パスワード管理に関するよく寄せられる質問 (FAQ)

パスワードのリセットに関連するあらゆる事に対してよく寄せられる質問を次に示します。

ここで解決できない Azure AD やセルフサービスのパスワード リセットに関する一般的な質問がある場合は、Azure AD フォーラムでコミュニティに支援を求めることができます。 コミュニティのメンバーには、エンジニア、製品マネージャー、MVP、IT プロフェッショナルなどが含まれます。

この FAQ は、次のセクションに分かれています。

パスワード リセット登録

  • Q: ユーザーが自分のパスワード リセット データを登録することはできますか。

    A: はい。パスワード リセットが有効になっており、ユーザーにライセンスが付与されている場合は、パスワード リセット登録ポータル (http://aka.ms/ssprsetup) で、認証情報を登録できます。 また、ユーザーは、アクセス パネル (http://myapps.microsoft.com) の [プロファイル] タブをクリックし、[パスワード リセットの登録] オプションをクリックして登録することもできます。

  • Q: ユーザーの代わりにパスワード リセット データを定義することはできますか。

    A: はい。これは Azure AD Connect、PowerShell、Azure ポータル、または Office 管理ポータルで実行できます。 詳細については、Azure AD セルフサービスのパスワード リセットで使用されるデータに関する記事をご覧ください。

  • Q: オンプレミスからセキュリティの質問のデータを同期できますか。

    A: 現時点ではできません。

  • Q: ユーザーは、他のユーザーに見られないようにデータを登録することはできますか。

    A: はい。ユーザーがパスワード リセット登録ポータルを使用してデータを登録すると、そのデータは、全体管理者とそのユーザーが参照できるプライベート認証フィールドに保存されます。

    注意

    Azure 管理者アカウントで認証用電話番号を登録すると、携帯電話フィールドに入力されて表示されます。

  • Q: ユーザーがパスワード リセットを使用するには、そのユーザーが事前に登録されている必要がありますか。

    A: いいえ。ユーザーに代わって管理者が必要な認証情報を定義している場合は、ユーザーを登録する必要はありません。 適切に書式設定されたデータがディレクトリ内の該当フィールドに格納されている限り、パスワード リセットは正常に動作します。

  • Q: ユーザーの代わりに管理者が [認証用電話]、[認証用電子メール]、または [代替の認証用電話] フィールドを同期または設定できますか。

    A: 現時点ではできません。

  • Q: 登録ポータルでユーザーに対して表示されるオプションはどのように決定されていますか。

    A: パスワード リセット登録ポータルには、ユーザーに対して有効にしたオプションのみが表示されます。 これらのオプションは、ディレクトリの [構成] タブの [ユーザー パスワードのリセット ポリシー] セクションにあります。 つまり、たとえば、セキュリティの質問を有効にしていない場合、ユーザーはそのオプションに登録できません。

  • Q: ユーザーが登録されたと見なされるのはどのタイミングですか。

    A: ユーザーは、Azure ポータルで設定されているリセットに必要な方法の数以上で登録した場合に、SSPR に登録されたとみなされます。

    パスワード リセット

  • Q: パスワード リセットしてから電子メール、SMS、または電話呼び出しを受け取るまでにどのくらいの時間がかかりますか。

    A: 電子メール、SMS メッセージ、および電話呼び出しを受け取るまでにかかる時間は 1 分以内です (通常は 5 ~ 20 秒)。 この期間内に通知を受け取らない場合は、

    • 迷惑メール フォルダーを確認します。
    • アクセスしている番号やメールが期待しているものであることを確認します。
    • ディレクトリ内の認証データの書式が正しいことを確認します。
      • 例: "+1 4255551234" または "user@contoso.com"
  • Q: パスワード リセットはどの言語に対応していますか。

    A: パスワード リセット UI、SMS メッセージ、音声通話は、Office 365 でサポートされているのと同じ言語にローカライズされています。

  • Q: ディレクトリの [構成] タブで組織のブランドを設定した場合、パスワード リセット エクスペリエンスのどの部分がブランド化されますか。

    A: パスワード リセット ポータルに組織のロゴが表示されるほか、管理者への連絡用リンクにカスタムの電子メールまたは URL を設定できます。 パスワード リセットによって送信される電子メールには、組織のロゴ、色、電子メールの本文内の名前、カスタマイズされた <差出人> 名が使用されます。

  • Q: パスワードをリセットするためにアクセスする場所を、どのようにユーザーに案内すればよいですか。

    A: https://passwordreset.microsoftonline.com directly に直接アクセスするように案内するか、会社または学校のサインイン ページにあるアカウントにアクセスできない場合のリンクをクリックするように案内してください。 これらのリンク先は、ユーザーが簡単にアクセスできる場所に公開することもできます。

  • Q: モバイル デバイスからこのページを使用できますか。

    A: はい。このページは、モバイル デバイスでも使用できます。

  • Q: ユーザーがパスワードをリセットするときに、ローカルの Active Directory アカウントのロックを解除できますか。

    A: はい。ユーザーが自分のパスワードをリセットし、Azure AD Connect を使用してパスワード ライトバックがデプロイされている場合、パスワードをリセットしたときに、そのユーザーのアカウントが自動的にロック解除されます。

  • Q: パスワード リセットをユーザーのデスクトップ サインイン エクスペリエンスに直接統合できますか。

    A: Azure AD Premium のお客様は、追加料金なしで Microsoft Identity Manager をインストールし、オンプレミスのパスワード リセット ソリューションをデプロイすると、この要件を満たすことができます。

  • Q: ロケールごとに異なるセキュリティの質問を設定できますか。

    A: 現時点ではできません。

  • Q: セキュリティの質問の認証オプションには質問をいくつ設定できますか。

    A:Azure ポータルでは、最大 20 個のカスタムのセキュリティの質問を設定できます。

  • Q: セキュリティの質問の長さに制限はありますか。

    A: セキュリティの質問は、3 ~ 200 文字の長さにする必要があります。

  • Q: セキュリティの質問に対する回答の長さに制限はありますか。

    A: 回答は、3 ~ 40 文字の長さにする必要があります。

  • Q: セキュリティの質問に対して重複する回答は拒否されますか。

    A: はい。セキュリティの質問に対して重複する回答は拒否されます。

  • Q: ユーザーが同じセキュリティの質問を 2 回以上登録することはできますか。

    A: いいえ。ユーザーは、特定の質問を登録した後、同じ質問を再度登録することはできません。

  • Q: 登録用とリセット用のセキュリティの質問の個数に下限を設定できますか。

    A: はい。登録用とリセット用にそれぞれ制限を設定できます。 登録用とリセット用にそれぞれ 3 ~ 5 個のセキュリティの質問が必要になるように設定できます。

  • Q: リセットに必要な質問の最大数を超える数の質問をユーザーが登録した場合、セキュリティの質問はリセット時にどのように選択されますか。

    A: ユーザーが登録したすべてのセキュリティの質問の中から N 個の質問がランダムに選択されます (ここで N は、リセットのために必要な質問の数です)。 たとえば、リセット操作に必要なセキュリティの質問の数が 3 つであるにもかかわらずユーザーが 5 つの質問を登録している場合、リセット時に 5 つの中から 3 つがランダムに選択されて表示されます。 ユーザーが質問の答えを間違えた場合、同じ質問が表示されるのを防ぐために、選択プロセスが再度実行されます。

  • Q: 短い期間にパスワード リセットを何度も試みるユーザーへの対策は用意されていますか。

    A: はい。パスワード リセットには悪用防止のためのセキュリティ機能が組み込まれています。 ユーザーが 1 時間の間に試行できるパスワード リセットの回数は 5 回に制限されており、この回数を超えるとユーザーは 24 時間ロックアウトされます。 ユーザーが 1 時間の間に試行できる電話番号の確認の回数は 5 回に制限されており、この回数を超えるとユーザーは 24 時間ロックアウトされます。 ユーザーが 1 時間の間に試行できる単一の認証方法の回数は 5 回に制限されており、この回数を超えるとユーザーは 24 時間ロックアウトされます。

  • Q: 電子メールと SMS のワンタイム パスコードの有効期間はどのくらいですか。

    A: パスワード リセットのセッション有効期間は 105 分です。 パスワード リセット操作の開始からパスワードをリセットするまで、ユーザーに 105 分の時間が与えられます。 この期間を経過すると、電子メールと SMS のワンタイム パスコードは無効になります。

パスワードの変更

パスワード管理レポート

  • Q: データがパスワード管理レポートに表示されるまでにどのくらいの時間がかかりますか。

    A: データは、5 ~ 10 分以内にパスワード管理レポートに表示されます。 場合によっては、最大 1 時間かかることもあります。

  • Q: パスワード管理レポートをフィルター処理するにはどうすればよいですか。

    A: パスワード管理レポートをフィルター処理するには、レポート上部の列ラベルの右端にある小さな虫眼鏡アイコンをクリックします。 より高度なフィルター処理を実行するには、レポートを Excel にダウンロードしてピボット テーブルを作成します。

  • Q: パスワード管理レポートに格納される最大イベント数はどれだけですか

    A: パスワード管理レポートには、30 日間のバックアップ全体で、最大で 75,000 個のパスワード リセット イベントまたはパスワード リセット登録イベントが格納されます。 より多くのイベントを格納できるように、この値の拡張に取り組んでいます。

  • Q: パスワード管理レポートには何日前までの操作が表示されますか。

    A: パスワード管理レポートには、過去 30 日以内に発生した操作が表示されます。 今のところ、このデータをアーカイブする必要がある場合は、レポートを定期的にダウンロードして別の場所に保存してください。

  • Q: パスワード管理レポートに表示できる行の最大数は決まっていますか。

    A: はい。UI に表示した場合またはダウンロードした場合のいずれでも、パスワード管理レポートに表示できる最大行数は 75,000 行です。

  • Q: パスワード リセットまたは登録レポート データにアクセスする API はありますか。

    A: はい。パスワード リセット レポート データのストリームにアクセスする方法については、次のドキュメントを参照してください。 パスワード リセット レポート イベントにプログラムでアクセスする方法

パスワードの書き戻し

  • Q: パスワード ライトバックは、バックグラウンドでどのように動作しますか。

    A: パスワード ライトバックを有効にした場合の動作、およびシステム内でデータがオンプレミスの環境に戻る経路の詳細については、「How password writeback works」(パスワード ライトバックのしくみ) をご覧ください。

  • Q: パスワード ライトバックが機能するにはどれくらいの時間がかかりますか。パスワード ハッシュ同期のような同期遅延がありますか。

    A: パスワード ライトバックは即座に実行されます。 パスワード ライトバックは、パスワード ハッシュ同期とは根本的に異なる方法で動作する同期パイプラインです。 パスワード ライトバックでは、ユーザーは、パスワードのリセット操作または変更操作の完了についてリアルタイムのフィードバックを受け取ります。 正常なパスワード ライトバックの平均時間は 500 ミリ秒未満です。

  • Q: オンプレミスのアカウントが無効にされている場合、クラウド アカウント/アクセスにどのような影響がありますか。

    A:オンプレミスの ID が無効にされている場合、AAD Connect 経由の次回の同期間隔 (既定で 30 分間隔) で、クラウド ID/アクセスも無効になります。

  • Q: オンプレミスのアカウントがオンプレミスの Active Directory パスワード ポリシーによって制約されている場合に、パスワードを変更すると、SSPR はこのポリシーに従いますか。

    A: はい。SSPR は、一般的な AD ドメイン パスワード ポリシーのほか、特定のユーザーを対象とする定義済みの任意の詳細なパスワード ポリシーを含め、オンプレミス AD パスワード ポリシーに依存し、従います。

  • Q: パスワード ライトバックはどのような種類のアカウントで動作しますか。

    A: パスワード ライトバックは、フェデレーション ユーザーおよびパスワード ハッシュ同期ユーザーに対して動作します。

  • Q: パスワード ライトバックでは、ドメインのパスワード ポリシーが適用されますか。

    A: はい。パスワード ライトバックでは、ローカル ドメインのパスワードにユーザーが設定したパスワードの有効期間、履歴、複雑さ、フィルター、およびその他の制限が適用されます。

  • Q: パスワード ライトバックはセキュリティで保護されていますか。ハッキングされないようにするにはどうすればよいですか。

    A: はい。パスワード ライトバックはセキュリティで保護されています。 パスワード ライトバック サービスによって実装される 4 層のセキュリティの詳細については、「How password writeback works」(パスワード ライトバックのしくみ) の「Password writeback security mode」(パスワード ライトバックのセキュリティ モデル) のセクションをご覧ください。

次のステップ

次のリンク先では、Azure AD を使用したパスワードのリセットに関する追加情報が得られます。

  • クイック スタート - Azure AD のセルフ サービスによるパスワードのリセットの管理を始めることができます
  • ライセンス - Azure AD のライセンスを構成します
  • データ - パスワード管理に必要なデータとその使用方法がわかります
  • 展開 - ここで見つかるガイダンスを使用してユーザーに対する SSPR を計画してデプロイできます
  • カスタマイズ - 会社の SSPR エクスペリエンスの外観をカスタマイズします。
  • レポート - ユーザーが SSPR 機能にアクセスしたかどうかや、アクセスしたタイミングと場所を検出します
  • ポリシー - Azure AD のパスワード ポリシーを把握し、設定します
  • パスワード ライトバック - オンプレミスのディレクトリでのパスワード ライトバックのしくみ
  • 技術的詳細 - しくみを詳しく説明しています
  • トラブルシューティング - SSPR の一般的な問題を解決する方法について説明しています