Azure Active Directory のセルフサービス パスワード リセットを計画するPlan an Azure Active Directory self-service password reset

注意

このデプロイ計画は、Azure AD セルフサービス パスワード リセット (SSPR) をデプロイするための計画ガイダンスとベスト プラクティスを提供します。This deployment plan offers planning guidance and best practices for deploying Azure AD self-service password reset (SSPR).
アカウントを回復するために SSPR ツールを探している場合は、https://aka.ms/sspr にアクセスしてください。If you are looking for the SSPR tool to get back into your account, go to https://aka.ms/sspr.

Azure Active Directory の機能であるセルフサービス パスワード リセット (SSPR) を使用すると、ユーザーは自分のパスワードをリセットすることができ、IT スタッフにヘルプを依頼する必要はありません。Self-Service Password Reset (SSPR) is an Azure Active Directory (AD) feature that enables users to reset their passwords without contacting IT staff for help. ユーザーは場所や時間に関係なく、自分ですぐにブロックを解除して作業を続けることができます。The users can quickly unblock themselves and continue working no matter where they are or time of day. 従業員が自分自身のブロックを解除できるようにすることで、組織としては、パスワード関連のほとんどの一般的な問題に対する非生産的な時間と高いサポート コストを削減できます。By allowing the employees to unblock themselves, your organization can reduce the non-productive time and high support costs for most common password-related issues.

SSPR の主な機能は次のとおりです。SSPR has the following key capabilities:

  • セルフサービスを使用すると、エンド ユーザーは、管理者またはヘルプデスクにサポートを求めなくても、期限切れまたは期限切れではないパスワードをリセットできます。Self-service allows end users to reset their expired or non-expired passwords without contacting an administrator or helpdesk for support.

  • パスワード ライトバックを使用すると、クラウドを介してオンプレミスのパスワードを管理し、アカウントのロックアウトを解決することができます。Password Writeback allows management of on-premises passwords and resolution of account lockout though the cloud.

  • パスワード管理アクティビティ レポートでは、組織内で発生したパスワードのリセットおよび登録アクティビティの詳細が管理者に提供されます。Password management activity reports give administrators insight into password reset and registration activity occurring in their organization.

SSPR の詳細Learn about SSPR

SSPR の詳細を参照してください。Learn more about SSPR. 動作のしくみ:Azure AD のセルフサービス パスワード リセット のクイック スタートに関する記事をご覧ください。See How it works: Azure AD self-service password reset.

主な利点Key benefits

SSPR を有効にする主な利点は次のとおりです。The key benefits of enabling SSPR are:

  • コスト管理Manage cost. SSPR は、ユーザーが自分でパスワードをリセットできるようにすることで、IT サポート コストを削減します。SSPR reduces IT support costs by enabling users to reset passwords on their own. また、パスワードの紛失やロックアウトによって失われる時間も短縮されます。It also reduces the cost of time lost due to lost passwords and lockouts.

  • 直感的なユーザー エクスペリエンスIntuitive user experience. ユーザーがパスワードをリセットし、任意のデバイスや場所から要求時にアカウントのブロックを解除できるようにする、直感的なワンタイム ユーザー登録プロセスを提供します。It provides an intuitive one-time user registration process that allows users to reset passwords and unblock accounts on-demand from any device or location. SSPR を使用すると、ユーザーは迅速に作業を再開し、生産性を高めることができます。SSPR allows users to get back to work faster and be more productive.

  • 柔軟性とセキュリティFlexibility and security. SSPR を使用すると、企業はクラウド プラットフォームが提供するセキュリティと柔軟性にアクセスできます。SSPR enables enterprises to access the security and flexibility that a cloud platform provides. 管理者は、新しいセキュリティ要件に合わせて設定を変更し、サインインを中断せずにこれらの変更をユーザーにロールアウトすることができます。Administrators can change settings to accommodate new security requirements and roll these changes out to users without disrupting their sign-in.

  • 堅牢な監査と使用状況追跡Robust auditing and usage tracking. 組織は、ユーザーが自分のパスワードをリセットしている間も、ビジネス システムが安全であることを保証できます。An organization can ensure that the business systems remain secure while its users reset their own passwords. 堅牢な監査ログには、パスワード リセット プロセスの各手順の情報が含まれます。Robust audit logs include information of each step of the password reset process. これらのログは API から入手でき、これによりユーザーは、選択したセキュリティ インシデントおよびイベント監視 (SIEM) システムにデータをインポートできます。These logs are available from an API and enable the user to import the data into a Security Incident and Event Monitoring (SIEM) system of choice.

ライセンスLicensing

Azure Active Directory はユーザーごとのライセンスであり、機能を利用するには、各ユーザーに適切なライセンスが必要です。Azure Active Directory is licensed per-user meaning each user requires an appropriate license for the features they use. SSPR にはグループベースのライセンスが推奨されます。We recommend group-based licensing for SSPR.

エディションと機能を比較し、グループベースまたはユーザーベースのライセンスを有効にする場合は、「Azure AD のセルフサービス パスワード リセットのライセンス要件」をご覧ください。To compare editions and features and enable group or user-based licensing, see Licensing requirements for Azure AD self-service password reset.

価格の詳細については、「Azure Active Directory の価格」を参照してください。For more information about pricing, see Azure Active Directory pricing.

前提条件Prerequisites

  • 少なくとも試用版ライセンスが有効になっている、動作している Azure AD テナント。A working Azure AD tenant with at least a trial license enabled. 必要に応じて、無料で作成できますIf needed, create one for free.

  • グローバル管理者特権を持つアカウント。An account with Global Administrator privileges.

トレーニング リソースTraining resources

リソースResources リンクと説明Link and Description
ビデオVideos IT のスケーラビリティ向上によるユーザーの支援Empower your users with better IT scalability
セルフサービス パスワード リセットとはWhat is self-service password reset?
セルフサービス パスワード リセットのデプロイDeploying self-service password reset
Azure AD でユーザーにセルフサービスのパスワード リセットを構成する方法How to configure self-service password reset for users in Azure AD?
Azure Active Directory のセキュリティ情報を登録する [ユーザーを準備する] 方法How to [prepare users to] register [their] security information for Azure Active Directory
オンライン コースOnline courses Microsoft Azure Active Directory での ID の管理 SSPR を使用して、ユーザーに最新の保護されたエクスペリエンスを提供します。Managing Identities in Microsoft Azure Active Directory Use SSPR to give your users a modern, protected experience. 特に、「Azure Active Directory のユーザーとグループの管理」モジュールを参照してください。See especially the “Managing Azure Active Directory Users and Groups” module.
Pluralsight の有料コースPluralsight Paid courses ID およびアクセス管理の問題 組織内で認識しておく必要がある IAM とセキュリティの問題について説明します。The Issues of Identity and Access Management Learn about IAM and security issues to be aware of in your organization. 特に、「その他の認証方法」モジュールを参照してください。See especially the “Other Authentication Methods” module.
Microsoft Enterprise Mobility Suite の概要 認証、承認、暗号化、およびセキュリティで保護されたモバイル エクスペリエンスを実現する方法で、オンプレミスの資産をクラウドに拡張するためのベスト プラクティスについて説明します。Getting Started with the Microsoft Enterprise Mobility Suite Learn the best practices for extending on-premises assets to the cloud in a manner that allows for authentication, authorization, encryption, and a secured mobile experience. 特に、「Microsoft Azure Active Directory Premium の高度な機能の構成」モジュールを参照してください。See especially the “Configuring Advanced Features of Microsoft Azure Active Directory Premium” module.
チュートリアルTutorials Azure AD のセルフサービス パスワード リセット のパイロット展開を完了するComplete an Azure AD self-service password reset pilot roll out
パスワード ライトバックを有効にする」を使用して、パスワード ライトバックを有効にするEnabling password writeback
Windows 10 のログイン画面からの Azure AD パスワード リセットAzure AD password reset from the login screen for Windows 10
よく寄せられる質問FAQ パスワード管理に関するよく寄せられる質問 (FAQ)Password management frequently asked questions

ソリューションのアーキテクチャSolution architecture

次の例では、一般的なハイブリッド環境向けのパスワード リセット ソリューションのアーキテクチャについて説明しています。The following example describes the password reset solution architecture for common hybrid environments.

ソリューション アーキテクチャの図

ワークフローの説明Description of workflow

パスワードをリセットするためには、ユーザーはパスワードのリセット用ポータルにアクセスします。To reset the password, users go to the password reset portal. ユーザーは、以前に登録した認証方法 (1 つまたは複数) を使用して、身元を証明する必要があります。They must verify the previously registered authentication method or methods to prove their identity. パスワードが正常にリセットされると、リセット プロセスが開始されます。If they successfully reset the password, they begin the reset process.

  • クラウド専用ユーザーの場合、SSPR では新しいパスワードが Azure AD に格納されます。For cloud-only users, SSPR stores the new password in Azure AD.

  • ハイブリッド ユーザーの場合、SSPR では、パスワードは Azure AD Connect サービスを介してオンプレミスの Active Directory にライトバックされます。For hybrid users, SSPR writes back the password to the on-prem Active Directory via the Azure AD Connect service.

注:パスワード ハッシュ同期 (PHS) が無効になっているユーザーの場合、SSPR では、パスワードはオンプレミスの Active Directory にのみ格納されます。Note: For users who have Password hash synchronization (PHS) disabled, SSPR stores the passwords in the on-prem Active Directory only.

ベスト プラクティスBest practices

SSPR と共に別の一般的なアプリケーションまたはサービスを組織にデプロイすることで、ユーザーがすばやく登録できるようにすることができます。You can help users register quickly by deploying SSPR alongside another popular application or service in the organization. このアクションでは、大量のサインインが生成され、登録が促進されます。This action will generate a large volume of sign-ins and will drive registration.

SSPR をデプロイする前に、各パスワード リセット呼び出しの数と平均コストを決定することも選択できます。Before deploying SSPR, you may opt to determine the number and the average cost of each password reset call. このデータ投稿のデプロイを使用して、SSPR によって組織にもたらされる価値を示すことができます。YOU can use this data post deployment to show the value SSPR is bringing to the organization.

SSPR と MFA に対する統合された登録を有効にするEnable combined registration for SSPR and MFA

組織では SSPR と多要素認証に対する統合された登録エクスペリエンスを有効にすることをお勧めします。Microsoft recommends that organizations enable the combined registration experience for SSPR and multi-factor authentication. この統合された登録エクスペリエンスを有効にすると、ユーザーは登録情報を 1 回選択するだけで両方の機能を有効にすることができます。When you enable this combined registration experience, users need only select their registration information once to enable both features.

統合された登録エクスペリエンスでは、SSPR と Azure Multi-Factor Authentication の両方を有効にする必要はありません。The combined registration experience does not require organizations to enable both SSPR and Azure Multi-Factor Authentication. 登録を組み合わせると、組織ではより優れたユーザー エクスペリエンスを実現できます。Combined registration provides organizations a better user experience. 詳細については、「統合されたセキュリティ情報の登録 (プレビュー)」を参照してくださいFor more information, see Combined security information registration (preview)

デプロイ プロジェクトを計画するPlan the deployment project

お客様の環境でこのデプロイの戦略を決定するときは、お客様の組織のニーズを考慮してください。Consider your organizational needs while you determine the strategy for this deployment in your environment.

適切な関係者を関わらせるEngage the right stakeholders

テクノロジ プロジェクトが失敗した場合、その原因は通常、影響、結果、および責任に対する想定の不一致です。When technology projects fail, they typically do so due to mismatched expectations on impact, outcomes, and responsibilities. これらの落とし穴を回避するには、適切な利害関係者を関与させ、利害関係者およびそのプロジェクトでの入力と説明責任を文書化することで、プロジェクトでの利害関係者の役割をよく理解させます。To avoid these pitfalls, ensure that you are engaging the right stakeholders and that stakeholder roles in the project are well understood by documenting the stakeholders and their project input and accountabilities.

必要な管理者ロールRequired administrator roles

ビジネス ロール/ペルソナBusiness Role/Persona Azure AD ロール (必要な場合)Azure AD Role (if necessary)
レベル 1 ヘルプデスクLevel 1 helpdesk パスワード管理者Password administrator
レベル 2 ヘルプデスクLevel 2 helpdesk ユーザー管理者User administrator
SSPR 管理者SSPR administrator 全体管理者Global administrator

連絡を計画するPlan communications

コミュニケーションは、新しいサービスの成功に必要不可欠です。Communication is critical to the success of any new service. ユーザー エクスペリエンスがどのように変わるのか、いつ変わるのか、問題が発生したときにサポートを受ける方法について、ユーザーに事前に連絡する必要があります。You should proactively communicate with your users how their experience will change, when it will change, and how to gain support if they experience issues. エンド ユーザー コミュニケーション戦略の計画方法に関するアイデアについては、Microsoft ダウンロード センターにあるセルフサービス パスワード リセット のロールアウト資料を確認してください。Review the Self-service password reset rollout materials on the Microsoft download center for ideas on how to plan your end-user communication strategy.

パイロットを計画するPlan a pilot

SSPR の初期構成はテスト環境で行うことをお勧めします。We recommend that the initial configuration of SSPR be in a test environment. 組織内のユーザーのサブセットに対して SSPR を有効にすることで、パイロット グループから始めてください。Start with a pilot group by enabling SSPR for a subset of users in your organization. パイロットのベスト プラクティス」を参照してください。See Best practices for a pilot.

グループを作成するには、Azure Active Directory でグループを作成し、メンバーを追加する方法を参照してください。To create a group, see how to create a group and add members in Azure Active Directory.

構成を計画するPlan configuration

推奨値で SSPR を有効にするには、次の設定が必要です。The following settings are required to enable SSPR along with recommended values.

領域Area 設定Setting ValueValue
SSPR のプロパティSSPR Properties セルフサービス パスワード リセット が有効Self-service password reset enabled パイロットの場合は [選択済み] グループ/運用環境の場合は [すべて]Selected group for pilot / All for production
認証方法Authentication methods Authentication methods required to register (登録に必要な認証方法)Authentication methods required to register リセットのため必要な数より常に 1 つ多い値Always 1 more than required for reset
Authentication methods required to reset (リセットに必要な認証方法)Authentication methods required to reset 1 つまたは 2 つOne or two
登録Registration [サインイン時にユーザーに登録を求めますか]Require users to register when signing in はいYes
[ユーザーが認証情報を再確認するように求められるまでの日数]Number of days before users are asked to reconfirm their authentication information 90 – 180 日90 – 180 days
通知Notifications [パスワードのリセットについてユーザーに通知しますか]Notify users on password resets はいYes
[他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか]Notify all admins when other admins reset their password はいYes
カスタマイズCustomization ヘルプデスク リンクのカスタマイズCustomize helpdesk link はいYes
カスタム ヘルプデスクの電子メールまたは URLCustom helpdesk email or URL サポート サイトまたはメール アドレスSupport site or email address
オンプレミスの統合On-premises integration オンプレミスの AD へのパスワードの書き戻しWrite back passwords to on-premises AD はいYes
パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可するAllow users to unlock account without resetting password はいYes

SSPR のプロパティSSPR properties

SSPR を有効にする場合は、パイロット環境で適切なセキュリティ グループを選択します。When enabling SSPR, choose an appropriate security group in the pilot environment.

  • すべてのユーザーに SSPR 登録を適用する場合は、 [すべて] オプションを使用することをお勧めします。To enforce SSPR registration for everyone, we recommend using the All option.
  • それ以外の場合は、適切な Azure AD または AD セキュリティ グループを選択してください。Otherwise, select the appropriate Azure AD or AD security group.

認証方法Authentication methods

SSPR が有効になっている場合、ユーザーが自分のパスワードをリセットできるのは、管理者が有効にしている認証方法にデータがある場合のみです。When SSPR is enabled, users can only reset their password if they have data present in the authentication methods that the administrator has enabled. 方法には、電話、Authenticator アプリの通知、セキュリティの質問などがあります。詳細については、「認証方法とは」を参照してください。Methods include phone, Authenticator app notification, security questions, etc. For more information, see What are authentication methods?.

次の認証方法の設定が推奨されます。We recommend the following authentication method settings:

  • [Authentication methods required to register](登録に必要な認証方法) を、リセットに必要な数より少なくとも 1 つ多い数に設定します。Set the Authentication methods required to register to at least one more than the number required to reset. 複数の認証を許可すると、リセットが必要なときのユーザーの柔軟性が増します。Allowing multiple authentications gives users flexibility when they need to reset.

  • [リセットのために必要な方法の数] を、組織に適したレベルに設定します。Set Number of methods required to reset to a level appropriate to your organization. 1 つでは最小限の手間が必要ですが、2 つではセキュリティ ポスチャが増す可能性があります。One requires the least friction, while two may increase your security posture.

注:ユーザーには、「Azure Active Directory のパスワード ポリシーと制限」で構成されている認証方法が必要です。Note: The user must have the authentication methods configured in the Password policies and restrictions in Azure Active Directory.

登録設定Registration settings

[サインイン時にユーザーに登録を求めますか][はい] に設定します。Set Require users to register when signing in to Yes. この設定では、サインイン時にユーザーに登録を求めることで、すべてのユーザーが確実に保護されるようにします。This setting requires users to register when signing in, ensuring that all users are protected.

組織で短い期間が必要でない限り、 [ユーザーが認証情報を再確認するように求められるまでの日数]90 から 180 日の範囲に設定します。Set Number of days before users is asked to reconfirm their authentication information to between 90 and 180 days, unless your organization has a business need for a shorter time frame.

通知の設定Notifications settings

[パスワードのリセットについてユーザーに通知しますか][他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか] の両方を、 [はい] に構成します。Configure both the Notify users on password resets and the Notify all admins when other admins reset their password to Yes. 両方で [はい] を選択すると、パスワードがリセットされたことをユーザーが確実に認識することで、セキュリティが向上します。Selecting Yes on both increases security by ensuring that users are aware when their password is reset. また、1 人の管理者がパスワードを変更したときに、すべての管理者が認識できるようにもします。It also ensures that all admins are aware when an admin changes a password. ユーザーまたは管理者は、通知を受け取ったときに変更を開始していない場合は、すぐにセキュリティの問題の可能性を報告できます。If users or admins receive a notification and they haven't initiated the change, they can immediately report a potential security issue.

カスタマイズ設定Customization settings

問題が発生したユーザーがすぐにヘルプを受けられるよう、ヘルプデスクのメールまたは URL をカスタマイズすることが重要です。It’s critical to customize the helpdesk email or URL to ensure users who experience problems can get help immediately. このオプションを、ユーザーがよく知っている一般的なヘルプデスクのメール アドレスまたは Web ページに設定します。Set this option to a common helpdesk email address or web page that your users are familiar with.

詳細については、「セルフサービス パスワード リセットのための Azure AD 機能のカスタマイズ」を参照してください。For more information, see Customize the Azure AD functionality for self-service password reset.

パスワード ライトバックPassword Writeback

パスワード ライトバックは、Azure AD Connect で有効になっていて、クラウドでのパスワード リセットを既存のオンプレミスのディレクトリにリアルタイムで書き戻します。Password Writeback is enabled with Azure AD Connect and writes password resets in the cloud back to an existing on-premises directory in real time. 詳しくは、「パスワード ライトバックとは」をご覧くださいFor more information, see What is Password Writeback?

次の設定が推奨されます。We recommend the following settings:

  • [オンプレミスの Active Directory へのパスワードの書き戻し][はい] に設定されていることを確認します。Ensure that Write back passwords to on-premises AD is set to Yes.
  • [パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する][はい] に設定します。Set the Allow users to unlock account without resetting password to Yes.

既定では、Azure AD はパスワード リセットを実行するときにアカウントをロック解除します。By default, Azure AD unlocks accounts when it performs a password reset.

管理者パスワード設定Administrator password setting

管理者のアカウントは、アクセス許可が引き上げられています。Administrator accounts have elevated permissions. オンプレミスのエンタープライズ管理者またはドメイン管理者は、SSPR で自分のパスワードをリセットできません。The on-premises enterprise or domain administrators can't reset their passwords through SSPR. オンプレミスの管理者アカウントには、次の制限があります。On-premises admin accounts have the following restrictions:

  • オンプレミス環境でのみ、自分のパスワードを変更できます。can only change their password in their on-prem environment.
  • パスワードをリセットする方法として、秘密の質問と回答を使用できません。can never use the secret questions and answers as a method to reset their password.

オンプレミスの Active Directory 管理者アカウントは Azure AD と同期させないことをお勧めします。We recommend that you don't sync your on-prem Active Directory admin accounts with Azure AD.

複数の ID 管理システムがある環境Environments with multiple identity management systems

環境によっては、複数の ID 管理システムが存在する場合があります。Some environments have multiple identity management systems. Oracle AM や SiteMinder などのオンプレミスの ID マネージャーは、パスワードを AD の同期させる必要があります。On-premesis identity managers like Oracle AM and SiteMinder, require synchronization with AD for passwords. これは、Microsoft Identity Manager (MIM) を使用したパスワード変更通知サービス (PCNS) のようなツールを使用することで実行できます。You can do this using a tool like the Password Change Notification Service (PCNS) with Microsoft Identity Manager (MIM). このより複雑なシナリオについては、「ドメイン コントローラーに MIM パスワード変更通知サービスを展開する」をご覧ください。To find information on this more complex scenario, see the article Deploy the MIM Password Change Notification Service on a domain controller.

テストとサポートを計画するPlan Testing and Support

初期のパイロット グループから組織全体に至るまでのデプロイの各段階で、確実に期待どおりの結果が得られるようにします。At each stage of your deployment from initial pilot groups through organization-wide, ensure that results are as expected.

テストを計画するPlan testing

デプロイが意図したとおりに動作することを確認するには、実装を検証にするテスト ケースのセットを計画します。To ensure that your deployment works as expected, plan a set of test cases to validate the implementation. テスト ケースにアクセスするには、パスワードを持つ非管理者テスト ユーザーが必要です。To assess the test cases, you need a non-administrator test user with a password. ユーザーを作成する必要がある場合は、Azure Active Directory への新しいユーザーの追加に関するページを参照してください。If you need to create a user, see Add new users to Azure Active Directory.

次の表では、ポリシーに基づいて組織で予想される結果を文書化するために使用できる有用なテスト シナリオを示します。The following table includes useful test scenarios you can use to document your organizations expected results based on your policies.

ビジネス ケースBusiness case 予想される結果Expected results
企業ネットワーク内から SSPR ポータルにアクセスできるSSPR portal is accessible from within the corporate network 組織によって決定されるDetermined by your organization
企業ネットワーク外から SSPR ポータルにアクセスできるSSPR portal is accessible from outside the corporate network 組織によって決定されるDetermined by your organization
ユーザーがパスワード リセットを有効にされていないときに、ブラウザーからユーザーのパスワードをリセットするReset user password from browser when user is not enabled for password reset ユーザーはパスワード リセット フローにアクセスできないUser is not able to access the password reset flow
ユーザーがパスワード リセットに登録されていないときに、ブラウザーからユーザーのパスワードをリセットするReset user password from browser when user has not registered for password reset ユーザーはパスワード リセット フローにアクセスできないUser is not able to access the password reset flow
パスワード リセットの登録が強制されているときに、ユーザーがサインインするUser signs in when enforced to do password reset registration ユーザーにセキュリティ情報を登録するよう求めるPrompts the user to register security information
パスワード リセットの登録が完了したら、ユーザーがサインインするUser signs in when password reset registration is complete ユーザーにセキュリティ情報を登録するよう求めるPrompts the user to register security information
ユーザーがライセンスを持っていないときに、SSPR ポータルにアクセスできるSSPR portal is accessible when the user does not have a license アクセスできるIs accessible
Windows 10 Azure AD 参加済みまたはハイブリッド Azure AD 参加済みデバイスのロック画面からユーザーのパスワードをリセットするReset user password from Windows 10 Azure AD joined or hybrid Azure AD joined device lock screen ユーザーはパスワードをリセットできるUser can reset password
SSPR の登録と使用状況のデータを、管理者がほぼリアルタイムで使用できるSSPR registration and usage data are available to administrators in near real time 監査ログを介して利用できるIs available via audit logs

Azure AD のセルフサービス パスワード リセットのパイロット展開の完了に関するページも参照してください。You can also refer to Complete out an Azure AD self-service password reset pilot roll. このチュートリアルでは、SSPR を組織にパイロット展開できるようにし、管理者以外のアカウントを使用してテストします。In this tutorial, you will enable a pilot roll out of SSPR in your organization and test using a non-administrator account.

サポートを計画するPlan support

通常、SSPR ではユーザーの問題は発生しませんが、発生する可能性のある問題に対応できるようサポート スタッフを準備することが重要です。While SSPR does not typically create user issues, it is important to prepare support staff to deal with issues that may arise. 管理者は Azure AD ポータルでエンド ユーザーのパスワードをリセットできますが、セルフサービス サポート プロセスを通して問題の解決を支援することをお勧めします。While an administrator can reset the password for end users through the Azure AD portal, it is better to help resolve the issue via a self-service support process.

サポート チームが成功できるように、ユーザーから受け取った質問に基づいて、FAQ を作成できます。To enable your support team’s success, you can create a FAQ based on questions you receive from your users. 次に例をいくつか示します。Here are a few examples:

シナリオScenarios 説明Description
ユーザーに使用可能な登録済み認証方法がないUser doesn't have any registered authentication methods available ユーザーは、自分のパスワードをリセットしようとしていますが、使用可能な登録済みの認証方法がありません (例: 携帯電話が自宅にあり、メールにアクセスできない)A user is trying to reset their password but doesn't have any of the authentication methods that they registered available (Example: they left their cell phone at home and can’t access email)
ユーザーはオフィスまたは携帯電話でテキストまたは通話を受け取っていないUser isn't receiving a text or call on their office or cell phone ユーザーは、テキストまたは通話により身元を確認しようとしていますが、テキスト/通話を受け取っていません。A user is trying to verify their identity via text or call but isn't receiving a text/call.
ユーザーはパスワード リセット ポータルにアクセスできないUser can't access the password reset portal ユーザーは、パスワードのリセットを望んでいますが、パスワードのリセットが有効になっておらず、パスワード更新ページにアクセスできません。A user wants to reset their password but isn't enabled for password reset and can't access the page to update passwords.
ユーザーは新しいパスワードを設定できないUser can't set a new password ユーザーは、パスワード リセット フローで検証を完了しましたが、新しいパスワードを設定できません。A user completes verification during the password reset flow but can't set a new password.
ユーザーの Windows 10 デバイスに [パスワードのリセット] リンクが表示されないUser doesn't see a Reset Password link on a Windows 10 device ユーザーは、Windows 10 のロック画面からパスワードをリセットしようとしていますが、デバイスが Azure AD に参加していないか、または Intune デバイス ポリシーが有効になっていませんA user is trying to reset password from the Windows 10 lock screen, but the device is either not joined to Azure AD, or the Intune device policy isn't enabled

ロールバックを計画するPlan roll back

デプロイをロールバックするには:To roll back the deployment:

  • 1 人のユーザーの場合は、セキュリティ グループからユーザーを削除しますfor a single user, remove the user from the security group

  • グループの場合は、SSPR 構成からグループを削除しますfor a group, remove the group from SSPR configuration

  • 全員の場合は、Azure AD テナントに対して SSPR を無効にしますFor everyone, disable SSPR for the Azure AD tenant

SSPR をデプロイするDeploy SSPR

デプロイの前に、次の操作を完了済みであることを確認します。Before deploying, ensure that you have done the following:

  1. コミュニケーション計画を作成し、実行を開始した。Created and begun executing your communication plan.

  2. 適切な構成設定を決定した。Determined the appropriate configuration settings.

  3. パイロット環境と運用環境のユーザーとグループを特定した。Identified the users and groups for the pilot and production environments.

  4. 登録とセルフサービス用の構成設定を決定した。Determined configuration settings for registration and self-service.

  5. ハイブリッド環境がある場合は、パスワード ライトバックを構成した。Configured password writeback if you have a hybrid environment.

これで、SSPR をデプロイする準備が整いました。You're now ready to deploy SSPR!

次の領域の構成の詳細な手順については、「セルフサービス パスワード リセットを有効にする」を参照してください。See Enable self-service password reset for complete step-by-step directions on configuring the following areas.

  1. 認証方法Authentication methods

  2. 登録設定Registration settings

  3. 通知設定Notifications settings

  4. カスタマイズ設定Customization settings

  5. オンプレミスの統合On-premises integration

Windows で SSPR を有効にするEnable SSPR in Windows

Windows 7、8、8.1、および 10 を実行中のコンピューターでは、Windows のログイン画面でユーザーが自分のパスワードをリセットできるように設定することができますFor machines running Windows 7, 8, 8.1, and 10 you can enable users to reset their password at the Windows login screen

SSPR を管理するManage SSPR

Azure AD では、監査とレポートによって SSPR のパフォーマンスに関する追加情報を提供できます。Azure AD can provide additional information on your SSPR performance through audits and reports.

パスワード管理アクティビティ レポートPassword management activity reports

Azure portal で構築済みのレポートを使用して、SSPR のパフォーマンスを測定できます。You can use pre-built reports on Azure portal to measure the SSPR performance. 適切にライセンスを付与されている場合は、カスタム クエリを作成することもできます。If you're appropriately licensed, you can also create custom queries. 詳しくは、「Azure AD のパスワード管理に関するレポート オプション」を参照してくださいFor more information, see Reporting options for Azure AD password management

注意

ユーザーはグローバル管理者であること、および組織のためにこのデータを収集できるようにオプトインすることが必要です。You must be a global administrator, and you must opt-in for this data to be gathered for your organization. オプトインするには、Azure portal の [レポート] タブまたは監査ログに少なくとも 1 回アクセスする必要があります。To opt in, you must visit the Reporting tab or the audit logs on the Azure Portal at least once. それまでは、ご自分の組織のデータは収集されません。Until then, the data doesn't collect for your organization.

登録とパスワード リセットに関する監査ログは、30 日間利用できます。Audit logs for registration and password reset are available for 30 days. 企業内でのセキュリティ監査をもっと長い期間保有する必要がある場合は、ログをエクスポートし、Azure Sentinel、Splunk、ArcSight などの SIEM ツールに取り込む必要があります。If security auditing within your corporation requires longer retention, the logs need to be exported and consumed into a SIEM tool such as Azure Sentinel, Splunk, or ArcSight.

SSPR レポートのスクリーンショット

認証方法 - 使用状況と分析情報Authentication methods- Usage and Insights

使用状況と分析情報を使うと、Azure MFA や SSPR などの機能の認証方法が組織内でどのように機能しているかについて理解を深めることができます。Usage and insights enable you to understand how authentication methods for features like Azure MFA and SSPR are working in your organization. このレポート機能は、組織がどの方法で登録を行い、それらをどのように使用しているかを把握するための手段となるものです。This reporting capability provides your organization with the means to understand what methods register and how to use them.

[トラブルシューティング]Troubleshoot

役に立つドキュメントHelpful documentation

次のステップNext steps