Azure AD のセルフ サービスによるパスワードのリセットの詳細

SSPR のしくみは、どのようなものでしょうか? そのオプションはインターフェイスでは何を意味するのでしょうか? 以降で、Azure AD のセルフ サービスによるパスワードのリセットの詳細について説明します。

パスワード リセット ポータルのしくみ

ユーザーがパスワード リセット ポータルに移動すると、次の点を決定するワークフローが開始します。

  • ページはどのようにローカライズする必要があるか?
  • ユーザー アカウントは有効か?
  • ユーザーが属しているのはどのような組織か?
  • ユーザーのパスワードはどこで管理されるか?
  • ユーザーにはこの機能を使用するライセンスがあるか?

パスワード リセット ページの背後にあるロジックの詳細については、次の手順をお読みください。

  1. ユーザーは、"あなたのアカウントにアクセスできません" のリンクをクリックするか、直接 https://passwordreset.microsoftonline.com に移動します。
  2. ブラウザーのロケールに基づいて、エクスペリエンスが適切な言語で表示されます。 パスワード リセットのエクスペリエンスは、Office 365 でサポートされている言語と同じ言語にローカライズされています。
  3. ユーザーは、ユーザー ID を入力し、CAPTCHA を渡します。
  4. Azure AD は、次の手順を行うことで、ユーザーがこの機能を使用できるかどうかを確認します。
    • ユーザーがこの機能を有効にしていて、Azure AD ライセンスが割り当てられていることを確認します。
      • ユーザーがこの機能を有効にしていない、またはライセンスが割り当てられていない場合、そのユーザーは管理者に連絡してパスワードをリセットするように求められます。
    • ユーザーは、管理者ポリシーに従って、自分のアカウントに正しいチャレンジ データが定義されていることを確認します。
      • ポリシーが 1 つのチャレンジのみを要求する場合は、管理者ポリシーで有効になっている 1 つ以上のチャレンジに対して、ユーザーが適切なデータを定義していることが確認されます。
        • ユーザーが構成されていない場合、そのユーザーは管理者に連絡してパスワードをリセットするように求められます。
      • ポリシーが 2 つのチャレンジを要求する場合は、管理者ポリシーで有効になっている 2 つ以上のチャレンジに対して、ユーザーが適切なデータを定義していることが確認されます。
        • ユーザーが構成されていない場合、そのユーザーは管理者に連絡してパスワードをリセットするように求められます。
    • ユーザーのパスワードが (フェデレーションまたはパスワード ハッシュ同期された) オンプレミスで管理されているかどうかを確認します。
      • ライトバックがデプロイされていて、ユーザーのパスワードがオンプレミスで管理されている場合、ユーザーは自分のパスワードを認証してリセットできます。
      • ライトバックがデプロイされておらず、ユーザーのパスワードがオンプレミスで管理されている場合、ユーザーは管理者に連絡してパスワードをリセットするように求められます。
  5. ユーザーが自分のパスワードを正常にリセットできると判断された場合は、リセット プロセスの説明がユーザーに示されます。

認証方法

セルフ サービスによるパスワードのリセット (SSPR) が有効になっている場合は、認証方法として以下のオプションの少なくとも 1 つを選択する必要があります。 ユーザーがより柔軟に対応できるように、少なくとも 2 つの認証方式を選択することを強くお勧めします。

  • 電子メール
  • 携帯電話
  • 会社電話
  • セキュリティの質問

認証データ用にディレクトリで使用されるフィールド

  • [会社電話] は勤務先電話番号に相当します
    • ユーザーがこのフィールドを自分で設定することはできず、管理者が定義する必要があります
  • [携帯電話] は、認証用電話 (非公開) または携帯電話 (公開) のいずれかに相当します
    • サービスは、最初に認証用電話を検索し、存在しない場合は携帯電話に戻ります
  • [連絡用電子メール アドレス] は、認証用メール (非公開) または連絡用メールのいずれかに相当します
    • サービスは、最初に認証用メールを検索し、次に連絡用メールにフェールバックします

既定では、クラウド属性の [会社電話] と [携帯電話] だけが、認証データ用のオンプレミス ディレクトリからクラウド ディレクトリに同期されます。

ユーザーが自分のパスワードをリセットできるのは、管理者が有効にしていて必要としている認証方法にデータがある場合のみです。

ユーザーが自分の携帯電話番号を、ディレクトリには表示したくないがパスワードのリセットには使用したい場合は、管理者がディレクトリに設定するのではなく、ユーザーがパスワード リセット登録ポータル[認証用電話] 属性を設定してください。 管理者はこの情報を引き続きユーザーのプロファイルで確認できますが、他の場所では公開されません。 Azure 管理者アカウントで認証用電話番号を登録すると、携帯電話フィールドに入力されて表示されます。

必要な認証方法の数

このオプションは、ユーザーがパスワードをリセットするために通過する必要がある認証方法の最小数を決定し、1 または 2 のいずれかを設定できます。

管理者によって有効になっている場合、ユーザーは他の認証方法を指定することを選択できます。

ユーザーに必要最低限の方法が登録されていない場合は、管理者にパスワードのリセットを依頼するよう指示するエラー ページが表示されます。

セキュリティの質問の安全性

セキュリティの質問を使用する場合、一部の人が別のユーザーの質問に対する回答を知っている可能性があるために他の方法に比べて安全性が低い可能性がある場合は、別の方法と併用することをお勧めします。

メモ

セキュリティの質問は、ディレクトリ内のユーザー オブジェクトに非公開かつ安全に保存され、登録時にユーザーだけが回答できます。 管理者がユーザーの質問または回答を読み取ったり変更したりする方法はありません。

セキュリティの質問のローカライズ

以下に示す定義済みの質問はすべて、ユーザーのブラウザーのロケールに基づいて Office 365 言語の完全なセットにローカライズされています。

  • 最初の配偶者/パートナーと出会ったのは何市ですか?
  • 両親が出会ったのは何市ですか?
  • 年が一番近い兄弟が住んでいるのは何市ですか?
  • 父親が生まれたのは何市ですか?
  • 最初の職場は何市にありましたか?
  • 母親が生まれたのは何市ですか?
  • 2000 年の元日は何市にいましたか?
  • 高校生のときに好きだった先生の名字は何ですか?
  • 出願したのに通わなかった大学の名前は何ですか?
  • 初めての結婚披露宴の会場の名前は何ですか?
  • 父親のミドル ネームは何ですか?
  • 好きな食べ物は何ですか?
  • 母方の祖母の氏名は何ですか?
  • 母親のミドル ネームは何ですか?
  • 一番上の兄または姉の生まれた年と月はいつですか? (例: 1985 年 11 月)
  • 一番上の兄弟のミドル ネームは何ですか?
  • 父方の祖父の氏名は何ですか?
  • 一番下の兄弟のミドル ネームは何ですか?
  • 6 年生のときに通っていた学校はどこですか?
  • 子供の頃の親友の氏名は何ですか?
  • 最初の恋人の氏名は何ですか?
  • 小学生のときに好きだった先生の名字は何ですか?
  • 初めて購入した自動車またはバイクのメーカーとモデルは何ですか?
  • 通っていた小学校の名前は何ですか?
  • あなたが生まれた病院の名前は何ですか?
  • 子供の頃の最初の家の番地は何でしたか?
  • 子供の頃のヒーローの名前は何ですか?
  • お気に入りのぬいぐるみの名前は何でしたか?
  • 初めて飼ったペットの名前は何でしたか?
  • 子供の頃のニックネームは何でしたか?
  • 高校生のときに好きだったスポーツは何ですか?
  • 初めて就いた職業は何ですか?
  • 子供の頃の電話番号の下 4 桁は何でしたか?
  • 小さい頃は大きくなったら何になりたかったですか?
  • 今まで会った中で一番有名な人はだれですか?

カスタムのセキュリティに関する質問

カスタムのセキュリティの質問は、ロケールごとにはローカライズされていません。 カスタムの質問はすべて、管理用のユーザー インターフェイスに入力したときの言語で表示されます。ユーザーのブラウザーのロケールが異なる場合でもそのように表示されます。 ローカライズされた質問が必要な場合は、定義済みの質問を使用してください。

カスタムのセキュリティの質問の最大長は、200 文字です。

セキュリティの質問の要件

  • 回答の最小文字数は 3 文字です。
  • 回答の最大文字数は 40 文字です。
  • ユーザーは、同じ質問に何度も回答することはできません。
  • ユーザーは、複数の質問に対して同じ回答をすることはできません。
  • Unicode 文字を含む任意の文字セットを使用して、質問と回答を定義できます。
  • 定義する質問の数は、登録するために必要な質問の数以上にする必要があります。

登録

[サインイン時にユーザーに登録を求めますか]

このオプションを有効にすると、パスワードのリセットが有効になっているユーザーは、Azure AD を使用するアプリケーションにログインして次のようなものにサインインする場合、パスワード リセット登録を完了する必要があります。

  • Office 365
  • Azure ポータル
  • アクセス パネル
  • フェデレーション アプリケーション
  • Azure AD を使用するカスタム アプリケーション

この機能を無効にしても、ユーザーは、http://aka.ms/ssprsetup にアクセスするか、アクセス パネルの [プロファイル] タブの下にある [パスワード リセットの登録] リンクをクリックすることで、連絡先情報を手動で登録することができます。

メモ

ユーザーは、[キャンセル] をクリックするかウィンドウを閉じることでパスワード リセット登録ポータルを閉じることができますが、登録を完了するまではログインするたびにメッセージが表示されます。

[ユーザーが認証情報を再確認するように求められるまでの日数]

このオプションは、認証情報を設定してから再確認するまでの期間を決定し、[サインイン時にユーザーに登録を求めますか] オプションを有効にした場合にのみ表示されます。

有効な値は 0 ~ 730 日で、0 はユーザーに認証情報の再確認を求めることがないことを意味します。

通知

[パスワードのリセットについてユーザーに通知しますか]

このオプションが [はい] に設定されている場合、パスワードをリセットするユーザーは、Azure AD に登録されているプライマリおよび連絡用メール アドレス宛に、パスワードが SSPR ポータルを使用して変更されたことを通知するメールを受信します。 このリセット イベントは他の誰にも通知されません。

[他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか]

このオプションが [はい] に設定されている場合は、すべての管理者が、Azure AD に登録されているプライマリ電子メール アドレス宛に、別の管理者が SSPR を使用してパスワードを変更したことを通知するメールを受信します。

例: 1 つの環境に 4 人の管理者がいます。 管理者 "A" が SSPR を使用してパスワードをリセットすると、 管理者 B、C、および D が、このことが行われたことを通知するメールを受信します。

オンプレミスの統合

Azure AD Connect のインストール、構成、および有効化が完了すると、オンプレミスの統合用の追加のオプションが表示されます。

オンプレミス ディレクトリへのパスワード ライトバック

このディレクトリでパスワード ライトバックが有効になっているかどうかを制御します。ライトバックがオンの場合は、オンプレミスのライトバック サービスの状態を示します。 これは、Azure AD Connect を再構成せずにパスワード ライトバックを一時的に無効にする場合に便利です。

  • スイッチが [はい] に設定されている場合、ライトバックは有効になり、フェデレーション ユーザーとパスワード ハッシュ同期ユーザーは、パスワードをリセットできます。
  • スイッチが [いいえ] に設定されている場合、ライトバックは無効になり、フェデレーション ユーザーとパスワード ハッシュ同期ユーザーは、パスワードをリセットできません。

パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する

パスワード リセット ポータルにアクセスするユーザーに、パスワードをリセットせずにオンプレミスの Active Directory アカウントのロックを解除するオプションを表示するかどうかを指定します。 既定では、パスワード リセットを実行するときに、Azure AD によりアカウントのロックが常に解除されます。この設定により、次の 2 つの操作を分離することができます。

  • [はい] に設定すると、ユーザーはパスワードをリセットし、アカウントのロックを解除するか、パスワードをリセットせずにロックを解除するかを選択できます。
  • [いいえ] に設定すると、ユーザーはパスワードのリセットとアカウントのロック解除を組み合わせた操作しか実行できなくなります。

ネットワークの要件

ファイアウォール規則

Microsoft Office の URL および IP アドレスの一覧

Azure AD Connect バージョン 1.1.443.0 以上の場合は、次の URL への送信 HTTPS アクセスが必要です。

  • passwordreset.microsoftonline.com
  • servicebus.windows.net

アクセスをより細かく設定するために、Microsoft Azure データ センターの IP 範囲の更新された一覧を参照することができます。この一覧は、毎週水曜日に更新され、次の月曜日にここで参照できるようになります。

アイドル接続のタイムアウト

Azure AD Connect ツールでは、接続が現在も有効であることを確認するために、ping または keepalive が ServiceBus エンドポイントに送信されます。 接続の強制終了がツールであまりにも多く検出される場合は、エンドポイントへの ping の送信頻度が自動的に上がります。 最短の "ping の送信間隔" は 60 秒あたり 1 ping ですが、プロキシやファイアウォールではアイドル接続を 2 ~ 3 分以上維持できるようにすることを強くお勧めします。 *これより前のバージョンでは、4 分以上が推奨されます。

Active Directory のアクセス許可

Azure AD Connect ユーティリティで指定されたアカウントには、そのフォレスト内の各ドメインのルート オブジェクトまたは SSPR の対象に含めたいユーザー OU のいずれかに対して、lockoutTime の [パスワードのリセット]、[パスワードの変更]、[書き込みアクセス許可] や pwdLastSet の [書き込みアクセス許可] などの拡張権限が必要です。

上記のどのアカウントが参照されるか明らかでない場合は、Azure Active Directory Connect の構成 UI を開き、[ソリューションの確認] オプションをクリックします。 アクセス許可を追加する必要があるアカウントが、[同期されたディレクトリ] の下に表示されます。

これらの権限を設定すると、パスワード管理が、フォレストに含まれるユーザー アカウントからではなく、各フォレストのMA サービス アカウントから可能になります。 これらの権限を割り当てないと、ライトバックが正常に構成されているように思われる場合でも、クラウドからオンプレミスのパスワードを管理しようとするとエラーが発生します。

メモ

ディレクトリ内のすべてのオブジェクトにこれらの権限をレプリケートするには、最大 1 時間かそれ以上かかることがあります。

パスワード ライトバックを行うための適切なアクセス許可を設定するには

  1. 適切なドメインの管理権限を持つアカウントで [Active Directory ユーザーとコンピューター] を開きます。
  2. [表示] メニューで、[高度な機能] がオンになっていることを確認します。
  3. 左側のパネルで、ドメインのルートを表すオブジェクトを右クリックし、プロパティを選択します。
    • [セキュリティ] タブをクリックします。
    • 次に、[詳細設定] をクリックします。
  4. [アクセス許可] タブで [追加] をクリックします。
  5. (Azure AD Connect のセットアップから) アクセス許可を適用するアカウントを選択します。
  6. [適用先] ドロップダウンで、[下位ユーザー オブジェクト] を選択します。
  7. [アクセス許可] で、lockoutTime の [パスワードのリセット]、[パスワードの変更]、[書き込みアクセス許可]、pwdLastSet の [書き込みアクセス許可] のチェック ボックスをオンにします。
  8. [適用] または [OK] をクリックして適用し、開いているすべてのダイアログ ボックスを終了します。

B2B ユーザーに対するパスワード リセットの動作

パスワードのリセットと変更は、B2B のすべての構成で完全にサポートされています。 パスワードのリセットでサポートされる 3 つの明示的な B2B の事例を次に示します。

  1. 既存の Azure AD テナントがあるパートナー組織のユーザー: パートナーを組んでいる組織に既存の Azure AD テナントがある場合は、そのテナントで有効になっているパスワード リセット ポリシーが常に尊重されます。 パスワード リセットを機能させるためにパートナー組織が実行する必要があるのは、Azure AD SSPR が有効であることを確認するだけです。有効にしても O365 顧客に追加料金は発生しません。「パスワード管理の概要」ガイドの手順に従って有効にすることができます。
  2. セルフ サービス サインアップを使用してサインアップしたユーザー: パートナーを組んでいる組織がセルフ サービス サインアップ機能を使用してテナントに参加している場合は、登録された電子メールを使用してパスワードをリセットできます。
  3. B2B ユーザー: 新しい Azure AD B2B 機能を使用して作成された B2B ユーザーも、招待プロセス中に登録した電子メールを使用して自分のパスワードをリセットできます。

これをテストするには、いずれかのパートナー ユーザーとして http://passwordreset.microsoftonline.com に移動します。 連絡用電子メールまたは認証用電子メールが定義されている限り、パスワードのリセットは予想どおりに機能します。

次のステップ

次のリンク先では、Azure AD を使用したパスワードのリセットに関する追加情報が得られます。

  • クイック スタート - Azure AD のセルフ サービスによるパスワードのリセットの管理を始めることができます。
  • ライセンス - Azure AD のライセンスを構成します。
  • データ - パスワード管理に必要なデータとその使用方法がわかります
  • 展開 - ここで見つかるガイダンスを使用してユーザーに対する SSPR を計画してデプロイできます
  • ポリシー - Azure AD のパスワード ポリシーを把握し、設定します
  • パスワード ライトバック - オンプレミスのディレクトリでのパスワード ライトバックのしくみ
  • カスタマイズ - 会社の SSPR エクスペリエンスの外観をカスタマイズします。
  • レポート - ユーザーが SSPR 機能にアクセスしたかどうかや、アクセスしたタイミングと場所を検出します
  • よく寄せられる質問 - 方法は? なぜですか? 何ですか? どこですか? 誰ですか? いつですか? - ずっと確認したかった質問に対する回答
  • トラブルシューティング - SSPR の一般的な問題を解決する方法について説明しています