パスワード管理に関するよく寄せられる質問 (FAQ)Password management frequently asked questions

パスワードのリセットに関連するあらゆる事に対してよく寄せられる質問を次に示します。The following are some frequently asked questions for all things related to password reset.

ここで解決できない Azure AD やセルフサービスのパスワード リセットに関する一般的な質問がある場合は、Azure AD フォーラムでコミュニティに支援を求めることができます。If you have a general question about Azure AD and self-service password reset, that is not answered here, you can ask the community for assistance on the Azure Ad forums. コミュニティのメンバーには、エンジニア、製品マネージャー、MVP、IT プロフェッショナルなどが含まれます。Members of the community include Engineers, Product Managers, MVPs, and fellow IT Professionals.

この FAQ は、次のセクションに分かれています。This FAQ is split into the following sections:

パスワード リセット登録Password reset registration

  • Q: ユーザーが自分のパスワード リセット データを登録することはできますか。Q: Can my users register their own password reset data?

    A: はい。パスワード リセットが有効になっており、ユーザーにライセンスが付与されている場合は、パスワード リセット登録ポータル (http://aka.ms/ssprsetup) で、認証情報を登録できます。A: Yes, as long as password reset is enabled and they are licensed, they can go to the Password Reset Registration portal at http://aka.ms/ssprsetup to register their authentication information. また、ユーザーは、アクセス パネル (http://myapps.microsoft.com) の [プロファイル] タブをクリックし、[パスワード リセットの登録] オプションをクリックして登録することもできます。Users can also register by going to the access panel at http://myapps.microsoft.com, clicking the profile tab, and clicking the Register for Password Reset option.

  • Q: ユーザーの代わりにパスワード リセット データを定義することはできますか。Q: Can I define password reset data on behalf of my users?

    A: はい。これは Azure AD Connect、PowerShell、Azure ポータル、または Office 管理ポータルで実行できます。A: Yes, you can do so with Azure AD Connect, PowerShell, the Azure portal, or the Office Admin portal. 詳細については、Azure AD セルフサービスのパスワード リセットで使用されるデータに関する記事をご覧ください。For more information, see the article Data used by Azure AD Self-Service Password Reset.

  • Q: オンプレミスからセキュリティの質問のデータを同期できますか。Q: Can I synchronize data for security questions from on premises?

    A: 現時点ではできません。A: This is not possible today.

  • Q: ユーザーは、他のユーザーに見られないようにデータを登録することはできますか。Q: Can my users register data in such a way that other users cannot see this data?

    A: はい。ユーザーがパスワード リセット登録ポータルを使用してデータを登録すると、そのデータは、全体管理者とそのユーザーが参照できるプライベート認証フィールドに保存されます。A: Yes, when users register data using the Password Reset Registration Portal it is saved into private authentication fields that are only visible by Global Administrators and the user.

  • Q: ユーザーがパスワード リセットを使用するには、そのユーザーが事前に登録されている必要がありますか。Q: Do my users have to be registered before they can use password reset?

    A: いいえ。ユーザーに代わって管理者が必要な認証情報を定義している場合は、ユーザーを登録する必要はありません。A: No, if you define enough authentication information on their behalf, users do not have to register. 適切に書式設定されたデータがディレクトリ内の該当フィールドに格納されている限り、パスワード リセットは正常に動作します。Password reset works as long as you have properly formatted data stored in the appropriate fields in the directory.

  • Q: ユーザーの代わりに管理者が [認証用電話]、[認証用電子メール]、または [代替の認証用電話] フィールドを同期または設定できますか。Q: Can I synchronize or set the Authentication Phone, Authentication Email or Alternate Authentication Phone fields on behalf of my users?

    A: 現時点ではできません。A: This is not possible today.

  • Q: 登録ポータルでユーザーに対して表示されるオプションはどのように決定されていますか。Q: How does the registration portal know which options to show my users?

    A: パスワード リセット登録ポータルには、ユーザーに対して有効にしたオプションのみが表示されます。A: The password reset registration portal only shows the options that you have enabled for your users. これらのオプションは、ディレクトリの [構成] タブの [ユーザー パスワードのリセット ポリシー] セクションにあります。つまり、たとえば、セキュリティの質問を有効にしていない場合、ユーザーはそのオプションに登録できません。These options are found under the User Password Reset Policy section of your directory’s Configure tab. For example, this means that if you do not enable security questions, then users are not able to register for that option.

  • Q: ユーザーが登録されたと見なされるのはどのタイミングですか。Q: When is a user considered registered?

    A: ユーザーは、Azure ポータルで設定されているリセットに必要な方法の数以上で登録した場合に、SSPR に登録されたとみなされます。A: A user is considered registered for SSPR when they have registered at least the Number of methods required to reset that you have set in the Azure portal.

パスワード リセットPassword reset

  • Q: パスワード リセットしてから電子メール、SMS、または電話呼び出しを受け取るまでにどのくらいの時間がかかりますか。Q: How long should I wait to receive an email, SMS, or phone call from password reset?

    A: 電子メール、SMS メッセージ、および電話呼び出しを受け取るまでにかかる時間は 1 分以内です (通常は 5 ~ 20 秒)。A: Email, SMS messages, and phone calls should arrive in under one minute, with the normal case being 5-20 seconds. この期間内に通知を受け取らない場合は、If you do not receive the notification in this time frame:

    • 迷惑メール フォルダーを確認します。Check your junk folder.
    • アクセスしている番号やメールが期待しているものであることを確認します。Check the number or email being contacted is the one you expect.
    • ディレクトリ内の認証データの書式が正しいことを確認します。Check the authentication data in the directory is correctly formatted.
      • 例: "+1 4255551234" または "user@contoso.com"Example: "+1 4255551234" or "user@contoso.com"
  • Q: パスワード リセットはどの言語に対応していますか。Q: What languages are supported by password reset?

    A: パスワード リセット UI、SMS メッセージ、音声通話は、Office 365 でサポートされているのと同じ言語にローカライズされています。A: The password reset UI, SMS messages, and voice calls are localized in the same languages that are supported in Office 365.

  • Q: ディレクトリの [構成] タブで組織のブランドを設定した場合、パスワード リセット エクスペリエンスのどの部分がブランド化されますか。Q: What parts of the password reset experience get branded when I set organizational branding in my directory’s configure tab?

    A: パスワード リセット ポータルに組織のロゴが表示されるほか、管理者への連絡用リンクにカスタムの電子メールまたは URL を設定できます。A: The password reset portal shows your organizational logo and allows you to configure the Contact your administrator link to point to a custom email or URL. パスワード リセットによって送信される電子メールには、組織のロゴ、色、電子メールの本文内の名前、カスタマイズされた <差出人> 名が使用されます。Any email that gets sent by password reset includes your organization’s logo, colors, name in the body of the email, and customized from name.

  • Q: パスワードをリセットするためにアクセスする場所を、どのようにユーザーに案内すればよいですか。Q: How can I educate my users about where to go to reset their passwords?

    A: SSPR のデプロイの記事内の提案をいくつか試してくださいA: Try some of the suggestions in our SSPR deployment article

  • Q: モバイル デバイスからこのページを使用できますか。Q: Can I use this page from a mobile device?

    A: はい。このページは、モバイル デバイスでも使用できます。A: Yes, this page works on mobile devices.

  • Q: ユーザーがパスワードをリセットするときに、ローカルの Active Directory アカウントのロックを解除できますか。Q: Do you support unlocking local active directory accounts when users reset their passwords?

    A: はい。ユーザーが自分のパスワードをリセットし、Azure AD Connect を使用してパスワード ライトバックがデプロイされている場合、パスワードをリセットしたときに、そのユーザーのアカウントが自動的にロック解除されます。A: Yes, when a user resets their password and password writeback has been deployed using Azure AD Connect, that user’s account is automatically unlocked when they reset their password.

  • Q: パスワード リセットをユーザーのデスクトップ サインイン エクスペリエンスに直接統合できますか。Q: How can I integrate password reset directly into my user’s desktop sign-in experience?

    A: Azure AD Premium のお客様は、追加料金なしで Microsoft Identity Manager をインストールし、オンプレミスのパスワード リセット ソリューションをデプロイすると、この要件を満たすことができます。A: If you are an Azure AD Premium customer, you can install Microsoft Identity Manager at no additional cost and deploy the on-premises password reset solution to meet this requirement.

  • Q: ロケールごとに異なるセキュリティの質問を設定できますか。Q: Can I set different security questions for different locales?

    A: 現時点ではできません。A: This is not possible today.

  • Q: セキュリティの質問の認証オプションには質問をいくつ設定できますか。Q: How many questions can we configure for the Security Questions authentication option?

    A:Azure ポータルでは、最大 20 個のカスタムのセキュリティの質問を設定できます。A: You can configure up to 20 custom security questions in the Azure portal.

  • Q: セキュリティの質問の長さに制限はありますか。Q: How long may security questions be?

    A: セキュリティの質問は、3 ~ 200 文字の長さにする必要があります。A: Security questions may be between 3 and 200 characters long.

  • Q: セキュリティの質問に対する回答の長さに制限はありますか。Q: How long may answers to security questions be?

    A: 回答は、3 ~ 40 文字の長さにする必要があります。A: Answers may be 3 to 40 characters long.

  • Q: セキュリティの質問に対して重複する回答は拒否されますか。Q: Are duplicate answers to security questions rejected?

    A: はい。セキュリティの質問に対して重複する回答は拒否されます。A: Yes, we reject duplicate answers to security questions.

  • Q: ユーザーが同じセキュリティの質問を 2 回以上登録することはできますか。Q: May a user register the same security question more than once?

    A: いいえ。ユーザーは、特定の質問を登録した後、同じ質問を再度登録することはできません。A: No, once a user registers a particular question, they may not register for that question a second time.

  • Q: 登録用とリセット用のセキュリティの質問の個数に下限を設定できますか。Q: Is it possible to set a minimum limit of security questions for registration and reset?

    A: はい。登録用とリセット用にそれぞれ制限を設定できます。A: Yes, one limit can be set for registration and another for reset. 登録用とリセット用にそれぞれ 3 ~ 5 個のセキュリティの質問が必要になるように設定できます。3-5 security questions may be required for registration and 3-5 may be required for reset.

  • Q: リセットの場合はユーザーにセキュリティの質問の使用を要求するようにポリシーを構成しましたが、Azure 管理者に対する設定は異なるように見えます。Q: I configured my policy to require users to use security questions for reset but Azure administrators seem to be configured differently.

    A: これは正しい動作です。A: This is the expected behavior. Microsoft では、任意の Azure 管理者ロールに強力な既定の 2 ゲート パスワードのリセット ポリシーを適用します。Microsoft enforces a strong default two gate password reset policy for any Azure administrator role. これにより、管理者はセキュリティの質問を使用できなくなります。This disables administrators from using security questions. このポリシーについて詳しくは、「Azure Active Directory のパスワード ポリシーと制限」をご覧くださいMore information about this policy can be found in the article Password policies and restrictions in Azure Active Directory

  • Q: リセットに必要な質問の最大数を超える数の質問をユーザーが登録した場合、セキュリティの質問はリセット時にどのように選択されますか。Q: If a user has registered more than the maximum number of questions required to reset, how are security questions selected during reset?

    A: ユーザーが登録したすべてのセキュリティの質問の中から N 個の質問がランダムに選択されます (ここで N は、リセットのために必要な質問の数です)。A: N security questions are selected at random out of the total number of questions a user has registered for, where N is the Number of questions required to reset. たとえば、リセット操作に必要なセキュリティの質問の数が 3 つであるにもかかわらずユーザーが 5 つの質問を登録している場合、リセット時に 5 つの中から 3 つがランダムに選択されて表示されます。For example, if a user has 5 security questions registered, but only 3 are required to reset, 3 of the 5 are selected randomly and presented at reset. ユーザーが質問の答えを間違えた場合、同じ質問が表示されるのを防ぐために、選択プロセスが再度実行されます。If the user gets the answers to the questions wrong, the selection process reoccurs to prevent question hammering.

  • Q: 短い期間にパスワード リセットを何度も試みるユーザーへの対策は用意されていますか。Q: Do you prevent users from attempting password reset many times in a short time period?

    A: はい。パスワード リセットには悪用防止のためのセキュリティ機能が組み込まれています。A: Yes, there are security features built into password reset to protect from misuse. ユーザーが 1 時間の間に試行できるパスワード リセットの回数は 5 回に制限されており、この回数を超えるとユーザーは 24 時間ロックアウトされます。Users may only try 5 password reset attempts within an hour before being locked out for 24 hours. ユーザーが 1 時間の間に試行できる電話番号の確認の回数は 5 回に制限されており、この回数を超えるとユーザーは 24 時間ロックアウトされます。Users may only try to validate a phone number 5 times within an hour before being locked out for 24 hours. ユーザーが 1 時間の間に試行できる単一の認証方法の回数は 5 回に制限されており、この回数を超えるとユーザーは 24 時間ロックアウトされます。Users may only try a single authentication method 5 times within an hour before being locked out for 24 hours.

  • Q: 電子メールと SMS のワンタイム パスコードの有効期間はどのくらいですか。Q: For how long are the email and SMS one-time passcode valid?

    A: パスワード リセットのセッション有効期間は 15 分です。A: The session lifetime for password reset is 15 minutes. パスワード リセット操作の開始からパスワードをリセットするまで、ユーザーに 15 分の時間が与えられます。From the beginning of the password reset operation, the user has 15 minutes to reset their password. この期間を経過すると、電子メールと SMS のワンタイム パスコードは無効になります。The email and SMS one-time passcode are invalid after this time period expires.

  • Q: ユーザーがパスワードをリセットするのをブロックできますか。Q: Can I block users from resetting their password?

    A: はい。グループを使用して、セルフサービスのパスワード リセットを有効にしている場合は、この機能を許可しているグループから削除できます。A: Yes, if you are using a group to enable self-service password reset you can remove them from the group that allows them this ability.

パスワードの変更Password change

  • Q: ユーザーがパスワードを変更するにはどこにアクセスすればよいですか。Q: Where should my users go to change their passwords?

    A: ユーザーは Office 365アクセス パネルなど、右上隅にプロフィール画像やアイコンが表示されるページであればどこでもパスワードを変更できます。A: Users may change their passwords anywhere they see their profile picture or icon (like in the upper right corner of their Office 365 or Access Panel experiences. ユーザーはアクセス パネルのプロフィール ページからパスワードを変更できます。Users may change their passwords from the Access Panel profile page. また、パスワードの有効期限が切れている場合は、Azure AD のサインイン時に自動的にパスワードを変更するように求められます。Users may also be asked to change their passwords automatically at the Azure AD sign-in screen if their passwords have expired. 最終的には、Azure AD のパスワード変更ポータルに直接移動してパスワードを変更できます。Finally, users may navigate to the Azure AD Password Change Portal directly if they wish to change their passwords.

  • Q: ユーザーのオンプレミスのパスワードの有効期限が切れたときに Office ポータルに通知できますか。Q: Can my users be notified in the Office Portal when their on-premises password expires?

    A: 現時点では ADFS を使用すれば、ADFS を使用したパスワード ポリシーの要求の送信に関する記事の手順に従って通知できます。A: This is possible today if you are using ADFS by following the instructions here: Sending Password Policy Claims with ADFS. パスワード ハッシュ同期を使用している場合は、現時点では通知できません。If you are using password hash synchronization, this is not possible today. マイクロソフトではパスワードのポリシーをオンプレミスから同期していないため、有効期限切れの通知をクラウドに送信できません。This is because we do not sync password policies from on-premises, so it is not possible for us to post expiry notifications to cloud experiences. いずれの場合でも、PowerShell を使用してパスワードの有効期限が迫っていることをユーザーに通知することは可能です。In either case, it is also possible to notify users whose passwords are about to expire by using PowerShell.

  • Q: ユーザーがパスワードを変更するのをブロックできますか。Q: Can I block users from changing their password?

    A: クラウド専用ユーザーの場合は、これをブロックすることはできません。A: For cloud-only users this cannot be blocked. オンプレミスのユーザーの場合、User cannot change password をオンにすると、これらのユーザーが各自のパスワードを変更できないように設定できます。For on-premises users you can set User cannot change password to checked and those users will not be able to change their password.

パスワード管理レポートPassword management reports

  • Q: データがパスワード管理レポートに表示されるまでにどのくらいの時間がかかりますか。Q: How long does it take for data to show up on the password management reports?

    A: データは、5 ~ 10 分以内にパスワード管理レポートに表示されます。A: Data should appear on the password management reports within 5-10 minutes. 場合によっては、最大 1 時間かかることもあります。It some instances it may take up to an hour to appear.

  • Q: パスワード管理レポートをフィルター処理するにはどうすればよいですか。Q: How can I filter the password management reports?

    A: パスワード管理レポートをフィルター処理するには、レポート上部の列ラベルの右端にある小さな虫眼鏡アイコンをクリックします。A: You can filter the password management reports by clicking the small magnifying glass to the extreme right of the column labels, near the top of the report. より高度なフィルター処理を実行するには、レポートを Excel にダウンロードしてピボット テーブルを作成します。If you want to do richer filtering, you can download the report to excel and create a pivot table.

  • Q: パスワード管理レポートに格納される最大イベント数はどれだけですかQ: What is the maximum number of events are stored in the password management reports?

    A: パスワード管理レポートには、30 日間のバックアップ全体で、最大で 75,000 個のパスワード リセット イベントまたはパスワード リセット登録イベントが格納されます。A: Up to 75,000 password reset or password reset registration events are stored in the password management reports, spanning back up to 30 days. より多くのイベントを格納できるように、この値の拡張に取り組んでいます。We are working to expand this number to include more events.

  • Q: パスワード管理レポートには何日前までの操作が表示されますか。Q: How far back do the password management reports go?

    A: パスワード管理レポートには、過去 30 日以内に発生した操作が表示されます。A: The password management reports show operations occurring within the last 30 days. 今のところ、このデータをアーカイブする必要がある場合は、レポートを定期的にダウンロードして別の場所に保存してください。For now, if you need to archive this data, you can download the reports periodically and save them in a separate location.

  • Q: パスワード管理レポートに表示できる行の最大数は決まっていますか。Q: Is there a maximum number of rows that can appear on the password management reports?

    A: はい。UI に表示した場合またはダウンロードした場合のいずれでも、パスワード管理レポートに表示できる最大行数は 75,000 行です。A: Yes, a maximum of 75,000 rows may appear on either of the password management reports, whether they are being shown in the UI or being downloaded.

  • Q: パスワード リセットまたは登録レポート データにアクセスする API はありますか。Q: Is there an API to access the password reset or registration reporting data?

    A: はい。パスワード リセット レポート データのストリームにアクセスする方法については、次のドキュメントを参照してください。A: Yes, see the following documentation to learn how you can access the password reset reporting data stream. パスワード リセット レポート イベントにプログラムでアクセスする方法Learn how to access password reset reporting events programmatically.

パスワードの書き戻しPassword writeback

  • Q: パスワード ライトバックは、バックグラウンドでどのように動作しますか。Q: How does password writeback work behind the scenes?

    A: パスワード ライトバックを有効にした場合の動作、およびシステム内でデータがオンプレミスの環境に戻る経路の詳細については、「How password writeback works」(パスワード ライトバックのしくみ) をご覧ください。A: See How password writeback works for an explanation of what happens when you enable password writeback, and how data flows through the system back into your on-premises environment.

  • Q: パスワード ライトバックが機能するにはどれくらいの時間がかかりますか。パスワード ハッシュ同期のような同期遅延がありますか。Q: How long does password writeback take to work? Is there a synchronization delay like with password hash sync?

    A: パスワード ライトバックは即座に実行されます。A: Password writeback is instant. パスワード ライトバックは、パスワード ハッシュ同期とは根本的に異なる方法で動作する同期パイプラインです。It is a synchronous pipeline that works fundamentally differently than password hash synchronization. パスワード ライトバックでは、ユーザーは、パスワードのリセット操作または変更操作の完了についてリアルタイムのフィードバックを受け取ります。Password writeback allows users to get real-time feedback about the success of their password reset or change operation. 正常なパスワード ライトバックの平均時間は 500 ミリ秒未満です。The average time for a successful writeback of a password is under 500 ms.

  • Q: オンプレミスのアカウントが無効にされている場合、クラウド アカウント/アクセスにどのような影響がありますか。Q: If my on-premises account is disabled, how is my cloud account/access affected?

    A: オンプレミスの ID が無効にされている場合、AAD Connect 経由の次回の同期間隔 (既定で 30 分間隔) で、クラウド ID/アクセスも無効になります。A: If your on-premises ID is disabled, your cloud ID/access will also be disabled at the next sync interval via AAD Connect by default this is every 30 minutes.

  • Q: オンプレミスのアカウントがオンプレミスの Active Directory パスワード ポリシーによって制約されている場合に、パスワードを変更すると、SSPR はこのポリシーに従いますか。Q: If my on-premises account is constrained by an on-premises Active Directory password policy, does SSPR obey this policy when I change the password?

    A: はい。SSPR は、一般的な AD ドメイン パスワード ポリシーのほか、特定のユーザーを対象とする定義済みの任意の詳細なパスワード ポリシーを含め、オンプレミス AD パスワード ポリシーに依存し、従います。A: Yes, SSPR relies on and abides by the on-premises AD password policy, including typical AD domain password policy, as well as any defined fine grained password policies targeted to a given user.

  • Q: パスワード ライトバックはどのような種類のアカウントで動作しますか。Q: What types of accounts does password writeback work for?

    A: パスワード ライトバックは、フェデレーション ユーザーおよびパスワード ハッシュ同期ユーザーに対して動作します。A: Password writeback works for Federated and Password Hash Synchronized users.

  • Q: パスワード ライトバックでは、ドメインのパスワード ポリシーが適用されますか。Q: Does password writeback enforce my domain’s password policies?

    A: はい。パスワード ライトバックでは、ローカル ドメインのパスワードにユーザーが設定したパスワードの有効期間、履歴、複雑さ、フィルター、およびその他の制限が適用されます。A: Yes, password writeback enforces password age, history, complexity, filters, and any other restriction you may put in place on passwords in your local domain.

  • Q: パスワード ライトバックはセキュリティで保護されていますか。ハッキングされないようにするにはどうすればよいですか。Q: Is password writeback secure? How can I be sure I won’t get hacked?

    A: はい。パスワード ライトバックはセキュリティで保護されています。A: Yes, password writeback is secure. パスワード ライトバック サービスによって実装される 4 層のセキュリティの詳細については、「How password writeback works」(パスワード ライトバックのしくみ) の「Password writeback security mode」(パスワード ライトバックのセキュリティ モデル) のセクションをご覧ください。To read more about the four layers of security implemented by the password writeback service, check out the Password writeback security model section in How password writeback works.

次のステップNext steps