Azure AD 同期アプライアンスを使用する場合のパスワード同期のトラブルシューティング方法
この記事は、Microsoft Entra Connect を使用してオンプレミス環境からMicrosoft Entra IDにパスワードを同期するときに発生する可能性がある一般的な問題のトラブルシューティングに役立ちます。
元の製品バージョン: クラウド サービス (Web ロール/Worker ロール)、Microsoft Entra ID、Microsoft Intune、Azure Backup、Office 365 ID 管理
元の KB 番号: 2855271
注:
この記事はお役に立ちましたか? お客様の入力は、当社にとって重要です。 このページの [フィードバック ] ボタンを使用して、この記事がどれだけうまく機能したか、または改善する方法をお知らせください。
トラブルシューティングを開始する前に
トラブルシューティング手順を実行する前に、最新バージョンの Microsoft Entra Connect がインストールされていることを確認してください。
さらに、ディレクトリ同期が正常な状態であることを確認します。 詳細については、「Microsoft Entra Connect Sync を使用したオブジェクト同期のトラブルシューティング」を参照してください。
一部のユーザーは、Office 365、Azure、またはMicrosoft Intuneにサインインできません
このシナリオでは、ほとんどのユーザーのパスワードが同期しているように見えます。 ただし、パスワードが同期されていないように見えるユーザーもいます。ユーザーが Microsoft クラウド サービス (Office 365、Azure、Intuneなど) にサインインできないシナリオを次に示します。
シナリオ 1: ユーザーのアカウントに対して [ユーザーは次回ログオン時にパスワードを変更する必要があります] チェック ボックスが選択されている
この問題を解決するには、次の手順を実行します。
- 次のどちらかの手順を実行します。
- Active Directory ユーザーとコンピューターのユーザー アカウントのプロパティで、[ユーザーは次回ログオン時にパスワードを変更する必要があります] チェック ボックスをオフにします。
- ユーザーにオンプレミスのユーザー アカウント のパスワードを変更してもらいます。
- Microsoft Entra Connect サーバーで ForcePasswordChangeOnLogOn 機能を有効にします。
- オンプレミスの Active Directory Domain Services (AD DS) とMicrosoft Entra IDの間で変更が同期されるまで数分待ちます。
シナリオ 2: ユーザーがクラウド サービス ポータルでパスワードを変更した
この問題を解決するには、次の手順を実行します。
- ユーザーにオンプレミスのユーザー アカウント のパスワードを変更してもらいます。
- オンプレミスの AD DS と Microsoft Entra IDの間で変更が同期されるまで数分待ちます。
シナリオ 3: 一部のユーザーがMicrosoft Entra IDに同期していないように見える
考えられる原因は、重複するユーザー名またはメール アドレスです。
この問題を解決するには、IdFix DirSync エラー修復ツール (IdFix) を使用して、オンプレミスの AD DS でオブジェクト関連の潜在的な問題を特定します。 IdFix は、次の Microsoft Web サイトでインストールできます。 IdFix DirSync エラー修復ツール
この問題のトラブルシューティング方法の詳細については、「Azure Active Directory 同期ツールを使用しているときに 1 つ以上のオブジェクトが同期されない」を参照してください。
シナリオ 4: フィルター処理されたスコープとフィルター処理されていないスコープの間でユーザーを移動する
このシナリオでは、ユーザーを同期できるスコープにユーザーが移動されます。 ドメイン、組織単位、または属性に対してフィルター処理が設定されている場合があります。
この問題を解決するには、「 完全なパスワード同期を実行する方法 」セクションを参照してください。
シナリオ 5: ユーザーは新しいパスワードを使用してサインインすることはできませんが、古いパスワードを使用してサインインできます
このシナリオでは、パスワード同期と共に Azure AD Sync サービスを使用しています。 ディレクトリ同期を無効にしてから再度有効にすると、ユーザーは新しいパスワードを使用してサインインできなくなります。 ただし、古いパスワードは引き続き機能します。
この問題を解決するには、パスワード同期を再度有効にします。 これを行うには、構成ウィザードアプライアンス Azure AD 同期を開始し、パスワード同期を有効にするオプションが表示されるまで画面を続行します。
シナリオ 6: ユーザーが自分のパスワードを使用してサインインできない
このシナリオでは、パスワード ハッシュがAzure AD Sync サービスと正常に同期されません。 ユーザー アカウントが Windows Server 2003 より前のバージョンの Windows Server で実行されている Active Directory で作成された場合、アカウントにはパスワード ハッシュがありません。
ディレクトリ同期が実行されているが、すべてのユーザーのパスワードが同期されていない
このシナリオでは、すべてのユーザーのパスワードが同期されていないように見えます。通常、次のいずれかの条件に該当する場合に発生します。
- [チェック同期] ボックスが選択されていません。
- ディレクトリ同期が既に発生した後、パスワード同期を有効にしました。
- 完全なディレクトリ同期はまだ完了していません。
重要
完全なディレクトリ同期が完了するまで、パスワード同期は開始されません。
この問題を解決するには、まずパスワード同期を有効にしてください。 これを行うには、構成ウィザードアプライアンス Azure AD 同期を開始し、パスワード同期を有効にするオプションが表示されるまで画面を続行します。
パスワード同期を有効にした後、完全なパスワード同期を行う必要があります。「完全なパスワード同期を実行する方法」セクションを参照してください。
詳細については、「Microsoft Entra Connect Sync を使用したパスワード ハッシュ同期のトラブルシューティング」を参照してください。
パスワードが同期されていない 1 人のユーザーのトラブルシューティング
この問題をトラブルシューティングするには、「Microsoft Entra Connect Sync を使用したパスワード ハッシュ同期のトラブルシューティング」を参照してください。
シングル サインオン (SSO) ソリューションからパスワード同期に変更する
この問題を解決するには、「 シングル Sign-On からパスワード同期に切り替える方法」を参照してください。
イベント ビューアーのイベント ID メッセージ
次の表に、パスワード同期に関連するアプリケーション ログ内のイベント ID メッセージを示します。
情報 (アクションは必要ありません)
| イベント ID | 説明 | 原因 |
|---|---|---|
| 622 | ドメインの完全なパスワード ハッシュ同期が完了しました: contoso.local | 完全なパスワード同期サイクルでは、オンプレミスの AD DS ドメインから最近のパスワードの取得が完了します。 |
| 623 | フォレストの完全なパスワード ハッシュ同期が完了しました: contoso.local | 完全なパスワード同期サイクルでは、オンプレミスの AD DS フォレストから最近のパスワードの取得が完了します。 |
| 650 | 資格情報のプロビジョニング バッチ開始。 カウント: 1 | パスワード同期は、オンプレミスの AD DS から更新されたパスワードの取得を開始します。 |
| 651 | 資格情報のバッチエンドをプロビジョニングします。 カウント: 1 | パスワード同期は、オンプレミスの AD DS から更新されたパスワードの取得を完了します。 |
| 653 | プロビジョニング資格情報の ping 開始。 | パスワード同期は、同期するパスワードがないことをMicrosoft Entra IDに通知し始めます。 オンプレミスの AD DS でパスワードが更新されていない場合は、30 分ごとに発生します。 |
| 654 | 資格情報の ping 終了をプロビジョニングします。 | パスワード同期は、同期するパスワードがないことをMicrosoft Entra IDに通知します。 オンプレミスの AD DS でパスワードが更新されなかった場合、30 分ごとに発生します。 |
| 656 | パスワード変更要求 - アンカー : H552hI9GwEykZwosf74JeOQ==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Change Date : 05/01/2013 16:34:08 | パスワード同期は、パスワードの変更が検出され、Microsoft Entra IDに同期を試みたことを示します。 パスワードが変更され、同期されるユーザーを識別します。 各バッチには、少なくとも 1 人のユーザーと最大 50 人のユーザーが含まれます。 |
| 657 | パスワード変更の結果 - アンカー : eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result : Success. | パスワードが正常に同期されたユーザー。 |
| 657 | パスワード変更の結果 - アンカー : eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result : Failed. | パスワードが同期されなかったユーザー。 |
情報 (アクションが必要な場合があります)
| イベント ID | 説明 | 原因 | 詳細 |
|---|---|---|---|
| 0 | 次のパスワード変更は同期に失敗し、再試行がスケジュールされています。 DN = CN=Eli McLean,OU=Cloud Objects,DC=contoso,DC=local |
パスワードが同期されていないユーザーまたはユーザー | ディレクトリ同期を構成する Azure Active Directory 同期ツールの使用時に 1 つ以上のオブジェクトが同期されない |
| 115 | Windows Azure Active Directory へのアクセスが拒否されました。 テクニカル サポートにお問い合わせください。 | Microsoft Entra資格情報は、Forefront Identity Manager (FIM) を通じて更新されました。 | Microsoft Entra構成ウィザードをもう一度実行します。 FIM でMicrosoft Entra資格情報を更新した後にパスワード ハッシュ同期が機能しなくなるに関するページを参照してください |
| 657 | パスワード変更の結果 - アンカー : B0H+OD3LM0GEnYODwdPhpg==, Result : failed, Extended Error : | パスワードが同期されていないユーザーまたはユーザー | ディレクトリ同期を構成する Azure Active Directory 同期ツールの使用時に 1 つ以上のオブジェクトが同期されない |
エラー (アクションが必要)
| イベント ID | 説明 | 原因 | 詳細 |
|---|---|---|---|
| 0 | ユーザー名またはパスワードが正しくありません。 ユーザー名を確認し、パスワードをもう一度入力します。 | Microsoft Entra資格情報は、Forefront Identity Manager (FIM) を通じて更新されました。 | Microsoft Entra構成ウィザードをもう一度実行します。 FIM でMicrosoft Entra資格情報を更新した後にパスワード ハッシュ同期が機能しなくなるに関するページを参照してください |
| 611 | ドメインのパスワード同期に失敗しました: Contoso.com。Microsoft.Online.PasswordSynchronization.SynchronizationManagerException: 回復タスクが失敗しました。 >--- Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: RPC エラー 8439: このレプリケーション操作に指定された識別名が無効です。 _IDL_DRSGetNCChangesの呼び出し中にエラーが発生しました。 |
Windows Server 2003 ドメイン コントローラーは、特定のシナリオを予期せず処理します。 | Microsoft Entra IDのパスワード ハッシュ同期が動作を停止し、イベント ID 611 がログに記録される |
| 611 | ドメインのパスワード同期に失敗しました: Contoso.com。Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: RPC エラー 8593: 関係するサーバーは異なるレプリケーション エポック (通常は進行中のドメイン名変更に関連する) であるため、ディレクトリ サービスは要求された操作を実行できません。 |
これは、Azure Active Directory Sync ツール ビルド 1.0.6455.0807 で修正された既知の問題でした。 | この問題を解決するには、Azure Active Directory 同期ツールの最新バージョンに更新します。 |
| 611 | ドメインのパスワード同期に失敗しました。 Contoso.comSystem.ArgumentOutOfRangeException: 有効な Win32 ではありません |
これは、Azure Active Directory Sync ツール ビルド 1.0.6455.0807 で修正された既知の問題でした。 | この問題を解決するには、Azure Active Directory 同期ツールの最新バージョンに更新します。 |
| 611 | ドメインのパスワード同期に失敗しました: Contoso.com。System.ArgumentException: 同じキーを持つ項目が既に追加されています。 |
これは、Azure Active Directory Sync ツール ビルド 1.0.6455.0807 で修正された既知の問題でした。 | この問題を解決するには、Azure Active Directory 同期ツールの最新バージョンに更新します。 |
| 652 | 資格情報プロビジョニング バッチが失敗しました。 エラー: Microsoft.Online.Coexistence.ProvisionException: エラーが発生しました。 エラー コード: 90。 エラーの説明: この会社でパスワード同期がアクティブ化されていません。 追跡 ID: 07e93e8a-cf2d-4f67-9e95-53169c4875e0 サーバー名: BL2GR1BBA003。 >--- System.ServiceModel.FaultException1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: この会社に対してパスワード同期がアクティブ化されていません。 (エラーの詳細は Microsoft.Online.Coexistence.Schema.AdminWebServiceFault と等しくなります)。 | オンプレミスの AD DS から更新されたパスワードを取得するときに、パスワード同期が失敗しました。 | ディレクトリ同期を構成する Azure Active Directory 同期ツールの使用時に 1 つ以上のオブジェクトが同期されない |
| 652 | 資格情報プロビジョニング バッチが失敗しました。 エラー: Microsoft.Online.Coexistence。 ProvisionRetryException : エラーが発生しました。 エラー コード: 81。 エラーの説明: Windows Azure Active Directory は現在ビジー状態です。 この操作は自動的に再試行されます。 | Azure Active Directory 同期ツール ビルド 1.0.6455.0807 で修正された既知の問題でした | この問題を解決するには、Azure Active Directory 同期ツールの最新バージョンに更新します。 |
| 655 | 失敗した資格情報のプロビジョニング ping。 エラー: Microsoft.Online.Coexistence.ProvisionException: エラーが発生しました。 エラー コード: 90。 エラーの説明: この会社でパスワード同期がアクティブ化されていません。 追跡 ID: 0744fa31-1d9b-453a-83d8-c2555d843802 サーバー名: BL2GR1BBA005。 >--- System.ServiceModel.FaultException1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: この会社に対してパスワード同期がアクティブ化されていません。 (エラーの詳細は Microsoft.Online.Coexistence.Schema.AdminWebServiceFault と等しくなります)。 | パスワード同期が、同期するパスワードがないことをMicrosoft Entra IDに通知できませんでした。 30 分ごとに発生します。 | ディレクトリ同期を構成する Azure Active Directory 同期ツールを使用しているときに 1 つ以上のオブジェクトが同期しない |
| 655 | ユーザー名またはパスワードが正しくありません。 ユーザー名を確認し、パスワードをもう一度入力します。 | Microsoft Entra資格情報は FIM を通じて更新されました。 | Microsoft Entra構成ウィザードをもう一度実行します。 次の Microsoft サポート技術情報の記事を参照してください。パスワード ハッシュ同期は、FIM で資格情報Microsoft Entra更新した後に動作を停止します |
| 6900 | パスワード変更通知の処理中に、サーバーで予期しないエラーが発生しました。 "ユーザー名またはパスワードが正しくありません。 ユーザー名を確認し、パスワードをもう一度入力します。 |
Microsoft Entra資格情報は FIM を通じて更新されました。 | Microsoft Entra構成ウィザードをもう一度実行します。 次の Microsoft サポート技術情報の記事を参照してください。パスワード ハッシュ同期は、FIM で資格情報Microsoft Entra更新した後に動作を停止します |
| 6900 | パスワード変更通知の処理中に、サーバーで予期しないエラーが発生しました。 "エラーが発生しました。 エラー コード: 90。 エラーの説明: この会社でパスワード同期がアクティブ化されていません |
organizationに対してパスワード同期が有効になっていません。 | 次の Microsoft サポート技術情報の記事を参照してください。ユーザー パスワードは同期されず、"この会社のパスワード同期がアクティブ化されていません" というエラーがログインイベント ビューアー |
詳細
完全なパスワード同期を実行する方法
完全なパスワード同期を行うには、使用しているAzure AD Sync アプライアンスに応じて、次の手順に従います。
Azure Active Directory 同期ツールを使用している場合:
ツールがインストールされているサーバーで PowerShell を開き、次のコマンドを実行します。
Import-Module DirSync以下のコマンドを実行します。
Set-FullPasswordSyncRestart-Service FIMSynchronizationService -Force
Azure AD Sync サービスまたは Microsoft Entra Connect を使用している場合は、次のページにあるスクリプトを実行します。Azure AD Sync: PowerShell を使用して完全なパスワード同期をトリガーする方法
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示