Microsoft Entra ID Protection におけるリスク管理について、オンプレミス AD とのハイブリッド環境の構成に関わるある課題を解消する設定が、プレビュー公開されました。
Remediate User Risks in Microsoft Entra ID Protection Through On-premises Password Changes - Microsoft Community Hub

 

上記の説明を読み解いて理解したと思うので、行間を補足しながら書こうと思います。

まず、Microsoft Entra ID Protection（以前の Azure AD Identity Protection）には、常にユーザーごとのリスク状態を管理し、資格情報の漏えいや異常なアクティビティの検知などにより、リスク高、中、低、のレベル付けがされる「ユーザー リスク」が備わっています。

リスクポリシーを構成すると、このリスク度合いにより、リスクの高いユーザーのサインインを自動的にブロックしたり、パスワード変更を促すことが出来ます。

そして、この自動的なパスワード変更要求に対しては、Microsoft Entra ID のサインイン画面から MFA 応答を合わせて、ユーザー本人がパスワード変更することにより、ユーザーリスクのレベルは自動的に「修復済み」となり、変更したパスワードはオンプレミス AD へライトバックされます。

 

しかし、オンプレミス AD 側でパスワード変更した場合は、この Entra ID のユーザーリスクのレベルが「修復済み」にリセットされませんでした。
そのため、リスクが蓄積されてユーザーリスクが上がると、ユーザーがサインイン出来なくなり、管理者が手動で対応しなければならないケースが発生しました。

 

そのようなケースに対応するため、今回の発表では、「オンプレミスのパスワード変更によるユーザーリスクのリセットを許可する」という設定が追加されました。
とてもシンプルな設定画面になっていました。

Microsoft Entra 管理センター 画面 ＞「保護」＞「Identity Protection」＞「設定」

 

（参考）
Microsoft Entra ID 保護のリスクとは - Microsoft Entra | Microsoft Learn

Azure AD Identity Protection でリスクを修復してユーザーをブロック解除する - Microsoft Entra | Microsoft Learn