Entra Connectのパスワードの書き戻し(パスワードライトバック)とEntra IDのセルフサービスパスワードリセット(SSPR)を使用してEntra IDでユーザのパスワード変更、リセットを可能にする方法を紹介します。
Entra ConnectはActive Directory(AD)とEntra IDでユーザやグループ情報を同期するサービスです。
Entra IDでユーザのパスワード変更、リセットを可能にすることで、管理者への問い合わせやパスワードリセット作業が減り、人件コストを削減することができます。
今回紹介する方法により、Entra IDでユーザのパスワード変更、リセットを実施し、ADにパスワード情報を同期することができます。
使用環境
- Image: Windows Server 2022 Datacenter – x64 Gen2
- Size: Standard_D2as_v4 2vcpu 8GiB
前提
- Active Directoryが構築済みであること
(ドメイン名:example.com、管理者アカウント:EXAMPLE\azureuser) - Active DirectoryにEntra ID同期対象のOUが含まれていること
(OU名:Example Users) - Entra Connectサーバが、ADサーバに対してドメイン参加済み (アカウント:EXAMPLE\exampleadmin)であること
- Entra IDのテナントが用意されていること
Entra Connectのインストール
インストール方法は過去の記事を参考にすることができます。当時はAzure Active Directory Connect (AADC)という名称でしたが、2025年2月現在はMicrosoft Entra Connect Sync (Entra Connect)となっています。また、Azure Active Directoryは、Microsoft Entra IDとなっています。
https://tech-lab.sios.jp/archives/21345
今回は以下の設定を実施します。
- フォレスト(構成済みディレクトリ):example.com
- ドメインとOUのフィルタリングの同期OU:Example Users
オプション機能にて、パスワードの書き戻しにチェックを入れて有効にします。
また、Entra IDでユーザの初回ログオン時にパスワード変更を必要としたい場合は、一時パスワードの同期を有効化する設定が必要です。設定方法は以下の記事を参考にしてみてください。
参考:https://blog.jbs.co.jp/entry/2024/09/30/115304
ユーザの確認
ADで以下のユーザを作成します。また、アカウントオプションで「ユーザーは次回ログオン時にパスワード変更が必要」とします。
| UserPrincipalName | 表示名 | 所属グループ | 登録先OU | 会社名 |
| example_user01@example.com | テスト ユーザ1 | Group1 | Example Users | example.com |
| example_user02@example.com | テスト ユーザ2 | Group1 | Example Users | example.com |
| example_user03@example.com | テスト ユーザ3 | Group2 | Example Users | example.com |
| example_user04@example.com | テスト ユーザ4 | Group2 | Example Users | example.com |
過去記事https://tech-lab.sios.jp/archives/21345の「AADCの同期の方法」によりEntra IDとのアカウント同期を有効化します。
Microsoft Entra管理センターにログインし、ユーザが同期されることを確認します。
https://entra.microsoft.com/#home
Entra IDからのSSPRは、「パスワードリセットのセルフサービスが有効」の項目で有効化することができます。
全てのユーザや特定のグループのユーザのみSSPRを有効にする設定が可能です。
参考:https://learn.microsoft.com/ja-jp/entra/identity/authentication/tutorial-enable-sspr
SSPRの認証方法の設定は現在2通りの方法があります。
- 1: パスワードリセットの認証方法からリセットのために必要な方法の数および使用できる方法を設定する
- 2: 認証方法から、多要素認証(MFA)とSSPRの認証方法を構成する
1つ目の方法は、2025 年9月30日に非推奨となります。2025年2月現在は移行期間として、2通りの方法を選択できます。詳細は以下をご覧ください。
https://learn.microsoft.com/ja-jp/entra/identity/authentication/concept-authentication-methods-manage
今回は2つ目の方法で認証方法を構成します。Microsoft Authenticatorを使用できるように設定しています。
Entra IDからのパスワード変更を確認
テスト ユーザ1(example_user01)でhttps://www.microsoft365.comにサインインします。
ADおよびEntra IDではユーザの初回ログオン時にパスワード変更を必要とする設定にしているため、パスワードの更新が要求されます。パスワードを更新します。パスワードポリシーは、ADのパスワードポリシーに準拠します。
パスワードの更新後にADサーバのpowershellで以下のコマンドを実行します。distinguishedNameとPathが表示されると正しいパスワードが入力されていることになります。パスワードの変更がADに適用されていることを確認します。
参考:https://qiita.com/waokitsune/items/6dc37940095426485a57
> $de_ = New-Object System.DirectoryServices.DirectoryEntry(
>> "LDAP://example.com",
>> "example_user01", #ユーザID
>> "NewPassword" #ユーザの更新後パスワード
>> )
>> echo $de_
distinguishedName : {DC=example,DC=com}
Path : LDAP://example.comEntra IDからのSSPRを確認する
SSPRを確認するために、テスト ユーザ1(example_user01)で追加認証としてMicrosoft Authenticatorを設定しておきます。
Authenticatorの設定方法は以下の「Microsoft Authenticator の設定」を参考にしてみてください。
https://support.gluegent.com/hc/ja/articles/9434604489369–%E4%BB%98%E9%8C%B2-Microsoft-Authenticator-%E3%81%AE%E8%A8%AD%E5%AE%9A%E6%96%B9%E6%B3%95
テスト ユーザ1(example_user01)のパスワード入力画面に戻り、パスワードを忘れた場合を選択します。
画面に従って、アカウントの回復のための認証を実施すると、パスワードリセット画面が表示されます。パスワードポリシーは、ADのパスワードポリシーに準拠します。
パスワードのリセットに成功すると、以下の画面が表示されます。
Entra IDからのパスワード変更を確認する手順と同様に、ADのpowershellで、パスワードの変更がADに適用されていることを確認します。
さいごに
今回は、Entra Connectのパスワードの書き戻し(パスワードライトバック)とEntra IDのセルフサービスパスワードリセット(SSPR)を使用してEntra IDでユーザのパスワード変更、リセットを可能にする方法を紹介しました。
Entra ConnectとEntra IDへの理解の一助になれば幸いです。
