Microsoft Entra Connect(以下、MEC)で一時パスワードを同期する方法を紹介します。
既定の動作
オンプレミスのActive Directory ドメインサービス(AD DS)側で、ユーザー作成時やパスワードリセット時に[次回ログオン時にパスワードの変更が必要]を設定する事があります。
この状態で、Entra ID側にサインインする際、正しいパスワードを入力しているにも関わらず、「パスワードが正しくありません」という旨のエラーが表示されます。
これは想定された動作で、既定の設定値では一時パスワードを同期することができないために、サインイン時にエラーが発生します。
回避策
既定で無効化されているForcePasswordChangeOnLogOn"オプションを有効化することで、一時パスワードを同期することができるようになります。
前提条件
実装するために必要な前提条件は以下の通りです。
- MECバージョン2.0.3.0以降がインストールされていること
- MECで以下の機能を有効化していること
- パスワードハッシュ同期
- パスワードライトバック
- Microsoft Graph Powershellモジュールが利用できること
構成手順
Powershellを利用して構成を行います。
※ Graphへの接続ができれば問題ないため、MECサーバーから実行する必要はありません。
- Powershellを起動します。
- 以下コマンドを実行し、Graphへ接続します。
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
※資格情報の入力が求められた場合は、適切な権限が付与されたアカウントのID/パスワードを入力します。 - 以下コマンドを実行し、ForcePasswordChangeOnLogOn"オプションを有効化します。
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization $OnPremSync.Features.UserForcePasswordChangeOnLogonEnabled = $true Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $OnPremSync.Id -Features $OnPremSync.Features
- 以下コマンドを実行し、"UserForcePasswordChangeOnLogOnEnabled"の値が"True"となっていることを確認します。
$OnPremSync.Features |FL
動作確認
一時パスワードを使用してEntra ID側でサインインを行います。
パスワードの更新が求められることを確認します。
構成前は「パスワードが正しくありません」といった旨のエラーが表示されましたが、構成後はサインイン後にパスワードの更新が求められるようになりました。
終わりに
MECで一時パスワードを同期する方法を紹介しました。
Microsoft Graph Powershellを利用する必要はありますが、構成自体は難しいものではないため、参考にしていただければ幸いです。