外部ユーザーは建物/ネットワークの外部にいるが、ドメイン内にあるコンピューターを持っているというシナリオで、リモート ユーザーが AD と同期できるようにするにはどのようなオプションがあるか知りたいです。
外部ユーザーが数人加わる予定です。この件についてテストしてきましたが、最初にテストした外部ユーザーは、Web メールで AD パスワードを変更しても、その変更が AD から自分のコンピューターに反映されないことに気付きました。このユーザーには AD サーバーに接続する手段がないので、当然のことです。この問題を解決する標準的な方法について知りたいです。可能と思われる方法をいくつか挙げますが、どの方法が可能でどの方法が不可能かを教えていただけると幸いです。もちろん、他のオプションも大歓迎です。
最近、Office 365 クラウド サービスを使い始め、Azure AD Connect を使用しています。ユーザーが「クラウド」AD にアクセスして、自分のコンピューターでパスワードをリセットし、それを AD 環境全体に反映させる方法はありますか? 誤解のないよう申し上げますが、私は実際の Azure AD ポータルを使用したことはなく、AD Connect を通じてパスワードとユーザーの同期を実行しただけです。
AD への外部認証を許可するためにファイアウォールに穴を開けるのは普通のことですか? これは絶対にやりたくないことのように思えますが、私は初心者なので間違っているかもしれません。
私たちは VPN を使用していますが、端的に言うと、私たちの ISP はひどく、非常に信頼性が低いです。VPN への接続試行の 1/5 程度が成功すると思います。私たちは ISP と協力していますが、彼らは非常に小規模で、リクエストを処理するのに苦労しています。
他に何かありますか?他の選択肢はありますか?
グーグルで調べたところ、ここでは VPN が最も一般的な方法のようですが、私たちの VPN はひどいので、1 番が実現可能だと期待していました。
答え1
Azure ADは、パスワードの書き戻しこれにより、ユーザーはインターネット上でパスワードを変更またはリセットし、AD Connect によってオンプレミスの AD に同期できるようになります。
パスワード ライトバックを使用するには、次の前提条件を満たしていることを確認する必要があります。
• You have an Azure AD tenant with Azure AD Premium enabled.
• Password reset has been configured and enabled in your Azure AD tenant.
• You have the Azure AD Connect tool installed with version number 1.0.0419.0911 or higher, and with Password Writeback enabled
既存のOffice 365サブスクリプションをお持ちの場合は、Azure ADテナントが既にあります。AzureポータルO365 アカウントを使用して、Azure AD の使用を開始します。
ちなみに、Azure AD Join 機能を備えた Windows 10 を使用する場合でも、パスワード ライトバックを有効にする必要があります。
また、直接アクセスリモート ユーザーがパスワードを変更またはリセットできるようにします。
以下は、以下のブログから引用したセクションです。
1 つ目は、リモート ユーザーのパスワードのリセットです。パスワードを忘れたり、リモート中にロックアウトされたりしたユーザーはヘルプデスクに電話しますが、ユーザーがドメイン コントローラーを認識できない場合、Active Directory でパスワード リセットを実行しても、ユーザーが内部ネットワークに接続しない限り役に立ちません。ログインできないために VPN を起動できないユーザーは、VPN を使用して接続することはできません。ただし、DirectAccess を使用すると、ユーザーは CTRL-ALT-DEL プロンプトからドメイン コントローラーを認識できるため、ヘルプデスクによって行われたパスワード リセットは、エンド ユーザーに即座に表示されます。DirectAccess インフラストラクチャ トンネルを介して Forefront Identity Manager セルフサービス パスワード リセット ポータルを公開し、ユーザーがインターネットをローミングしているときに自分のパスワードをリセットできるようにすることもできます。
2 つ目は、リモート ユーザーによるパスワードの変更です。OWA でパスワードを変更するローミング ラップトップ ユーザーは、このパスワード変更を Active Directory に送信します。ただし、ラップトップにキャッシュされた資格情報には影響しません。次回ユーザーがログオンして「新しいパスワード」を使用しようとすると、ラップトップがイントラネットに直接接続されていない限り、ラップトップにキャッシュされた資格情報に対するログオンは失敗します。DirectAccess を使用すると、ユーザーはいつでも CTRL-ALT-DEL プロンプトから直接パスワードを変更できます。
さらに、デフォルトでは 30 日ごとに行われるコンピューター アカウントのパスワード変更は、VPN をほとんど使用しないユーザーであっても、DirectAccess 対応のラップトップで正常に機能します。これにより、社内の IT プロフェッショナルが実行する AD クリーンアップ アクティビティによって正当なコンピューター アカウントがクリーンアップされるのを防ぐことができます。
答え2
Azure AD セルフサービス パスワード リセットは 1 つのオプションです。Azure AD Premium を直接または Enterprise Mobility Suite (EMS) などの別のパッケージ経由で入手する必要があります。これにより、Azure でパスワードをリセットし、Azure AD Connect 経由でオンプレミスの AD に書き戻すことができます。