Active Directory Domain Services にオンプレミスの Microsoft Entra パスワード保護を適用する

  • [アーティクル]

Microsoft Entra パスワード保護では、既知の脆弱なパスワードやそのバリエーションを検出してブロックします。また、組織に固有のその他の脆弱な用語をブロックすることもできます。 Microsoft Entra パスワード保護のオンプレミス展開では、Microsoft Entra ID に格納されているものと同じグローバルとカスタムの禁止パスワード リストが使用され、Microsoft Entra ID がクラウドベースで実行するのと同じパスワード変更チェックがオンプレミスで実行されます。 これらのチェックは、パスワードの変更時とパスワードのリセット イベント発生時にオンプレミスの Active Directory Domain Services (AD DS) ドメイン コントローラーに対して実行されます。

設計原則

Microsoft Entra パスワード保護は、次の原則を考慮して設計されています。

  • ドメイン コントローラー (DC) はインターネットと直接通信する必要がありません。
  • DC で新しいネットワーク ポートが開かれません。
  • AD DS スキーマの変更は必要ありません。 このソフトウェアは、既存の AD DS コンテナーおよび serviceConnectionPoint スキーマ オブジェクトを使用します。
  • すべてのサポートされている AD DS ドメインまたはフォレストの機能レベルを使用できます。
  • このソフトウェアは、保護する AD DS ドメイン内にアカウントを作成せず、要求もしません。
  • ユーザーのクリア テキスト パスワードは、パスワード検証操作のときも、他のどのようなときでも、ドメイン コントローラーの外部に出ることはありません。
  • このソフトウェアは他の Microsoft Entra 機能に依存していません。 たとえば、Microsoft Entra パスワード ハッシュ同期 (PHS) は、Microsoft Entra パスワード保護と関連性がなく、必須ではありません。
  • 増分デプロイはサポートされていますが、ドメイン コントローラー エージェント (DC エージェント) がインストールされている場合にのみパスワード ポリシーが適用されます。

増分デプロイ

Microsoft Entra パスワード保護では、AD DS ドメイン内の DC 全体への増分デプロイがサポートされています。 これが何を意味するのか、何がトレードオフであるのかを理解することが重要です。

Microsoft Entra パスワード保護 DC エージェント ソフトウェアがパスワードを検証できるのは、それが DC にインストールされるときと、その DC に送信されるパスワード変更に対してのみです。 ユーザー パスワードの変更を処理するために Windows クライアント マシンによって選択される DC を制御することはできません。 一貫性のある動作と世界共通の Microsoft Entra パスワード保護のセキュリティを確実に適用するには、ドメイン内のすべての DC に DC エージェント ソフトウェアをインストールする必要があります。

多くの組織では、完全なデプロイを行う前に、DC のサブセットで Microsoft Entra パスワード保護を慎重にテストする必要があります。 このシナリオをサポートするため、Microsoft Entra パスワード保護では一部のデプロイがサポートされています。 特定の DC 上にある DC エージェント ソフトウェアでは、ドメイン内の他の DC に DC エージェント ソフトウェアがインストールされていない場合でも積極的にパスワードを検証します。 このような一部のデプロイは安全ではないため、テスト目的以外にはお勧めしません。

アーキテクチャ図

オンプレミスの AD DS 環境で Microsoft Entra パスワード保護をデプロイする前に、基になる設計と機能の概念を理解することが重要です。 次の図は、Microsoft Entra パスワード保護のコンポーネントの連携のしくみを示しています。

How Microsoft Entra Password Protection components work together

  • Microsoft Entra パスワード保護プロキシ サービスは、現在の AD DS フォレスト内のドメインに参加しているすべてのマシン上で実行されています。 このサービスの主な目的は、パスワード ポリシーのダウンロード要求を DC から Microsoft Entra ID に転送し、Microsoft Entra ID から DC に応答を返すことです。
  • DC エージェントのパスワード フィルター DLL は、オペレーティング システムからユーザーのパスワード検証要求を受け取り、 このフィルターは、DC でローカルで実行されている DC エージェント サービスにそれらを転送します。
  • Microsoft Entra パスワード保護の DC エージェント サービスは、DC エージェントのパスワード フィルター DLL からパスワード検証要求を受け取ります。 DC エージェント サービスは、現在の (ローカルで使用できる) パスワード ポリシーを使用してそれらを処理し、結果 (合格または失敗) を返します。

Microsoft Entra パスワード保護のしくみ

オンプレミスの Microsoft Entra パスワード保護コンポーネントの動作は次のとおりです。

  1. 各 Microsoft Entra パスワード保護プロキシ サービス インスタンスは、Active Directory に serviceConnectionPoint オブジェクトを作成することによって、それ自体をフォレスト内の DC にアドバタイズします。

    Microsoft Entra パスワード保護用の各 DC エージェント サービスは、Active Directory に serviceConnectionPoint オブジェクトも作成します。 このオブジェクトは、主にレポートと診断に使用されます。

  2. DC エージェント サービスは、Microsoft Entra ID から新しいパスワード ポリシーのダウンロードを開始する処理を担当します。 最初の手順は、フォレストで、プロキシ serviceConnectionPoint オブジェクトをクエリすることによって、Microsoft Entra パスワード保護プロキシ サービスを見つけることです。

  3. 使用可能なプロキシ サービスが見つかると、DC エージェント サービスがプロキシ サービスにパスワード ポリシー ダウンロード要求を送信します。 さらに、プロキシ サービスが Microsoft Entra ID に要求を送信し、DC エージェント サービスに応答を返します。

  4. DC エージェント サービスが Microsoft Entra ID から新しいパスワード ポリシーを受信すると、サービスはそのドメイン sysvol フォルダー共有のルートにある専用フォルダーにポリシーを格納します。 さらに、DC エージェント サービスは、ドメイン内の他の DC エージェント サービスから新しいポリシーがレプリケートされた場合にこのフォルダーを監視します。

  5. DC エージェント サービスは、サービスの起動時に常に新しいポリシーを要求します。 DC エージェント サービスの起動後、1 時間ごとに現在のローカルで使用可能なポリシーの有効期間が確認されます。 ポリシーが 1 時間よりも古い場合、DC エージェントは上記のように Microsoft Entra ID にプロキシ サービスを介して新しいポリシーを要求します。 現在のポリシーが 1 時間よりも古くない場合、DC エージェントはそのポリシーを使用し続けます。

  6. DC がパスワード変更イベントを受信すると、キャッシュされたポリシーを使用して、新しいパスワードを受け入るか拒否するかが決定されます。

主な考慮事項と機能

  • Microsoft Entra パスワード保護のパスワード ポリシーがダウンロードされたときは常に、そのポリシーがテナントに固有になります。 つまり、パスワード ポリシーは常に、Microsoft のグローバルな禁止パスワード リストとテナントごとのカスタムの禁止パスワード リストの組み合わせになります。
  • DC エージェントは、TCP を介した RPC を使用してプロキシ サービスと通信します。 プロキシ サービスは、構成に従って、動的または静的 RPC ポートでこれらの呼び出しをリッスンします。
  • DC エージェントはネットワークで使用可能なポートでリッスンしません。
  • プロキシ サービスは、DC エージェント サービスを呼び出すことはありません。
  • プロキシ サービスはステートレスです。 Azure からダウンロードされたポリシーやその他の状態をキャッシュしません。
  • プロキシの登録は、AADPasswordProtectionProxy サービス プリンシパルに資格情報を追加することによって行われます。 このような場合、監査ログ内のイベントがあっても問題ありません。
  • DC エージェント サービスは、常に最新のローカルで使用可能なパスワード ポリシーを使用して、ユーザーのパスワードを評価します。 ローカル DC に使用可能なパスワード ポリシーがない場合、パスワードは自動的に承認されます。 その場合、イベント ログ メッセージが記録され、管理者に警告されます。
  • Microsoft Entra パスワード保護は、リアルタイム ポリシー アプリケーション エンジンではありません。 パスワード ポリシー構成の変更が Microsoft Entra ID で行われてから、その変更がすべての DC に到達して適用されるまでに、遅延が生じることがあります。
  • Microsoft Entra パスワード保護は、既存の AD DS パスワード ポリシーを補完するものであり、代わりにはなりません。 これには、インストールされる可能性がある他の任意のサード パーティ製パスワード フィルター dll が含まれます。 AD DS では、常に、すべてのパスワード検証コンポーネントがパスワードの受け入れ前に同調している必要があります。

Microsoft Entra パスワード保護のフォレストおよびテナントのバインディング

AD DS フォレスト内の Microsoft Entra パスワード保護のデプロイには、そのフォレストの Microsoft Entra ID への登録が必要です。 デプロイ済みの各プロキシ サービスも、Microsoft Entra ID に登録する必要があります。 このようなフォレストとプロキシの登録は、登録時に使用される資格情報によって暗黙的に識別される、特定の Microsoft Entra テナントと関連付けられます。

AD DS フォレストと、フォレスト内にデプロイ済みのすべてのプロキシ サービスは、同じテナントに登録する必要があります。 AD DS フォレストまたはそのフォレスト内のプロキシ サービスを別の Microsoft Entra テナントに登録することは、サポートされていません。 このような誤って構成されたデプロイの症状として、パスワード ポリシーをダウンロードできないことがあります。

Note

したがって、複数の Microsoft Entra テナントを持つお客様は、Microsoft Entra パスワード保護の目的で、各フォレストを登録するための 1 つの識別されたテナントを選択する必要があります。

ダウンロード

Microsoft Entra AD パスワード保護のために必要な 2 つのエージェント インストーラーは、Microsoft ダウンロード センターから入手できます。

次のステップ

オンプレミスの Microsoft Entra パスワード保護の使用を開始するには、次のハウツー記事を参照してください。

オンプレミスの Microsoft Entra パスワード保護をデプロイする