パスワードが正しくありません」といった旨のエラーが表示されましたが、構成後はサインイン後にパスワードの更新が求められるようになりました。

終わりに

MECで一時パスワードを同期する方法を紹介しました。

Microsoft Graph Powershellを利用する必要はありますが、構成自体は難しいものではないため、参考にしていただければ幸いです。

執筆担当者プロフィール
井上 卓

井上 卓(日本ビジネスシステムズ株式会社)

ハイブリッドクラウド本部所属。Microsoft 365やAzureの技術を広く扱っています。

担当記事一覧