Windows のサインイン画面で Microsoft Entra のセルフサービス パスワード リセットを有効にする
セルフサービス パスワード リセット (SSPR) を使用すると、管理者やヘルプ デスクが関与することなく、Microsoft Entra ID のユーザーが自分でパスワードを変更したり、リセットしたりできます。 通常、ユーザーは別のデバイスで Web ブラウザーを開いて SSPR ポータルにアクセスします。 Windows 7、8、8.1、10、11 を搭載しているコンピューターでのエクスペリエンスを向上させるため、Windows のサインイン画面でユーザーが自分のパスワードをリセットできるようにすることができます。
重要
このチュートリアルでは、企業の Windows デバイスの SSPR を有効にする方法を管理者向けに説明します。
IT チームが Windows デバイスから SSPR を使用する機能を有効にしていない場合、またはサインイン時に問題が発生した場合は、ヘルプデスクに連絡して追加のサポートを依頼してください。
一般的な制限事項
Windows のサインイン画面から SSPR を使用する場合は、次の制限事項が適用されます。
- リモート デスクトップまたは Hyper-V 拡張セッションからのパスワードのリセットは、現在サポートされていません。
- サード パーティの一部の資格情報プロバイダーでは、この機能に関する問題が発生することがわかっています。
- EnableLUA レジストリ キーを変更することによって UAC を無効にすると、問題が発生することが確認されています。
- この機能は、802.1x ネットワーク認証がデプロイされ、[ユーザー ログオンの直前に実行する] オプションが有効になっているネットワークでは動作しません。 802.1x ネットワーク認証がデプロイされているネットワークでこの機能を有効にするには、マシン認証を使用することをお勧めします。
- Microsoft Entra ハイブリッド参加済みコンピューターでは、新しいパスワードの使用とキャッシュされた資格情報の更新を行うために、ドメイン コントローラーへの ネットワーク接続経路が必要です。 これは、デバイスを組織の内部ネットワークに配置するか、オンプレミスのドメイン コントローラーにネットワーク アクセスできる VPN に配置する必要があることを意味します。
- イメージを使用する場合は、sysprep を実行する前に、CopyProfile 手順の実行に先立ってビルトイン Administrator に対する Web キャッシュがクリアされることを確認してください。 この手順の詳細については、カスタムの既定のユーザー プロファイルを使用した場合のパフォーマンスの低下に関するサポート記事を参照してください。
- Windows 10 デバイスでは、以下の設定によって、パスワードの使用とリセットを行う機能が干渉されることがわかっています。
- ロック画面の通知がオフになっている場合、パスワードのリセットは機能しません。
- HideFastUserSwitching が有効または 1 に設定されている
- DontDisplayLastUserName が有効または 1 に設定されている
- NoLockScreen が有効または 1 に設定されている
- BlockNonAdminUserInstall が有効または 1 に設定されている
- EnableLostMode がデバイスで設定されている
- Explorer.exe をカスタム シェルで置き換える
- 対話型ログオン*: スマートカード*が有効にセット*されているか、1にセット*されています
- 次の具体的な 3 つの設定を組み合わせると、この機能が動作しなくなる可能性があります。
- 対話型ログオン: CTRL + ALT + DEL を必要としない = 無効 (Windows 10 バージョン 1710 以前の場合のみ)
- DisableLockScreenAppNotifications = 1 または Enabled
- Windows SKU は Home Edition です
注意
これらの制限は、デバイスのロック画面からの Windows Hello for Business の PIN のリセットにも適用されます。
Windows 11 と Windows 10 のパスワード リセット
サインイン画面での SSPR を行うために Windows 11 または Windows 10 デバイスを構成するには、次の前提条件と構成手順を確認します。
Windows 11 と Windows 10 の前提条件
- 認証ポリシー管理者以上の権限で Microsoft Entra 管理センターにサインインし、Microsoft Entra のセルフサービス パスワード リセットを有効にします。
- ユーザーは、この機能を使用する前に https://aka.ms/ssprsetup で SSPR に登録する必要があります
- Windows のサインイン画面から SSPR を使用する場合に限らず、すべてのユーザーはパスワードをリセットする前に認証の連絡先情報を入力する必要があります。
- ネットワーク プロキシの要件:
passwordreset.microsoftonline.comとajax.aspnetcdn.comへのポート 443- Windows 10 では、SSPR の実行に使用される一時的な defaultuser1 アカウントのコンピューター レベルのプロキシ構成またはスコープ付きプロキシ構成が必要です (詳細については、「トラブルシューティング」セクションを参照してください)。
- Windows 10 バージョン April 2018 Update (v1803) 以降を実行している必要があります。また、次のいずれかのデバイスを使用する必要があります。
- Microsoft Entra 参加済み
- Microsoft Entra ハイブリッド参加済み
Microsoft Intune を使用して Windows 11 と Windows 10 で有効にする
ログイン画面から SSPR を有効にするための構成変更を Microsoft Intune を使用してデプロイするのは、最も柔軟な方法です。 Microsoft Intune を使用すると、定義する特定のマシンのグループに構成変更をデプロイすることができます。 この方法では、デバイスの Microsoft Intune 登録が必要です。
Microsoft Intune でデバイス構成ポリシーを作成する
Microsoft Intune 管理センターにサインインします。
[デバイス構成]>[プロファイル] の順に移動してから、[+ Create Profile]\(+ プロファイルの作成\) を選択して新しいデバイス構成プロファイルを作成します
- [プラットフォーム] には、 [Windows 10 以降] を選択します
- [プロファイルの種類] で、[テンプレート] を選択し、下の [カスタム テンプレート] を選択します
[作成] を選択し、"Windows 11 サインイン画面用 SSPR" など、プロファイルにわかりやすい名前を入力します
必要に応じて、そのプロファイルについてのわかりやすい説明を入力し、 [次へ] を選択します。
[構成設定] で、 [追加] を選択し、次の OMA-URI 設定を指定して、パスワードのリセット リンクを有効にします。
- "SSPR リンクを追加" など、設定の内容を説明するわかりやすい名前を入力します。
- 必要に応じて、その設定についてのわかりやすい説明を入力します。
- OMA-URI:
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordResetに設定します。 - データ型: 整数に設定します。
- 値: 1 に設定します。
[追加] 、 [次へ] の順に選択します。
このポリシーを、特定のユーザー、デバイス、またはグループに割り当てることができます。 環境に合わせて必要なプロファイルを割り当て (理想的には最初にデバイスのテスト グループに割り当て)、 [次へ] を選択します。
詳細については、Microsoft Intune でユーザーとデバイスのプロファイルを割り当てる方法に関するページを参照してください。
[Assign profile if OS edition is Windows 10 Enterprise](OS エディションが Windows 10 Enterprise の場合にプロファイルを割り当てる) など、環境に合わせて適用性ルールを構成し、 [次へ] を選択します。
プロファイルを確認し、 [作成] を選択します。
レジストリを使用して Windows 11 と Windows 10 で有効にする
レジストリ キーを使用してサインイン画面で SSPR を有効にするには、次の手順を実行します。
管理者の資格情報を使用して Windows PC にサインインします。
Windows + R を押して [実行] ダイアログを開き、管理者として regedit を実行します
次のレジストリ キーを設定します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount "AllowPasswordReset"=dword:00000001
Windows 11 と Windows 10 でのパスワードのリセットのトラブルシューティング
Windows のサインイン画面から SSPR を使用するときに問題が発生した場合、Microsoft Entra 監査ログには、次の出力例に示すように、パスワードのリセットが発生した IP アドレスと ClientType に関する情報が含まれます。
ユーザーが Windows 11 または 10 デバイスのサインイン画面から自分のパスワードをリセットすると、defaultuser1 と呼ばれる低特権の一時的なアカウントが作成されます。 このアカウントは、パスワード リセット プロセスを安全に保つために使用されます。
アカウント自体には、ランダムに生成されたパスワードが含まれています。これは組織のパスワード ポリシーに対して検証され、デバイスのサインインには表示されません。ユーザーがパスワードをリセットした後に自動的に削除されます。 複数の defaultuser プロファイルが存在する可能性がありますが、安全に無視することができます。
Windows パスワード リセットのためのプロキシ構成
パスワードのリセット中に、SSPR はhttps://passwordreset.microsoftonline.com/n/passwordresetに接続するための一時的なローカル ユーザー アカウントを作成します。 プロキシがユーザー認証用に構成されている場合、エラー「問題が発生 しました。後でもう一度お試しください。」で失敗することがあります。 これは、ローカル ユーザー アカウントが認証済みプロキシを使用する権限を持たないためです。
この場合、次のいずれかの方法で回避できます。
マシンにログインしたユーザーの種類に依存しない、マシン全体のプロキシ設定を構成します。 たとえば、ワークステーションに対して、グループ ポリシーコンピューターごとのプロキシ設定を行う (ユーザー単位 ではなく) を有効にできます。
既定のアカウント用のレジストリテンプレートを変更する場合は、SSPR のPer-User プロキシ構成を使用することもできます。 コマンドは次のとおりです。
reg load "hku\Default" "C:\Users\Default\NTUSER.DAT" reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f reg unload "hku\Default"「何か問題が発生しました」 というエラーは、URL への接続が何らかの原因で中断された場合にも発生する可能性があります
https://passwordreset.microsoftonline.com/n/passwordreset。 たとえば、URLpasswordreset.microsoftonline.com、ajax.aspnetcdn.com、およびocsp.digicert.comを除外せずにワークステーションでアンチウイルスソフトウェアを実行すると、このエラーが発生することがあります。 このソフトウェアを一時的に無効にして、問題が解決さるかどうかをテストします。
Windows 7、8、および 8.1 でのパスワードのリセット
サインイン画面での SSPR を行うために Windows 7、8、または 8.1 デバイスを構成するには、次の前提条件と構成手順を確認します。
Windows 7、8、および 8.1 の前提条件
- 認証ポリシー管理者以上の権限で Microsoft Entra 管理センターにサインインし、Microsoft Entra のセルフサービス パスワード リセットを有効にします。
- ユーザーは、この機能を使用する前に https://aka.ms/ssprsetup で SSPR に登録する必要があります
- Windows のサインイン画面から SSPR を使用する場合に限らず、すべてのユーザーはパスワードをリセットする前に認証の連絡先情報を入力する必要があります。
- ネットワーク プロキシの要件:
passwordreset.microsoftonline.comへのポート 443
- パッチが適用された Windows 7 または Windows 8.1 オペレーティング システム。
- トランスポート層セキュリティ (TLS) レジストリ設定にあるガイダンスを使用して有効にした TLS 1.2。
- お使いのコンピューターで複数のサード パーティの資格情報プロバイダーが有効になっている場合は、ログオン画面に複数のユーザー プロファイルが表示されます。
警告
TLS 1.2 は、自動ネゴシエートするように設定されているだけでなく、有効になっている必要があります。
インストール
Windows 7、8、および 8.1 のサインイン画面で SSPR を有効にするには、コンピューターに小さなコンポーネントがインストールされている必要があります。 この SSPR コンポーネントをインストールするには、次の手順を実行します。
有効にしたい Windows バージョン用の適切なインストーラーをダウンロードします。
ソフトウェア インストーラは https://aka.ms/sspraddin にある Microsoft ダウンロード センターで入手できます
インストールしたいマシンにサインインし、インストーラーを実行します。
インストール後に再起動することを強くお勧めします。
再起動後に、サインイン画面でユーザーを選択し、[パスワードを忘れた場合] を選択して、パスワード リセットのワークフローを開始します。
画面に表示される手順に従ってワークフローを完了すると、パスワードがリセットされます。
サイレント インストール
SSPR コンポーネントは、次のコマンドを使用することで、プロンプトを使用せずにインストールまたはアンインストールできます。
- サイレント インストールの場合は、コマンド "msiexec/i SsprWindowsLogon.PROD.msi/qn" を使用します
- サイレント アンインストールの場合は、コマンド "msiexec/x SsprWindowsLogon.PROD.msi/qn" を使用します
Windows 7、8、および 8.1 でのパスワードのリセットのトラブルシューティング
Windows のサインイン画面から SSPR を使用するときに問題が発生した場合は、コンピューターと Microsoft Entra ID の両方でイベントがログに記録されます。 Microsoft Entra イベントには、次の出力例に示すように、パスワードのリセットが発生した IP アドレスと ClientType に関する情報が含まれます。
追加のログ記録が必要な場合は、詳細ログ記録を有効にするようにマシンのレジストリ キーを変更できます。 トラブルシューティングの目的でのみ詳細ログ記録を有効にするには、次のレジストリ キー値を使用します。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
- 詳細ログ記録を有効にするには、
REG_DWORD: "EnableLogging"を作成し、それを 1 に設定します。 - 詳細ログ記録を無効にするには、
REG_DWORD: "EnableLogging"を 0 に変更します。 - ソース AADPasswordResetCredentialProvider のアプリケーション イベント ログのデバッグ ログを確認します。
ユーザーに表示される画面
Windows デバイスで SSPR を構成すると、ユーザーにとっては何が変更されるのでしょうか。 ログイン画面でパスワードをリセットできることを、ユーザーはどのようにして知るのでしょうか。 次のスクリーンショットの例は、SSPR を使用してユーザーが自分のパスワードをリセットするための追加オプションを示しています。
ユーザーがサインインを試みると、ログイン画面に [パスワードのリセット] または [パスワードを忘れた場合] リンクが表示されます。これらのリンクを選択することで、ログイン画面でセルフサービス パスワード リセット機能が作動します。 ユーザーがパスワードをリセットするには、この機能を使用するだけでよく、別のデバイスを使用して Web ブラウザーにアクセスする必要はありません。
この機能を使用する場合のユーザー向けの詳細については、「職場または学校のパスワードをリセットする」を参照してください
次のステップ
ユーザー登録エクスペリエンスを簡略化するために、SSPR のためのユーザー認証の連絡先情報を事前に設定することができます。