【2024/6/24（月）開催】Entra(SC-300)勉強会

2024年8月25日

問題

Entra テナントとオンプレのActive Directory ドメインがあります。
Entraコネクト によって、Active Directoryドメインのユーザ情報（パスワード情報含む）は、Entra テナントに同期されています。

パスワードがリセットされた場所に関係なく、Entra テナントとActive Directory ドメイン間でパスワードが同期される必要があります。Entra コネクトにて何を設定すべきでしょうか。

A.．AD FS

B．パススルー認証

C．パスワードハッシュ同期

D．パスワードライトバック

解答

Ｄ．パスワードライトバック

解説

問題内容について

• 既にオンプレADがあり、新たにEntra IDを導入する場合、オンプレADとEntra IDとでユーザ情報を同期するのが一般的（ユーザ情報の管理を一元化できるなどメリットが多い）
• 基本は、「オンプレAD　→ Entra ID」の方向でユーザ情報が同期される
• オンプレADでパスワードが変更された場合、Entra ID上のパスワードも変更される
• 問題文の「パスワードがリセットされた場所に関係なく、Entra テナントとActive Directory ドメイン間でパスワードが同期される必要があります。」は「パスワードがEntra IDでリセットされた場合でも、Entra テナントとActive Directory ドメイン間でパスワードが同期される必要があります。」と言い換えることができます。
• 「Ｄ．パスワードライトバック」により、Entra ID上でパスワードを変更された場合に、その変更をオンプレＡＤ側に上書きできる。

そのほかの選択肢

• AD FS ・・・オンプレADを使い、組織外のアプリへのシングルサインオンを実現するために使われていた技術（少し古い技術）。
• 「パススルー認証」「パスワードハッシュ同期」は、どちらも「オンプレAD → Entra ID」のユーザ情報同期の方式
• 「パススルー認証」は、パスワード情報を「オンプレAD → Entra ID」へ同期しない
• 「パスワードハッシュ同期」は、パスワード情報を「オンプレAD → Entra ID」へ同期する
• 今回の問題では、パスワード情報も同期しているため、「パスワードハッシュ同期」が使われていると推測できる
• MSが推奨しているのは、「パスワードハッシュ同期」
• オンプレADのパスワード情報をクラウド(Entra ID）に同期したくない、など特殊な要件がある場合のみ「パススルー認証」を使うようにしましょう。
• 「パススルー認証」は、Entra ID上にパスワード情報が存在しないため、Entra コネクトに障害が発生した場合、Entra IDを使って認証をしているアプリ（M365など）への認証ができなくなります。