[Microsoft Entra ID] パスワード保護 入門＆設定マニュアル

はじめに

今回は、Microsoft Entra ID (旧Azure AD) の「パスワード保護（Password Protection）」機能について、なぜ必要なのか/どう設定するのか を解説します。
この記事を読むことで、セキュリティ強化の背景理解から実際の運用のイメージまで掴めます。
本記事は、社内のアカウント管理を担当している方や、Microsoft認定資格 SC-900 の学習を進めている方を想定しています。

パスワード保護とは

Entra ID の「パスワード保護」とは、弱いパスワードの利用を防ぐセキュリティ機能です。これにより、組織のアカウントを不正アクセスから守ります。
理解を深めるために、「背景 → 機能 → メリット」の流れで整理します。

1. 背景：弱いパスワードのリスク

「abc」, 「123」, 「password」 などの推測されやすいパスワードを利用すると、攻撃者による不正アクセスリスクが高まり、情報漏えいやシステム侵害につながる恐れがあります。

2. 機能：弱いパスワードを禁止する仕組み

パスワード保護機能では、以下の仕組みで脆弱なパスワードをブロックします。

• Microsoft が定める禁止パスワードリスト
• 管理者が追加できるカスタムリスト
• オンプレミス AD とも連携可能

3. メリット：組織全体で安全な認証基盤を構築

この機能を利用することで、

• ユーザーのパスワード強度を一定以上に維持
• 不正アクセスを未然に防止
• 組織全体のアカウントセキュリティを向上　します。

弱いパスワードの具体例

弱いパスワードは、大きく2種類に分けられます。

1. グローバル禁止パスワードリスト

Microsoft が管理している、世界的に脆弱とされるパスワードのリストです。

• 例:「Password」, 「pass」, 「p@ss」, 「qwert」, 「123」など
  セキュリティ強化のため、Microsoft ではグローバル禁止パスワードリストの具体的な登録単語は非公開です。上記例はあくまでも、一般的に想定される弱いパスワードの例です。
• Microsoft Entra テナントのすべてのユーザーに 自動的に適用
• 管理者が有効化・無効化することはできません

2. カスタム禁止パスワードリスト

組織ごとに 独自に禁止のパスワードを定義できるリスト です。

• 例：「ABCcompany」（社名）, 「ITdept」（部署名）
• 組織固有の用語を中心に設定するのが効果的

追加対象の例：

• ブランド名
• 製品名
• 場所 (本社など)
• 会社固有の内部用語
• 会社固有の意味を持つ略語

カスタム禁止パスワードの設定手順

繰り返しになりますが、グローバル禁止パスワードリストは管理者が確認・変更はできません。
一方で、カスタム禁止パスワードリストは管理者が、追加・編集可能なので、こちらの設定手順を解説します。

1. 管理画面にアクセスする

まずは、[Microsoft Entra ID 管理センター] にサインインします。

2. パスワード保護の設定手順

[Entra ID] > [認証方法] > [パスワード保護] をクリックします。

この設定画面では、カスタム禁止パスワードの登録だけでなく、ロックアウトなどパスワード管理に関する全般的な設定が可能です。
（本記事では、サンプル値を既に入力済みです。）

カスタムのスマートロックアウト

• ロックアウトとは?
  ロックアウトとは、不正アクセス防止のための仕組みです。
  ユーザーが一定回数以上パスワードを誤入力すると、アカウントは一時的にサインインできなくなります。
  ただし、これは管理者によるアカウントの恒久的な停止（凍結）とは異なり、一定期間が経過すると再びサインイン可能になります。

• ロックアウトのしきい値：そのアカウントで許容されるパスワードの入力ミスの回数です。
  例：3回までは誤入力しても問題ありませんが、4回目の誤入力でアカウントがロックアウトされます。
• ロックアウト期間 (秒単位)：ロックアウトが発生した場合に、アカウントを一時的に利用できなくする時間です。
  例：ここでは60秒間（1分間）サインインが制限されます。

カスタム禁止パスワード

• カスタムリストの適用
  カスタム禁止パスワードリストを適用する場合は、「はい」を選択します。

• カスタム禁止パスワードの一覧
  実際に登録する単語を入力します。
  例：「ABCcompany」, 「testuser」, 「admin」, 「ITdept」, 「p@ssword」, 「pass」

記載時のルール

• 1行につき1単語を入力します（カンマ「,」やスラッシュ「/」などは不要）。
• 最大 1,000 語まで登録可能です。
• 大文字・小文字は区別されず、一般的な文字置換 (0 の場合には o など) も自動的に考慮されます。

補足・ベストプラクティス

• 「password」などはすでにグローバル禁止リストに登録済みの可能性がありますが、確認できないため、念のためカスタム禁止リストにも追加しておくと安心です。
• 単語を基本形（例：ABCCompany）で登録すると、派生パターン（例：「ABCcompany123, ABCcompany_ITadmin」）も自動的に禁止され、効率的です。
• 登録単語が多い場合は、Excelやメモ帳で事前にリストを作成して保存し、それをコピー＆ペーストする方法がおすすめです。

AD のパスワード保護

Windows Server Active Directory のパスワード保護を有効にする

• ここで [はい] を選択すると、適切なエージェントをインストールした際に、Active Directory ドメイン コントローラーでもパスワード保護機能が有効になります。
• この設定によって、クラウド（Microsoft Entra ID）だけでなく、オンプレミス AD 環境でも同じ禁止パスワードポリシーを適用可能 となり、ハイブリッド環境における一貫したセキュリティ強化が実現できます。

補足（適用の前提条件）

• 有効化には、オンプレミス環境に 「Azure AD Password Protection Proxy サービス」 および 「ドメイン コントローラー用エージェント」 をインストールしておく必要があります。
• グローバル禁止パスワードリストとカスタム禁止パスワードリストが、そのまま AD 環境にも適用されます。
• 設定を [はい] にしても、エージェントが未インストールの場合は機能しない点に注意してください。

3. 設定完了

上記の設定内容を確認し、問題がなければ 「保存」 をクリックします。

これで設定は完了です。

※保存後の反映タイミングに関しては、下記のとおりです。

• クラウド側（Entra ID / Azure AD）
  基本的には、保存直後からポリシーは有効になります。ユーザのキャッシュが残っているなどの場合は、反映に数分程度かかることがあります。

• オンプレミス AD 環境（Azure AD Password Protection エージェント適用時）
  保存後、エージェントがポリシーを取得して適用するまでに 最大 15 分程度かかる場合があります。
  すぐにすべてのユーザーに反映されるわけではなく、ドメイン コントローラーごとに順次適用されます。

まとめ

今回は、Microsoft Entra ID（旧 Azure AD）の パスワード保護機能 について次のような特徴を解説しました。

• グローバル／カスタム禁止パスワードリスト で弱いパスワードを防止。
• ロックアウト設定 で誤入力時に一時的にアカウントを保護。
• オンプレミス AD でもエージェントを使えば同じポリシーを適用可能。

本機能を活用することで、組織のアカウントを安全に管理することにつながります。また、Microsoft 認定試験のSC-900の学習内容と重なる部分も多く、資格試験の理解にも役立つと考えます。
最後までお読みいただき、ありがとうございました。