動作のしくみ: Azure AD のセルフ サービスによるパスワードのリセットHow it works: Azure AD self-service password reset

セルフサービスによるパスワードのリセット (SSPR) はどのように動作するのでしょうか?How does self-service password reset (SSPR) work? そのオプションはインターフェイスでは何を意味するのでしょうか?What does that option mean in the interface? 以降では、Azure Active Directory (Azure AD) SSPR の詳細について説明します。Continue reading to find out more about Azure Active Directory (Azure AD) SSPR.

Azure AD のセルフ サービスによるパスワードのリセットの方法であるモバイル アプリ通知およびモバイル アプリ コードは、Azure Active Directory のパブリック プレビューの機能です。Mobile app notification and Mobile app code as methods for Azure AD self-service password reset are public preview features of Azure Active Directory. 詳細については、「Microsoft Azure プレビューの追加使用条件」を参照してください。For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews

パスワード リセット ポータルのしくみHow does the password reset portal work?

ユーザーがパスワード リセット ポータルに移動すると、次の点を決定するワークフローが開始します。When a user goes to the password reset portal, a workflow is kicked off to determine:

  • ページはどのようにローカライズする必要があるか?How should the page be localized?
  • ユーザー アカウントは有効か?Is the user account valid?
  • ユーザーが属しているのはどのような組織か?What organization does the user belong to?
  • ユーザーのパスワードはどこで管理されるか?Where is the user’s password managed?
  • ユーザーにはこの機能を使用するライセンスがあるか?Is the user licensed to use the feature?

パスワード リセット ページの背後にあるロジックの詳細については、次の手順をお読みください。Read through the following steps to learn about the logic behind the password reset page:

  1. ユーザーは、 [アカウントにアクセスできません] リンクを選ぶか、直接 https://aka.ms/sspr に移動します。The user selects the Can't access your account link or goes directly to https://aka.ms/sspr.
    • ブラウザーのロケールに基づいて、エクスペリエンスが適切な言語で表示されます。Based on the browser locale, the experience is rendered in the appropriate language. パスワード リセットのエクスペリエンスは、Office 365 でサポートされている言語と同じ言語にローカライズされています。The password reset experience is localized into the same languages that Office 365 supports.
    • パスワードのリセット ポータルを別のローカライズ言語で表示するには、パスワードのリセット URL の末尾に「?mkt=」を追加します。https://passwordreset.microsoftonline.com/?mkt=es-us は、スペイン語へのローカライズの例を示しています。To view the password reset portal in a different localized language append "?mkt=" to the end of the password reset URL with the example that follows localizing to Spanish https://passwordreset.microsoftonline.com/?mkt=es-us.
  2. ユーザーは、ユーザー ID を入力し、CAPTCHA を渡します。The user enters a user ID and passes a captcha.
  3. Azure AD は、次のチェックを行うことで、ユーザーがこの機能を使用できることを確認します。Azure AD verifies that the user is able to use this feature by doing the following checks:
    • ユーザーがこの機能を有効にしていて、Azure AD ライセンスが割り当てられていることを確認します。Checks that the user has this feature enabled and has an Azure AD license assigned.
      • ユーザーがこの機能を有効にしていない、またはライセンスが割り当てられていない場合、そのユーザーは管理者に連絡してパスワードをリセットするように求められます。If the user does not have this feature enabled or have a license assigned, the user is asked to contact their administrator to reset their password.
    • ユーザーのアカウントで、適切な認証方法が管理者ポリシーに従って定義されていることを確認します。Checks that the user has the right authentication methods defined on their account in accordance with administrator policy.
      • ポリシーで要求される方法が 1 つのみの場合は、管理者ポリシーで有効になっている 1 つ以上の認証方法に対して、ユーザーが適切なデータを定義していることが確認されます。If the policy requires only one method, then it ensures that the user has the appropriate data defined for at least one of the authentication methods enabled by the administrator policy.
        • 認証方法が構成されていない場合、そのユーザーは管理者に連絡してパスワードをリセットするように求められます。If the authentication methods are not configured, then the user is advised to contact their administrator to reset their password.
      • ポリシーで要求される方法が 2 つの場合は、管理者ポリシーで有効になっている 2 つ以上の認証方法に対して、ユーザーが適切なデータを定義していることが確認されます。If the policy requires two methods, then it ensures that the user has the appropriate data defined for at least two of the authentication methods enabled by the administrator policy.
        • 認証方法が構成されていない場合、そのユーザーは管理者に連絡してパスワードをリセットするように求められます。If the authentication methods are not configured, then the user is advised to contact their administrator to reset their password.
      • Azure 管理者ロールがユーザーに割り当てられている場合、強力な 2 ゲート パスワード ポリシーが適用されます。If an Azure administrator role is assigned to the user, then the strong two-gate password policy is enforced. このポリシーの詳細については、「管理者リセット ポリシーの相違点」セクションを参照してください。More information about this policy can be found in the section Administrator reset policy differences.
    • ユーザーのパスワードが (フェデレーション、パススルー認証、またはパスワード ハッシュ同期された) オンプレミスで管理されているかどうかを確認します。Checks to see if the user’s password is managed on-premises (federated, pass-through authentication, or password hash synchronized).
      • ライトバックがデプロイされていて、ユーザーのパスワードがオンプレミスで管理されている場合、ユーザーは自分のパスワードを認証してリセットできます。If writeback is deployed and the user’s password is managed on-premises, then the user is allowed to proceed to authenticate and reset their password.
      • ライトバックがデプロイされておらず、ユーザーのパスワードがオンプレミスで管理されている場合、ユーザーは管理者に連絡してパスワードをリセットするように求められます。If writeback is not deployed and the user’s password is managed on-premises, then the user is asked to contact their administrator to reset their password.
  4. ユーザーが自分のパスワードを正常にリセットできると判断された場合は、リセット プロセスの説明がユーザーに示されます。If it's determined that the user is able to successfully reset their password, then the user is guided through the reset process.

認証方法Authentication methods

SSPR が有効になっている場合は、認証方法として以下のオプションの少なくとも 1 つを選択する必要があります。If SSPR is enabled, you must select at least one of the following options for the authentication methods. これらのオプションは、"ゲート" と呼ばれることもあります。Sometimes you hear these options referred to as "gates." 2 つ以上の認証方法を選択することを強くお勧めします。そうすれば、一方の認証方法を利用できない場合でも、必要があれば、ユーザーはもう一方の認証方法を利用できます。We highly recommend that you choose two or more authentication methods so that your users have more flexibility in case they are unable to access one when they need it. 次に示されている方法の追加の詳細については、「認証方法とは」を参照してください。Additional details about the methods listed below can be found in the article What are authentication methods?.

  • モバイル アプリ通知 (プレビュー)Mobile app notification (preview)
  • モバイル アプリ コード (プレビュー)Mobile app code (preview)
  • EmailEmail
  • 携帯電話Mobile phone
  • 会社電話Office phone
  • セキュリティの質問Security questions

ユーザーが自分のパスワードをリセットできるのは、管理者が有効にした認証方法の中にユーザーのデータがある場合のみです。Users can only reset their password if they have data present in the authentication methods that the administrator has enabled.

重要

2019 年 3 月以降、無料/試用版の Azure AD テナントの MFA および SSPR ユーザーは、音声通話オプションを利用できなくなります。Starting in March of 2019 the phone call options will not be available to MFA and SSPR users in free/trial Azure AD tenants. この変更は、SMS メッセージには影響しません。SMS messages are not impacted by this change. 有料の Azure AD テナントのユーザーは、引き続き音声通話を利用できます。Phone call will continue to be available to users in paid Azure AD tenants. この変更は、無料/試用版の Azure AD テナントのみに影響します。This change only impacts free/trial Azure AD tenants.

警告

Azure 管理者ロールが割り当てられたアカウントは、「管理者リセット ポリシーの相違点」で定義されている方法を使用する必要があります。Accounts assigned Azure Administrator roles will be required to use methods as defined in the section Administrator reset policy differences.

Azure portal の [認証方法] セクションAuthentication methods selection in the Azure portal

必要な認証方法の数Number of authentication methods required

このオプションは、ユーザーがパスワードをリセットするために通過する必要がある認証方法またはゲートの最小数を決定します。This option determines the minimum number of the available authentication methods or gates a user must go through to reset or unlock their password. 1 または 2 に設定できます。It can be set to either one or two.

管理者が有効にしている認証方法であれば、ユーザーは他の認証方法を指定できます。Users can choose to supply more authentication methods if the administrator enables that authentication method.

ユーザーに必要最低限の方法が登録されていない場合は、管理者にパスワードのリセットを依頼するよう指示するエラー ページが表示されます。If a user does not have the minimum required methods registered, they see an error page that directs them to request that an administrator reset their password.

モバイル アプリおよび SSPR (プレビュー)Mobile app and SSPR (Preview)

Microsoft Authenticator アプリなどのモバイル アプリを使用している場合、パスワードのリセット方法として、次の注意事項を理解しておく必要があります。When using a mobile app, like the Microsoft Authenticator app, as a method for password reset, you should be aware of the following caveats:

  • 管理者がパスワードのリセットに 1 つの方法の使用を必須にすると、使用できる選択肢は確認コードのみになります。When administrators require one method be used to reset a password, verification code is the only option available.
  • 管理者がパスワードのリセットに 2 つの方法の使用を必須にすると、ユーザーは、通知または確認コードのいずれかと、他の有効な方法を使用できるようになります。When administrators require two methods be used to reset a password, users are able to use EITHER notification OR verification code in addition to any other enabled methods.
リセットに必要な方法の数Number of methods required to reset 1 つOne 2 つTwo
使用可能なモバイル アプリの機能Mobile app features available コードCode コードまたは通知Code or Notification

https://aka.ms/ssprsetup からセルフ サービスによるパスワードのリセットを登録すると、ユーザーはモバイル アプリを登録するオプションを選択できません。Users do not have the option to register their mobile app when registering for self-service password reset from https://aka.ms/ssprsetup. ユーザーは、https://aka.ms/mfasetup またはセキュリティ情報登録プレビュー (https://aka.ms/setupsecurityinfo) でモバイル アプリを登録できます。Users can register their mobile app at https://aka.ms/mfasetup, or in the new security info registration preview at https://aka.ms/setupsecurityinfo.

警告

https://aka.ms/setupsecurityinfo での新しいエクスペリエンスにユーザーがアクセスできるようにするには、まずセルフ サービス パスワード リセットと Azure Multi-factor Authentication (パブリック プレビュー) の集中型登録を有効にする必要があります。You must enable the Converged registration for self-service password reset and Azure Multi-Factor Authentication (Public preview) before users will be able to access the new experience at https://aka.ms/setupsecurityinfo.

認証方法を変更するChange authentication methods

リセットまたはロック解除に必要な認証方法が 1 つしか登録されていないポリシーで開始し、それを 2 つの方法に変更した場合、どうなりますか。If you start with a policy that has only one required authentication method for reset or unlock registered and you change that to two methods, what happens?

登録されている方法の数Number of methods registered 必要な方法の数Number of methods required 結果Result
1 つ以上1 or more 11 リセットまたはロック解除できるAble to reset or unlock
11 22 リセットまたはロック解除できないUnable to reset or unlock
2 以上2 or more 22 リセットまたはロック解除できるAble to reset or unlock

ユーザーが使用できる認証方法の種類を変更すると、誤って、使用できるデータが最小量に及ばない場合にユーザーが SSPR を使用できないようにする可能性があります。If you change the types of authentication methods that a user can use, you might inadvertently stop users from being able to use SSPR if they don't have the minimum amount of data available.

例:Example:

  1. 元のポリシーには、必要な 2 つの認証方法が構成されています。The original policy is configured with two authentication methods required. 会社電話番号とセキュリティの質問のみを使います。It uses only the office phone number and the security questions.
  2. 管理者は、今後セキュリティの質問を使用せず、携帯電話および連絡用メール アドレスを使用できるようにポリシーを変更します。The administrator changes the policy to no longer use the security questions, but allows the use of a mobile phone and an alternate email.
  3. 携帯電話または連絡用メール アドレス フィールドに入力していないユーザーは、パスワードをリセットできません。Users without the mobile phone or alternate email fields populated can't reset their passwords.

登録Registration

サインイン時にユーザーに登録を求めるRequire users to register when they sign in

ユーザーが Azure AD を使用してアプリケーションにサインインする場合、このオプションを有効にするには、ユーザーがパスワード リセットの登録を完了する必要があります。Enabling this option requires a user to complete the password reset registration if they sign in to any applications using Azure AD. このワークフローには、次のアプリケーションが含まれます。This workflow includes the following applications:

  • Office 365Office 365
  • Azure ポータルAzure portal
  • アクセス パネルAccess Panel
  • フェデレーション アプリケーションFederated applications
  • Azure AD を使用するカスタム アプリケーションCustom applications using Azure AD

登録の要求が無効になっている場合でも、ユーザーは手動で登録を行うことができます。When requiring registration is disabled, users can manually register. https://aka.ms/ssprsetup にアクセスするか、アクセス パネルの [プロファイル] タブの下にある [パスワード リセットの登録] リンクを使って行うことができます。They can either visit https://aka.ms/ssprsetup or select the Register for password reset link under the Profile tab in the Access Panel.

注意

ユーザーは、 [キャンセル] を選ぶか、ウィンドウを閉じることで、パスワード リセット登録ポータルを終了できます。Users can dismiss the password reset registration portal by selecting cancel or by closing the window. ただし、登録を完了するまでは、サインインのたびに登録を求められます。But they are prompted to register each time they sign in until they complete their registration.

ユーザーが既にサインインしている場合、この中断によりその接続が切断されることはありません。This interrupt doesn't break the user's connection if they are already signed in.

ユーザーが認証情報を再確認するように求められるまでの日数を設定するSet the number of days before users are asked to reconfirm their authentication information

このオプションは、認証情報を設定してから再確認するまでの期間を決定し、 [サインイン時にユーザーに登録を求めますか] オプションを有効にした場合にのみ表示されます。This option determines the period of time between setting and reconfirming authentication information and is available only if you enable the Require users to register when signing in option.

有効な値は 0 - 730 日で、"0" はユーザーに認証情報の再確認を求めることがないことを意味します。Valid values are 0 to 730 days, with "0" meaning users are never asked to reconfirm their authentication information.

通知Notifications

[パスワードのリセットについてユーザーに通知しますか]Notify users on password resets

このオプションが [はい] に設定されている場合、パスワードをリセットするユーザーは、パスワードが変更されたことを通知するメールを受け取ります。If this option is set to Yes, then users resetting their password receive an email notifying them that their password has been changed. メールは、SSPR ポータル経由で、Azure AD に登録されているプライマリおよび連絡用メール アドレス宛に送られます。The email is sent via the SSPR portal to their primary and alternate email addresses that are on file in Azure AD. このリセット イベントは他の誰にも通知されません。No one else is notified of the reset event.

[他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか]Notify all admins when other admins reset their passwords

このオプションが [はい] に設定されている場合は、"すべての管理者" が、Azure AD に登録されているプライマリ メール アドレスでメールを受け取ります。If this option is set to Yes, then all administrators receive an email to their primary email address on file in Azure AD. メールでは、別の管理者が SSPR を使ってパスワードを変更したことが通知されます。The email notifies them that another administrator has changed their password by using SSPR.

例:1 つの環境に 4 人の管理者がいます。Example: There are four administrators in an environment. 管理者 A が SSPR を使ってパスワードをリセットすると、Administrator A resets their password by using SSPR. 管理者 B、C、D はパスワード リセットを通知するメールを受け取ります。Administrators B, C, and D receive an email alerting them of the password reset.

オンプレミスの統合On-premises integration

Azure AD Connect のインストール、構成、有効化を行う場合、オンプレミス統合に関する次の追加オプションが表示されます。If you install, configure, and enable Azure AD Connect, you have the following additional options for on-premises integrations. これらのオプションがグレー表示になっている場合、ライトバックが適切に構成されていません。If these options are grayed out, then writeback has not been properly configured. 詳しくは、「パスワード ライトバックの構成」をご覧ください。For more information, see Configuring password writeback.

パスワード ライトバックの検証が有効かつ動作中Validating password writeback is enabled and working

このページには、オンプレミスのライトバック クライアントの簡単な状態が表示されます。現在の構成に基づいて、次のメッセージのいずれかが表示されます。This page provides you a quick status of the on-premises writeback client, one of the following messages is displayed based on the current configuration:

  • お客様のオンプレミスのライトバック クライアントは稼働しています。Your On-premises writeback client is up and running.
  • Azure AD Connect はオンラインであり、オンプレミスのライトバック クライアントに接続されていますが、Azure AD is online and is connected to your on-premises writeback client. インストールされている Azure AD Connect のバージョンが古いようです。However, it looks like the installed version of Azure AD Connect is out-of-date. 最新の接続機能と重要なバグ フィックスを確実に入手するため、Azure AD Connect のアップグレードをご検討ください。Consider Upgrading Azure AD Connect to ensure that you have the latest connectivity features and important bug fixes.
  • インストールされている Azure AD Connect のバージョンが古いため、残念ながらオンプレミスのライトバック クライアントの状態を確認できません。Unfortunately, we can’t check your on-premises writeback client status because the installed version of Azure AD Connect is out-of-date. Azure AD Connect をアップグレードし、接続の状態を確認できるようにしてください。Upgrade Azure AD Connect to be able to check your connection status.
  • 申し訳ございません。現在オンプレミスのライトバック クライアントに接続できないようです。Unfortunately, it looks like we can't connect to your on-premises writeback client right now. Azure AD Connect のトラブルシューティングを行い、接続を復元してください。Troubleshoot Azure AD Connect to restore the connection.
  • パスワード ライトバックが正しく構成されていないため、残念ながらオンプレミスのライトバック クライアントに接続できません。Unfortunately, we can't connect to your on-premises writeback client because password writeback has not been properly configured. パスワード ライトバックを構成し、接続を復元してください。Configure password writeback to restore the connection.
  • 申し訳ございません。現在オンプレミスのライトバック クライアントに接続できないようです。Unfortunately, it looks like we can't connect to your on-premises writeback client right now. これはマイクロソフト側の一時的な問題が原因の可能性があります。This may be due to temporary issues on our end. 問題が解決しない場合は、Azure AD Connect のトラブルシューティングを行い、接続を復元してください。If the problem persists, Troubleshoot Azure AD Connect to restore the connection.

オンプレミス ディレクトリへのパスワード ライトバックWrite back passwords to your on-premises directory

このコントロールにより、このディレクトリに対してパスワード ライトバックが有効になっているかどうかが決まります。This control determines whether password writeback is enabled for this directory. ライトバックがオンの場合、オンプレミスのライトバック サービスの状態を示します。If writeback is on, it indicates the status of the on-premises writeback service. このコントロールは、Azure AD Connect を再構成せずに、パスワード ライトバックを一時的に無効にする場合に便利です。This control is useful if you want to temporarily disable password writeback without having to reconfigure Azure AD Connect.

  • スイッチが [はい] に設定されている場合、ライトバックは有効になり、フェデレーション、パススルー認証、またはパスワード ハッシュ同期のユーザーは、パスワードをリセットできます。If the switch is set to Yes, then writeback is enabled, and federated, pass-through authentication, or password hash synchronized users are able to reset their passwords.
  • スイッチが [いいえ] に設定されている場合、ライトバックは無効になり、フェデレーション、パススルー認証、またはパスワード ハッシュ同期のユーザーは、パスワードをリセットできません。If the switch is set to No, then writeback is disabled, and federated, pass-through authentication, or password hash synchronized users are not able to reset their passwords.

パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可するAllow users to unlock accounts without resetting their password

このコントロールは、パスワード リセット ポータルにアクセスするユーザーに、パスワードをリセットせずにオンプレミスの Active Directory アカウントのロックを解除するオプションを表示するかどうかを指定します。This control designates whether users who visit the password reset portal should be given the option to unlock their on-premises Active Directory accounts without having to reset their password. 既定では、Azure AD はパスワード リセットを実行するときにアカウントをロック解除します。By default, Azure AD unlocks accounts when it performs a password reset. これら 2 つの操作を分離するには、この設定を使います。You use this setting to separate those two operations.

  • [はい] に設定すると、ユーザーは、パスワードをリセットしてアカウントのロックを解除するか、パスワードをリセットせずにアカウントのロックを解除するかを選択できます。If set to Yes, then users are given the option to reset their password and unlock the account, or to unlock their account without having to reset the password.
  • [いいえ] に設定すると、ユーザーはパスワードのリセットとアカウントのロック解除を組み合わせた操作しか実行できません。If set to No, then users are only be able to perform a combined password reset and account unlock operation.

オンプレミスの Active Directory のパスワード フィルターOn-premises Active Directory password filters

Azure AD のセルフサービス パスワード リセットでは、Active Directory の管理者によるものと同等のパスワード リセットが実行されます。Azure AD self-service password reset performs the equivalent of an admin-initiated password reset in Active Directory. カスタムのパスワード ルールを提供するためにサードパーティのパスワード フィルターを使用していて、Azure AD のセルフサービス パスワード リセット中にこのパスワード フィルターを確認する必要がある場合、サードパーティのパスワード フィルターのソリューションが確実に管理者のパスワード リセット シナリオで適用されるように構成します。If you are using a third-party password filter to enforce custom password rules, and you require that this password filter is checked during Azure AD self-service password reset, ensure that the third-party password filter solution is configured to apply in the admin password reset scenario. Windows Server Active Directory での Azure AD パスワード保護は、既定でサポートされます。Azure AD password protection for Windows Server Active Directory is supported by default.

B2B ユーザーのパスワードのリセットPassword reset for B2B users

パスワードのリセットと変更は、すべての企業間 (B2B) 構成で完全にサポートされています。Password reset and change are fully supported on all business-to-business (B2B) configurations. B2B ユーザーのパスワード リセットは、次の 3 つの場合にサポートされます。B2B user password reset is supported in the following three cases:

  • 既存の Azure AD テナントがあるパートナー組織のユーザー:パートナーを組んでいる組織に既存の Azure AD テナントがある場合は、"そのテナントで有効になっているパスワード リセット ポリシーが常に尊重されます"。Users from a partner organization with an existing Azure AD tenant: If the organization you're partnering with has an existing Azure AD tenant, we respect whatever password reset policies are enabled on that tenant. パスワード リセットが機能するためにパートナー組織で必要なのは、Azure AD SSPR を有効にすることだけです。For password reset to work, the partner organization just needs to make sure that Azure AD SSPR is enabled. Office 365 の顧客に対する追加料金はなく、パスワード管理の開始に関するガイドの手順に従って有効にできます。There is no additional charge for Office 365 customers, and it can be enabled by following the steps in our Get started with password management guide.
  • セルフ サービス サインアップを使ってサインアップしたユーザー:パートナーを組んでいる組織がセルフ サービス サインアップ機能を使ってテナントに参加している場合は、登録されたメールを使ってパスワードをリセットできます。Users who sign up through self-service sign-up: If the organization you're partnering with used the self-service sign-up feature to get into a tenant, we let them reset the password with the email they registered.
  • B2B ユーザー:新しい Azure AD B2B 機能を使って作成された B2B ユーザーも、招待プロセス中に登録した電子メールを使って自分のパスワードをリセットできます。B2B users: Any new B2B users created by using the new Azure AD B2B capabilities will also be able to reset their passwords with the email they registered during the invite process.

このシナリオをテストするには、これらのパートナー ユーザーのいずれかで https://passwordreset.microsoftonline.com に移動します。To test this scenario, go to https://passwordreset.microsoftonline.com with one of these partner users. 連絡用電子メールまたは認証用電子メールが定義されている場合、パスワードのリセットは予想どおりに機能します。If they have an alternate email or authentication email defined, password reset works as expected.

注意

Azure AD テナントへのゲスト アクセスを許可されている Microsoft アカウント (Hotmail.com、Outlook.com、他の個人メール アドレスからなど) は、Azure AD SSPR を使うことができません。Microsoft accounts that have been granted guest access to your Azure AD tenant, such as those from Hotmail.com, Outlook.com, or other personal email addresses, are not able to use Azure AD SSPR. このようなユーザーは、「Microsoft アカウントにサインインできない場合」の情報を使って、パスワードをリセットする必要があります。They need to reset their password by using the information found in the When you can't sign in to your Microsoft account article.

次の手順Next steps

次の記事では、Azure AD によるパスワードのリセットに関する追加情報が得られます。The following articles provide additional information regarding password reset through Azure AD: