セルフ サービスによるパスワードのリセットのための Azure AD 機能のカスタマイズCustomize the Azure AD functionality for self-service password reset

Azure Active directory (Azure AD) のセルフサービスによるパスワードのリセット (SSPR) をデプロイする IT プロフェッショナルは、ユーザーのニーズに合わせてエクスペリエンスをカスタマイズできます。IT professionals who want to deploy self-service password reset (SSPR) in Azure Active directory (Azure AD) can customize the experience to match their users' needs.

SSPR が有効になっていない場合でも、ユーザーにはパスワード リセット ポータルに "管理者に問い合わせてください" リンクが表示されます。Even if SSPR is not enabled, users still have a "Contact your administrator" link on the password reset portal. ユーザーがこのリンクを選択した場合、次のいずれかが実行されます:If a user selects this link, it either:

  • メールが管理者に送信され、ユーザーのパスワードの変更についての支援が求められます。Emails your administrators and asks them for assistance in changing the user's password.
  • 支援のために指定した URL がユーザーに送信されます。Sends your users to a URL that you specify for assistance.

この連絡先は、ユーザーがサポートのために既に使用しているメール アドレスや Web サイトなどに設定することをお勧めします。We recommend that you set this contact to something like an email address or website that your users already use for support questions.

連絡先Contact

この連絡先メールは、次の受信者に次の順序で送信されます。The contact email is sent to the following recipients in the following order:

  1. パスワード管理者ロールが割り当てられている場合は、このロールを持つ管理者が通知を受け取ります。If the password administrator role is assigned, administrators with this role are notified.
  2. パスワード管理者が割り当てられていない場合は、ユーザー管理者ロールを持つ管理者が通知を受け取ります。If no password administrators are assigned, then administrators with the user administrator role are notified.
  3. 上記のどちらのロールも割り当てられていない場合は、グローバル管理者が通知を受け取ります。If neither of the previous roles are assigned, then the global administrators are notified.

どの場合も、最大 100 人の受信者が通知を受け取ります。In all cases, a maximum of 100 recipients are notified.

さまざまな管理者ロールと、それらの管理者ロールを割り当てる方法の詳細については、「Azure Active Directory での管理者ロールの割り当て」を参照してください。To find out more about the different administrator roles and how to assign them, see Assigning administrator roles in Azure Active Directory.

"管理者に問い合わせてください" メールを無効にするDisable "Contact your administrator" emails

組織でパスワードのリセット要求を管理者に通知しないようにする場合は、以下の構成を有効にできます。If your organization does not want to notify administrators about password reset requests, you can enable the following configuration:

  • すべてのエンド ユーザーに対してセルフ サービスによるパスワードのリセットを有効にします。Enable self-service password reset for all end users. このオプションは [パスワード リセット] > [プロパティ] の下にあります。This option is under Password Reset > Properties.

    ユーザーに自分のパスワードをリセットさせたくない場合は、アクセスの対象を空のグループにすることができます。If you don't want users to reset their own passwords, you can scope access to an empty group. このオプションは推奨されません。We don't recommend this option.

  • ヘルプデスクのリンクをカスタマイズして、ユーザーがヘルプを得るために使用できる Web URL または mailto: アドレスを指定します。Customize the helpdesk link to provide a web URL or mailto: address that users can use to get assistance. このオプションは [パスワード リセット] > [カスタマイズ] > [カスタム ヘルプデスクの電子メールまたは URL] の下にあります。This option is under Password Reset > Customization > Custom helpdesk email or URL.

SSPR の AD FS サインイン ページをカスタマイズするCustomize the AD FS sign-in page for SSPR

Active Directory Federation Services (AD FS) 管理者は、サインイン ページの説明の追加の記事のガイダンスを参考にして、サインイン ページへのリンクを追加できます。Active Directory Federation Services (AD FS) administrators can add a link to their sign-in page by using the guidance found in the Add sign-in page description article.

AD FS サインイン ページにリンクを追加するには、AD FS サーバーで次のコマンドを使用します。To add a link to the AD FS sign-in page, use the following command on your AD FS server. ユーザーは、このページを使用して、SSPR ワークフローを入力できます。Users can use this page to enter the SSPR workflow.

Set-ADFSGlobalWebContent -SigninPageDescriptionText "<p><A href=’https://passwordreset.microsoftonline.com’>Can’t access your account?</A></p>"

サインイン ページとアクセス パネルの外観のカスタマイズCustomize the sign-in page and access panel look and feel

サインイン ページをカスタマイズできます。You can customize the sign-in page. 会社のブランドに合ったイメージと一緒に表示されるロゴを追加できます。You can add a logo that appears along with the image that fits your company branding.

選択したグラフィックスは、次の状況で表示されます。The graphics you choose are shown in the following circumstances:

グラフィックスの詳細Graphics details

次の設定を使用して、サインイン ページの表示特性を変更できます。Use the following settings to change the visual characteristics of the sign-in page. [Azure Active Directory] > [会社のブランド] > [会社のブランドを編集する] に移動します。Go to Azure Active Directory > Company branding > Edit company branding:

  • サインイン ページのイメージは、1420 x 1200 ピクセルで 500 KB 未満の .png ファイルまたは .jpg ファイルにする必要があります。The sign-in page image should be a .png or .jpg file, 1420 x 1200 pixels, and no larger than 500 KB. 最良の結果を得るために、200 KB 程度に維持することをお勧めします。For the best results, we recommend that you keep it around 200 KB.
  • サインイン ページの背景色は接続の待機時間が長い場合に使用され、RGB 16 進形式でなければなりません。The sign-in page background color is used on high-latency connections and must be in RGB hexadecimal format.
  • バナー イメージは、60 x 280 ピクセルで 10 KB 以内の .png ファイルまたは .jpg ファイルにする必要があります。The banner image should be a .png or .jpg file, 60 x 280 pixels, and be no larger than 10 KB.
  • 正方形のロゴ (標準および濃色のテーマ) は、240 x 240 (サイズ変更可能) ピクセルで 10 KB 以内の .png ファイルまたは .jpg ファイルにする必要があります。The square logo (normal and dark theme) should be a .png or .jpg file, 240 x 240 (resizable) pixels, and no larger than 10 KB.

サインイン テキストのオプションSign-in text options

次の設定を使用して、組織に関連するテキストをサインイン ページに追加することができます。Use the following settings to add text to the sign-in page that's relevant to your organization. [Azure Active Directory] > [会社のブランド] > [会社のブランドを編集する] に移動します。Go to Azure Active Directory > Company branding > Edit company branding:

  • ユーザー名のヒント: someone@example.com のテキスト例をユーザーにより適したものに置き換えます。User name hint: Replaces the example text of someone@example.com with something more appropriate for your users. 内部ユーザーと外部ユーザーをサポートする場合は、既定のヒントのままにしておくことをお勧めします。We recommended that you leave the default hint when you support internal and external users.
  • サインイン ページのテキスト: 最大 256 文字の長さまで指定できます。Sign-in page text: Can be a maximum of 256 characters in length. このテキストは、ユーザーがオンラインでサインインする任意の場所と、Windows 10 の Azure AD Workplace 参加エクスペリエンスに表示されます。This text appears anywhere your users sign in online and in the Azure AD Workplace Join experience on Windows 10. このテキストは、使用条件、手順、およびヒントをユーザーに示すために使用します。Use this text for the terms of use, instructions, and tips for your users.

    重要

    サインイン ページは誰でも表示できるため、ここには機密情報を入れないでください。Anyone can see your sign-in page, so don't provide any sensitive information here.

"[サインインしたままにする] は無効" 設定The "Keep me signed in disabled" setting

[サインインしたままにする] は無効オプションを使用すると、ユーザーは、ブラウザー ウィンドウを閉じて開き直した場合でもサインインしたままにできます。With the Keep me signed in disabled option, users can remain signed in when they close and reopen their browser window. このオプションはセッションの有効期間には影響しません。This option does not impact the session lifetime. [Azure Active Directory] > [会社のブランド] > [会社のブランドを編集する] に移動します。Go to Azure Active Directory > Company branding > Edit company branding.

SharePoint Online と Office 2010 の一部の機能は、ユーザーのこのチェック ボックスを選択する機能に依存します。Some features of SharePoint Online and Office 2010 have a dependency on users' ability to select this check box. このオプションが非表示の場合は、ユーザーに追加の予期しないサインイン画面が表示されることがあります。If you hide this option, users can get additional and unexpected sign-in prompts.

ディレクトリ名Directory name

[Azure Active Directory] > [プロパティ] で、ディレクトリ名属性を変更できます。You can change the directory name attribute under Azure Active Directory > Properties. ポータルと自動通信で表示される組織のフレンドリ名を表示できます。You can show a friendly organization name that is seen in the portal and in the automated communications. このオプションは、以下の形式の自動メールで最も多く表示されます。This option is the most visible in automated emails in the forms that follow:

  • メールのフレンドリ名 (例: "Microsoft on behalf of CONTOSO demo")The friendly name in the email, for example “Microsoft on behalf of CONTOSO demo”
  • メールの件名行 (例: "CONTOSO demo account email verification code")The subject line in the email, for example “CONTOSO demo account email verification code”

次のステップNext steps