問題
あなたの会社のEntra IDテナントではオンプレミスにあるADドメインとEntra Connectで同期を行ってユーザーを管理しています。
ある日、ADでユーザーアカウントを無効化しましたが、そのユーザーはEntra IDで一定期間認証ができてしまうことが判明しました。
ADでサインインできないようにするためにどのような操作を行う必要があるでしょうか。
Start-ADSyncSyncCycle コマンドを実行するEntra Connect のステージングサーバーをインストールするパスワードライトバックを構成するカスタム禁止パスワードを構成する
回答
1.Start-ADSyncSyncCycle コマンドを実行する
解説
ADとEntra IDをEntra Connectで同期している時、同期の間隔は規定で30分に1度行われる。
同期の方法には、スケジューリングされた定期実行の同期と手動で同期する方法があり、
「Start-ADSyncSyncCycle」は手動で同期をトリガーするためのPowerShellで実行できるコマンド。
また、Entra Connectの同期には「完全同期サイクル」と「差分同期サイクル」がある。
完全同期はADのユーザー・グループ・デバイス等の情報を全て同期
差分同期は完全同期した内容との差分を同期する
本設問のように直ちに同期を行いたい場合は「差分同期サイクル」を行う必要がある。
これは、コマンドのオプションで選択可能。
差分同期サイクル:Start-ADSyncSyncCycle -PolicyType Delta
完全同期サイクル:Start-ADSyncSyncCycle -PolicyType Initial※Windows PowerShellで実行可能なコマンドですが(x86)では動作しない点に注意
<参考:同期サイクル>
その他の選択肢
2.Entra Connect のステージングサーバーをインストールする
Entra Connectのステージングモードのこと。
Entra Connectのステージングモードは、2つの観点で利用される。
• 構成のテスト
• 可用性の確保
構成のテストの観点では、Entra ConnectサーバーはADからの情報をインポートし同期する準備までをするが、エクスポート(Entra IDへの同期)は行わない。
ステージングモードを無効にする(同期を有効にする)とエクスポートを行い、Entra ID同期が開始される。
例えば、同期ルールを変更したり、OSやアプリのバージョンアップによる動作チェックなどを行う時に使うことができる。
可用性の確保の観点では、サーバーの冗長構成を取り、片方をステージングモードでインストールする。
ステージングモードではADとEntra IDから変更を受信し続け、障害発生時に別のサーバーの役割を迅速に引き継ぐので、予備機として利用することができる。
ただし自動フェールオーバーはしないため、手動での有効化作業が必要。
<参考:Entra Connect: ステージングサーバー>
3.パスワードライトバックを構成する
パスワードライトバックについては、過去の勉強会で解説
4.カスタム禁止パスワードを構成する
カスタム禁止パスワードについては、過去の勉強会で解説
コメント