会社でMicrosoft Entra ID(旧Azure Active Directory)のパスワードハッシュ同期を利用している環境で、パスワードを変更した後もしばらく旧パスワードが認証に通ってしまう現象が発生することがあります。これは同期の遅延や構成の不備が原因である可能性が高いです。本記事では、パスワードハッシュ同期の状態を確認する具体的な手順を解説し、問題の切り分けに役立つ情報を提供します。特に、旧パスワードがいつまでも使えてしまう場合や、同期が正しく行われていない場合にどのように対処すればよいかを、実務に即して説明します。
【要点】この記事で確認すること
- 最初に見る場所: Azure Portalの「Microsoft Entra ID」→「ハイブリッド管理」→「同期」画面。ここで同期の全体的な状態と、パスワード同期の最終実行時刻を確認します。
- 切り分けの軸: 端末側のキャッシュ(ブラウザやWindowsの資格情報マネージャー)なのか、Entra ID側の同期遅延なのか、オンプレミスAD側の更新漏れなのかを、イベントログや同期ログで切り分けます。
- 注意点: 会社PCのローカル設定やブラウザのパスワード保存機能を安易に変更しないこと。同期が正常でも、パスワード変更直後はAzure AD Connectの同期間隔(デフォルト30分)による遅延が発生する場合があります。問題の切り分けには管理者権限が必要な操作もあるため、IT部門と連携してください。
ADVERTISEMENT
目次
パスワードハッシュ同期の基本と旧パスワードが通る仕組み
パスワードハッシュ同期(PHS)は、オンプレミスのActive DirectoryからEntra IDへパスワードのハッシュ値を同期する機能です。ユーザーがパスワードを変更すると、その新しいハッシュがAzure AD Connect経由でEntra IDにアップロードされます。しかし、この同期には通常30分程度の間隔があり、同期が完了するまでは旧パスワードのハッシュがEntra ID側に残っています。
なぜ旧パスワードが一時的に使えるのか
旧パスワードが通る主な原因は以下の通りです。
- 同期の遅延: Azure AD Connectはデフォルトで30分ごとに同期を実行します。パスワード変更直後は新しいハッシュがまだEntra IDに反映されていません。
- パスワードライトバックの未構成: パスワードライトバックが有効でない場合、Entra ID側で変更したパスワードがオンプレミスに戻らず、結果として両方向の同期に不一致が生じます。
- クライアントのキャッシュ: ブラウザやWindowsの資格情報マネージャーに旧パスワードが保存されていると、自動入力で旧パスワードが送信されることがあります。
- 同期エラー: Azure AD Connectの同期処理がエラーで停止している場合、新しいハッシュがまったく反映されません。
同期状態を確認する必要がある理由
問題を正確に切り分けるためには、同期が正常に行われているかどうかを確認することが第一歩です。確認せずに旧パスワードが通る原因をローカル環境に求めると、不要な設定変更や再起動を行ってしまう可能性があります。また、同期エラーが放置されると、パスワード変更がいつまで経っても反映されず、セキュリティリスクやユーザーの混乱を招きます。
同期状態の確認手順(管理者向け)
以下の手順は、Azure PortalおよびAzure AD Connectサーバー上で実施します。操作には管理者権限が必要です。
- Azure Portalにログインし、[Microsoft Entra ID] を開きます。
- 左側のメニューから [ハイブリッド管理] を展開し、[同期] を選択します。この画面でディレクトリ同期の全体的な状態が表示されます。
- [パスワードハッシュ同期の状態] セクションを確認します。ここに「同期済み」または「同期保留中」などの状態と、最後の同期時刻が表示されます。最後の同期時刻が現在から30分以上前であれば、同期が遅延している可能性があります。
- 同期エラーがないか確認するため、[同期エラー] のリンクをクリックします。エラーがある場合は、エラーコードと詳細メッセージが表示されるので、それを記録します。
- Azure AD Connectサーバーにリモートデスクトップ接続し、[Synchronization Service Manager] を起動します。ここで各コネクタ(オンプレミスADとEntra ID)の実行結果を確認できます。
- [コネクタ] タブで、該当するディレクトリ(例:contoso.com – Active Directory)を選択し、[プロファイル] から「Delta Import」や「Delta Sync」の最終実行日時を確認します。パスワード同期は通常Delta Syncで行われます。
- 必要に応じて、[フル同期] を手動で実行することも検討します。ただし、フル同期はシステムに負荷がかかるため、IT管理者の判断のもと実施してください。
よくある失敗パターンと対処法
以下の表は、旧パスワードが通る状況をパターン別に整理したものです。自分がどのケースに当てはまるかを確認し、適切な対処を行ってください。
| パターン | 原因 | 対処方法 |
|---|---|---|
| 同期ラグ | Azure AD Connectの同期間隔(デフォルト30分)による遅延 | 30分以上待ってから再試行。手動でDelta Syncを実行する。 |
| 同期エラー | Azure AD Connectの構成ミスやネットワーク障害で同期が停止 | 「Synchronization Service Manager」でエラー詳細を確認。エラーコードを元に修正後、同期を再開する。 |
| クライアントキャッシュ | ブラウザやWindowsの資格情報マネージャーに旧パスワードが保存 | ブラウザのパスワード保存を削除し、資格情報マネージャーからエントリを消去する。 |
| パスワードライトバック未構成 | Entra IDでパスワードを変更したが、オンプレミスに反映されていない | パスワードライトバックを有効にし、再度変更を試みる。 |
| フィルタリングによる同期除外 | OUや属性フィルタにより一部ユーザーが同期対象外 | Azure AD Connectのフィルタ設定を見直し、該当ユーザーが同期対象になっているか確認する。 |
失敗パターンの具体例
ある企業で、ユーザーがパスワードをリセットした後も旧パスワードでログインできてしまう事象が発生しました。調査の結果、Azure AD Connectの同期が「停止」状態になっていることが判明。原因はサービスアカウントのパスワードが期限切れになっていたためでした。サービスアカウントのパスワードを更新し、Azure AD Connectのサービスを再起動したところ、その後は問題なく同期が再開され、新パスワードが利用可能になりました。
ADVERTISEMENT
管理者に伝えるべき情報と確認ポイント
問題を管理者に報告する際は、以下の情報を整理しておくとスムーズです。
- 発生日時とユーザーアカウント: いつ、どのアカウントで旧パスワードが通ったのか。
- パスワード変更の方法: ユーザー自身が変更したのか、管理者がリセットしたのか、セルフサービスパスワードリセット(SSPR)を使ったのか。
- 同期ログのスクリーンショット: Azure Portalの同期状態画面と、Synchronization Service Managerのエラー情報。
- クライアント環境: ブラウザの種類やバージョン、OSのバージョン。
管理者は以下のポイントを確認します。
- Azure AD Connectのバージョン: 最新バージョンでない場合、既知のバグが原因の可能性があります。
- Connect Healthの状態: Azure AD Connect Healthを使っている場合、同期エラーのアラートが上がっていないか確認します。
- パスワード同期のスケジュール: カスタムスケジュールが設定されていないか確認します。
よくある質問(FAQ)
Q1. パスワードを変更してから旧パスワードが使えなくなるまでどのくらいかかりますか?
通常は30分以内に新パスワードがEntra IDに同期されますが、同期のタイミングやネットワーク状況によって変動します。最大で1時間程度かかることもあります。それ以上経過しても旧パスワードが通る場合は、同期エラーや構成ミスを疑ってください。
Q2. ユーザー自身でできる対処はありますか?
まずはブラウザのパスワード保存機能やWindowsの資格情報マネージャーを確認し、保存されているパスワードを削除してください。これで解決しない場合は、IT管理者に同期状態の確認を依頼してください。
Q3. パスワードハッシュ同期をオフにしても問題は解決しますか?
パスワードハッシュ同期を無効にすると、Entra IDでパスワード認証ができなくなります。クラウドアプリケーションへのサインインに影響が出るため、本質的な解決にはなりません。原因を特定して正しく対処することが重要です。
Q4. 同期状態の確認は誰でもできますか?
Azure Portalでの確認には「ハイブリッドID管理者」以上のロールが必要です。一般ユーザーは同期状態を直接確認できません。問題が発生した場合は、管理者に連絡してください。
Q5. パスワードの同期が完全に停止している場合の影響は?
パスワード変更が一切反映されなくなり、すべてのユーザーが旧パスワードでログインし続けることになります。セキュリティリスクが高まるため、早急に復旧が必要です。
まとめ
パスワードハッシュ同期後も旧パスワードが通る現象は、多くの場合、同期の遅延や構成の問題に起因します。まずはAzure Portalで同期状態を確認し、最終同期時刻やエラーの有無を把握することが第一歩です。クライアント側のキャッシュも原因となり得るため、両面から確認しましょう。問題が解決しない場合は、管理者に具体的なログ情報を伝えて迅速な対応を依頼することが重要です。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築