セルフサービスによるパスワードのリセットを適切にロールアウトする方法How to successfully roll out self-service password reset

Azure Active Directory (Azure AD) のセルフサービスによるパスワード リセット (SSPR) 機能が円滑にロールアウトされるように、ほとんどのお客様は次の手順を実行します。To ensure a smooth rollout of the Azure Active directory (Azure AD) self-service password reset (SSPR) functionality, most customers complete the following steps:

  1. ディレクトリでパスワードのリセットを有効にしますEnable password reset in your directory.
  2. パスワード ライトバック用にオンプレミスの Active Directory のアクセス許可を構成しますConfigure on-premises Active Directory permissions for password writeback.
  3. パスワード ライトバックを構成し、パスワードを Azure AD からオンプレミス ディレクトリに書き戻します。Configure password writeback to write passwords from Azure AD back to your on-premises directory.
  4. 必要なライセンスを割り当てて、確認しますAssign and verify the required licenses.
  5. 段階的なロールアウトを実行するかどうかを決定します。Determine if you want to do a gradual rollout. SSPR を段階的にロールアウトする場合は、特定のグループでプログラムを試験運用できるように、アクセスをそのユーザー グループだけに制限できます。If you want to roll out SSPR gradually, you can limit access to a group of users so you can pilot the program with a specific group. 特定のグループにロールアウトするには、[セルフ サービスによるパスワードのリセットが有効] スイッチを [選択済み] に設定し、パスワードのリセットを有効にするセキュリティ グループを選択します。To roll out to a specific group, set the Self Service Password Reset Enabled switch to Selected and select the security group you want to be able use password reset.
  6. 会社電話、携帯電話、連絡用メール アドレスなど、ユーザーの登録に必要な認証データを設定します。Populate the authentication data needed for your users to register, such as their office phone, mobile phone, and alternate email address.
  7. Azure AD サインイン エクスペリエンスをカスタマイズして、会社のブランドを含めますCustomize the Azure AD sign-in experience to include your company branding.
  8. SSPR の使い方をユーザーに教えます。Teach your users how to use SSPR. パスワードの登録方法とリセット方法が記載されている手順書をユーザーに送信します。Send them instructions to show them how to register and how to reset their passwords.
  9. いつ登録を強制するかを決定します。Determine when you want to enforce registration. 任意の時点で登録を強制することができます。You can choose to enforce registration at any point. 一定期間後に認証情報の再確認をユーザーに求めることもできます。You can also require users to reconfirm their authentication information after a certain period of time.
  10. レポート機能を使用します。Use the reporting capability. 時間の経過と共に、Azure AD が提供するレポート機能を使用して、ユーザーの登録と使用の状況を確認することができます。Over time, you can review the users registration and usage with the reporting capability that Azure AD provides.
  11. パスワードのリセットを有効にします。Enable password reset. 準備ができたら、[セルフ サービスによるパスワードのリセットが有効] スイッチを [すべて] に設定することで、すべてのユーザーのパスワードのリセットを有効にします。When you're ready, enable password reset for all users by setting the Self Service Password Reset Enabled switch to All.
  12. Windows 10 ユーザーがログイン画面でパスワードをリセットできるようにしますEnable Windows 10 users to reset their password at the login screen.

    重要

    Microsoft は Azure 管理者アカウントに対して強力な認証要件を適用しているため、管理者ではなくユーザーで SSPR をテストします。Test SSPR with a user, rather than an administrator, as Microsoft enforces strong authentication requirements for Azure administrator accounts. 管理者のパスワード ポリシーの詳細については、パスワード ポリシーに関する記事を参照してください。For more information regarding the administrator password policy, see our password policy article.

電子メール ベースの展開Email-based rollout

多くのお客様は、ユーザーに SSPR の使用を促す最も簡単な方法は、電子メール キャンペーンで簡単な使用手順を配布することです。Many customers find that the easiest way to get users to use SSPR is with an email campaign that includes simple-to-use instructions. ロールアウトに役立つテンプレートとして使用できる 3 つの簡単な電子メールを作成しました。We have created three simple emails that you can use as templates to help in your rollout:

  • 準備中: ユーザーに必要な作業を通知するために、ロールアウトの数週間前または数日前に使用する電子メール テンプレートです。Coming soon: An email template that you use in the weeks or days before the rollout to let users know they need to do something.
  • 利用開始: ユーザーに認証データの登録と確認を促すために、プログラム開始当日に使用する電子メール テンプレートです。Available now: An email template that you use the day of the program launch to drive users to register and confirm their authentication data. ユーザーは、今登録すると、SSPR が必要になったときに利用できます。If users register now, they have SSPR available when they need it.
  • サインアップ リマインダー: ユーザーに認証データの登録と確認を行うよう念を押すために、デプロイの数日から数週間後に使用する電子メール テンプレートです。Sign-up reminder: An email template for a few days to a few weeks after deployment to remind users to register and confirm their authentication data.

電子メールEmail

独自のパスワードのポータルを作成するCreate your own password portal

多くのお客様は、Web ページをホストし、ルート DNS エントリ (https://passwords.contoso.com など) を作成することを選択しています。このページには、以下の情報へのリンクを設定します。Many customers choose to host a webpage and create a root DNS entry, like https://passwords.contoso.com. They populate this page with links to the following information:

ユーザーがこのサービスの使用を必要とするときにアクセスできる、覚えやすいブランド化された URL を、送信する任意の電子メールまたは広告に含めることができます。In any email communications or fliers you send out you can include a branded, memorable URL that users can go to when they need to use the services. 組織のニーズに応じて使用およびカスタマイズできるパスワードのリセットのサンプル ページをご用意しました。For your benefit, we have created a sample password reset page that you can use and customize to your organization’s needs.

強制登録を使用するUse enforced registration

ユーザーにパスワードのリセットを登録してほしい場合は、ユーザーが Azure AD を通じてサインインしたときに登録を要求できます。If you want your users to register for password reset, you can require that they register when they sign in through Azure AD. このオプションを有効にするには、ディレクトリの [パスワードのリセット] ウィンドウで [登録] タブの [サインイン時にユーザーに登録を求めますか] オプションを有効にします。You can enable this option from your directory’s Password reset pane by enabling the Require Users to Register when Signing in option on the Registration tab.

管理者は、特定の期間の経過後、ユーザーに再登録を要求することができます。Administrators can require users to re-register after a specific period of time. [ユーザーが認証情報を再確認するように求められるまでの日数] オプションを 0 ~ 730 日に設定できます。They can set the Number of days before users are asked to reconfirm their authentication information option to 0 to 730 days.

このオプションを有効にすると、ユーザーがサインインしたときに、管理者がユーザーに認証情報を確認するよう求めていることを通知するメッセージが表示されます。After you enable this option, when users sign in they see a message that says their administrator has required them to verify their authentication information.

認証データの設定Populate authentication data

ユーザーのために認証データを設定しておく必要があります。You should populate the authentication data for your users. そうすれば、ユーザーは、パスワードのリセットに登録しなくても SSPR を使用できます。That way users don't need to register for password reset before they are able to use SSPR. ユーザーは、定義されているパスワードのリセット ポリシーに準拠した認証データを指定していれば、自分のパスワードをリセットできます。As long as users have provided the authentication data that meets the password reset policy you have defined, they are able to reset their passwords.

セルフサービスのパスワード リセットの無効化Disable self-service password reset

セルフサービスのパスワード リセットは簡単に無効にできます。It's easy to disable self-service password reset. Azure AD テナントを開いて [パスワードのリセット] > [プロパティ] の順に移動し、[セルフ サービスによるパスワードのリセットが有効][なし] を選択します。Open your Azure AD tenant and go to Password Reset > Properties, and then select None under Self Service Password Reset Enabled.

次のステップNext steps