Office365のディレクトリ同期ツールがバージョンアップして、パスワード同期の機能が実装されたとのことで、早速試してみました。

インストール方法は今までと基本的に変わりません。Office365のテナント側でディレクトリ同期を有効化した上で以下の手順でインストールします。

1. .NET 3.5の機能をインストールする

ディレクトリ同期ツールのインストールには、.NET Frameworks 3.5が必要になります。無い場合はエラーになります。
2.ディレクトリ同期ツールをインストールする

続いてdirsync-ja.exeを実行してセットアップします。190MB程になったので、かなりファイルサイズが大きくなりましたね。最後の画面でチェックボックスを入れ、そのまま構成ウィザードを実行します。

3,構成ウィザードを実行する

ディレクトリ構成ウィザードでは、Office365の全体管理者のID/PASS、Active DirectoryのEnterprise Adminsの権限を持ったアカウントのID/PASSを指定します。

ちなみに、6/6現在のバージョン(1.0.6385.0012)だとハイブリッド機能にバグがあるらしく、ここは有効化しない方が良いと思われます。新しく.0024のバージョンが近日中に公開されると思われます。（Exchangeが組織内にある場合のみ有効化可能です）

[パスワード同期]ここの項目が新しく加わってます。[パスワード同期を有効にする]のチェックボックスをチェックしてから[次へ]をクリックします。

これでインストールは完了です。初回同期でオブジェクトが作成されると共に、パスワードの初期同期も実行されます。このため、Active Directoryのパスワードですぐログインができるようになりました。
 

さて、それでは少し細かい所を触っていきましょう。まず、MIISClientを事項するのに必要な権限がMIISAdminsからFIMSyncAdminsに変わりましたので、運用でMIISClientを触っている人は気をつけた方が良いでしょう。

また、ディレクトリ同期用のアカウントがMSOL_AD_SYNCからAAD_xxxxxxに変更されました。

また、パスワード同期が有効化されていても、Office365側でもパスワードを変更することが可能です。ただし、オンプレミスのADにパスワードは同期されません。つまり、ディレクトリ同期と同様、同期の方向はAD→Office365の一方向です。

次に、パスワードの同期間隔です。ご存じの通り、ディレクトリ同期ツールは3時間に1度しか同期されません。さすがにパスワードの同期がそれほど長いかかると実用に耐えないということか、パスワードの同期のみ、より短時間で同期されるとMicrosoftのサイトにも記載されてます。

試しにパスワードリセットしてみると、ものの1分ほどでディレクトリ同期サーバのイベントログに変更要求とその成功が記録され、パスワードが同期されています。ちなみに、ディレクトリ同期のコンソール画面であるMIISClientには何も表示されません。

色々と試したところ、どうやら2分間隔で定期的にパスワード変更が有った場合にそれを同期させているようです。細かいところだと、2分間の間に複数回同じIDで変更が掛かった場合は最新のパスワード情報のみ同期され、また、仮パスワード（次回ログオン時に変更を要求する物）については同期されないようです。

これを利用すると、管理者としてはプロビジョニングとパスワード管理の簡素化、利用者に対しても複数のパスワードを管理しなくて良いという利便性が提供できるので、手軽なソリューションとして利用できそうです。