チュートリアル: Microsoft Entra のセルフサービス パスワード リセットを使ってユーザーが自分のアカウントのロック解除またはパスワードのリセットを実行できるようにする

  • [アーティクル]

Microsoft Entra セルフサービス パスワード リセット (SSPR) を使用すると、管理者やヘルプ デスクが関与することなく、ユーザーが自分でパスワードを変更したり、リセットしたりできます。 Microsoft Entra ID によって自分のアカウントがロックされた場合やパスワードを忘れた場合でも、ユーザーは画面の指示に従って自分自身のブロックを解除して、作業に戻ることができます。 この機能により、ユーザーが自分のデバイスやアプリケーションにサインインできなくなった場合のヘルプ デスクの問い合わせが減り、生産性の喪失も軽減されます。 「Microsoft Entra ID の SSPR を有効にして構成する方法」の動画をぜひご覧ください。 また IT 管理者向けに、SSPR に関して最も多く発生する 6 つのエンドユーザー エラー メッセージを解決する方法についてのビデオも用意しています。

重要

このチュートリアルでは、管理者向けにセルフサービス パスワード リセットを有効にする方法を示します。 既にセルフサービス パスワード リセットの登録が済んでいて、ご自分のアカウントに戻る必要があるエンド ユーザーは、Microsoft Online パスワード リセット ページにアクセスしてください。

ユーザーが自分でパスワードをリセットする機能が IT チームによって有効にされていない場合は、ヘルプデスクに連絡して追加のサポートを依頼してください。

このチュートリアルで学習する内容は次のとおりです。

  • Microsoft Entra ユーザーのグループに対してセルフサービス パスワード リセットを有効にする
  • 認証方法と登録オプションを設定する
  • ユーザーとして SSPR プロセスをテストする

重要

2023 年 3 月に、レガシ多要素認証とセルフサービス パスワード リセット (SSPR) ポリシーでの認証方法の管理の廃止を発表しました。 2024 年 9 月 30 日より、これらのレガシ MFA と SSPR ポリシーでは認証方法を管理できません。 顧客には、手動移行制御を使用して、非推奨となる日までに認証方法ポリシーに移行することをお勧めします。

ビデオ チュートリアル

関連ビデオで理解を深めることもできます: Microsoft Entra ID で SSPR を有効化および構成する方法

前提条件

このチュートリアルを完了するには、以下のリソースと特権が必要です。

  • Microsoft Entra ID Free 以上か試用版のライセンスが有効になっている稼働中の Microsoft Entra テナント。 Free レベルでは、SSPR は Microsoft Entra ID のクラウド ユーザーに対してのみ機能します。 Free レベルでは、パスワードの変更がサポートされていますが、パスワードのリセットはサポートされていません。
    • このシリーズの後の方のチュートリアルでは、オンプレミスのパスワード ライトバック用の Microsoft Entra ID P1 または試用版ライセンスが必要です。
    • 必要に応じて、Azure アカウントを無料で作成します。
  • グローバル管理者または認証ポリシー管理者特権を持つアカウント。
  • パスワードがわかっている管理者以外のユーザー (testuser など)。 このチュートリアルでは、このアカウントを使用してエンドユーザーの SSPR エクスペリエンスをテストします。
  • 管理者以外のユーザーが所属するグループ (SSPR-Test-Group など)。 このチュートリアルでは、このグループに対して SSPR を有効にします。

セルフサービス パスワード リセットを有効にする

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

Microsoft Entra ID では、SSPR を有効にするユーザーを [なし][選択済み]、または [すべて] から選択できます。 この詳細な機能により、SSPR の登録プロセスとワークフローのテスト対象となるユーザーのサブセットを選択できます。 このプロセスに慣れ、より広範なユーザーに要求を伝えることができるようになったら、ユーザー グループを選択して、SSPR を有効にすることができます。 または、Microsoft Entra テナント内のすべてのユーザーに対して SSPR を有効にすることもできます。

Note

現時点では、Microsoft Entra管理センターを使用して SSPR のMicrosoft Entra グループを 1 つだけ有効にできます。 SSPR のより広範なデプロイの一環として、Microsoft Entra ID では、入れ子になったグループがサポートされます。

このチュートリアルでは、テスト グループ内の一連のユーザーに対して SSPR を設定します。 SSPR-Test-Group を使用しますが、必要に応じて独自の Microsoft Entra グループを指定してください。

  1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。

  2. 左側のメニューから [保護][パスワードのリセット] の順に進みます。

  3. [プロパティ] ページの [セルフ サービスによるパスワードのリセットが有効] オプションの下で、[選択済み] を選択します。

  4. グループが表示されない場合は、[グループが選択されていません] を選択し、SSPR-Test-Group などの Microsoft Entra グループを参照して選択してから、[選択] を選択します。

    Select a group to enable for self-service password reset

  5. 選択したユーザーに対して SSPR を有効にするには、 [保存] を選択します。

認証方法と登録オプションを選択する

ユーザーが自分のアカウントのロックを解除したり、パスワードをリセットしたりする必要がある場合は、別の確認方法を求められます。 この追加の認証要素によって、承認された SSPR イベントのみが Microsoft Entra ID により処理されるようになります。 ユーザーが指定する登録情報に基づいて、どの認証方法を許可するかを選択できます。

  1. [認証方法] ページの左側のメニューから、[リセットのために必要な方法の数]2 に設定します。

    セキュリティを強化するために、SSPR に必要な認証方法の数を増やすことができます。

  2. 組織が許可する [ユーザーが使用できる方法] を選択します。 このチュートリアルでは、次の方法を有効にするためのチェック ボックスをオンにします。

    • [モバイル アプリの通知]
    • モバイル アプリ コード
    • Email
    • 携帯電話

    業務要件に合うよう必要に応じて、他の認証方法 ("会社電話" や "セキュリティの質問" など) を有効にすることができます。

  3. 認証方法を適用するには、 [保存] を選択します。

ユーザーが自分のアカウントのロックを解除したり、パスワードをリセットしたりするには、自分の連絡先情報を登録しておく必要があります。 Microsoft Entra ID では、この連絡先情報が、前の手順で設定したさまざまな認証方法に使用されます。

この連絡先情報は、管理者が手動で入力することも、ユーザーが登録ポータルに移動して自分で入力することもできます。 このチュートリアルでは、ユーザーが次回サインインしたときに登録を求められるように Microsoft Entra ID を設定します。

  1. [登録] ページの左側にあるメニューから、 [サインイン時にユーザーに登録を求めますか][はい] を選択します。

  2. [Number of days before users are asked to reconfirm their authentication information](ユーザーが認証情報を再確認するように求められるまでの日数)180 に設定します。

    連絡先情報が最新の状態に保たれていることが重要です。 SSPR イベントの開始時に古い連絡先情報が存在すると、ユーザーは自分のアカウントのロックを解除したり、パスワードをリセットしたりできない可能性があります。

  3. 登録設定を適用するには、 [保存] を選択します。

Note

サインイン中に連絡先情報の登録を要求する割り込みは、設定で構成された条件が満たされた場合にのみ発生し、Microsoft Entra のセルフサービス パスワード リセットでのパスワードのリセットが有効になっているユーザーと管理者アカウントにのみ適用されます。

通知とカスタマイズを設定する

アカウントのアクティビティについて常にユーザーに通知されるように、SSPR イベントが発生したときに電子メール通知を送信するように Microsoft Entra ID を設定できます。 これらの通知は、通常のユーザー アカウントと管理者アカウントの両方を対象とすることができます。 管理者アカウントの場合は、この通知により、SSPR を使用して特権管理者アカウントのパスワードがリセットされたタイミングをより明確に認識できます。 管理者アカウントで SSPR が使用されている場合、Microsoft Entra ID によってすべてのグローバル管理者に通知されます。

  1. [通知] ページの左側のメニューから、次のオプションを設定します。

    • [Notify users on password resets?](パスワードのリセットについてユーザーに通知しますか) オプションを [はい] に設定します。
    • [Notify all admins when other admins reset their password?](他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?)[はい] に設定します。

  2. 通知設定を適用するには、 [保存] を選択します。

ユーザーが SSPR プロセスについてさらにサポートを必要とする場合は、"管理者に連絡" リンクをカスタマイズできます。 このリンクは、ユーザーが SSPR 登録プロセスで選択できるほか、自分のアカウントのロックを解除したりパスワードをリセットしたりするときに選択できます。 ユーザーが必要なサポートを受けられるようにするには、カスタム ヘルプデスクのメール アドレスまたは URL を指定することをお勧めします。

  1. [カスタマイズ] ページの左側のメニューから、 [ヘルプデスク リンクのカスタマイズ][はい] に設定します。
  2. [カスタム ヘルプデスクのメールまたは URL] フィールドに、ユーザーが組織からさらにサポートを得ることのできるメール アドレスまたは Web ページ URL (https://support.contoso.com/ など) を指定します
  3. カスタム リンクを適用するには、 [保存] を選択します。

セルフサービス パスワード リセット をテストする

SSPR を有効にして設定したら、前のセクションで選択したグループ (Test-SSPR-Group など) に属しているユーザーを使用して SSPR プロセスをテストします。 次の例では、testuser アカウントを使用します。 独自のユーザー アカウントを指定してください。このチュートリアルの最初のセクションで SSPR を有効にしたグループに属しているものです。 このチュートリアルの最初のセクションで SSPR を有効にしたグループに属しているものです。

注意

セルフサービス パスワード リセットをテストする場合は、管理者以外のアカウントを使用します。 既定では、Microsoft Entra ID でセルフサービス パスワード リセットが管理者に対して有効になっています。 自分のパスワードをリセットするには 2 つの認証方法を使用する必要があります。 詳細については、「管理者リセット ポリシーの相違点」を参照してください。

  1. 手動の登録プロセスを確認するには、InPrivate またはシークレット モードで新しいブラウザー ウィンドウを開き、https://aka.ms/ssprsetup を参照します。 ユーザーは次回サインインしたときに、Microsoft Entra ID によってこの登録ポータルに誘導されます。

  2. 管理者以外のテスト ユーザー (testuser など) としてサインインし、認証方法の連絡先情報を登録します。

  3. 完了したら、 [問題ありません] ボタンを選択し、ブラウザー ウィンドウを閉じます。

  4. InPrivate または incognito モードで新しいブラウザー ウィンドウを開き、https://aka.ms/sspr を参照します。

  5. 管理者以外のテスト ユーザーのアカウント情報 (testuser など) と CAPTCHA の文字を入力し、 [次へ] を選択します。

    Enter user account information to reset the password

  6. 検証の手順に従って、パスワードをリセットします。 完了すると、パスワードがリセットされたことを通知する電子メールが届きます。

リソースをクリーンアップする

このシリーズの次のチュートリアルでは、パスワード ライトバックを設定します。 この機能により、パスワードの変更が Microsoft Entra SSPR からオンプレミス AD 環境に書き戻されます。 このチュートリアル シリーズを続行してパスワード ライトバックを設定する場合は、ここでは SSPR を無効にしないでください。

このチュートリアルの一環として設定した SSPR 機能を使用する必要がなくなった場合は、次の手順を使用して SSPR の状態を [なし] に設定します。

  1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
  2. [保護][パスワードのリセット] の順に進みます。
  3. [プロパティ] ページの [パスワード リセットのセルフサービスが有効] オプションの下で、 [なし] を選択します。
  4. SSPR の変更を適用するには、 [保存] を選択します。

FAQ

このセクションでは、SSPR を試す管理者とエンドユーザーからの一般的な質問について説明します。

  • SSPR 中にオンプレミスのパスワード ポリシーが表示されないのはなぜですか。

    現時点で、Microsoft Entra Connect とクラウド同期では、クラウドとのパスワード ポリシーの詳細の共有はサポートされていません。 SSPR はクラウド パスワード ポリシーの詳細のみを表示し、オンプレミス ポリシーは表示できません。

  • フェデレーション ユーザーが、オンプレミスから同期されたパスワードを使用できるようになる前に、"パスワードがリセットされました" と表示されてから最大 2 分待つのはなぜですか。

    パスワードが同期されているフェデレーション ユーザーの場合、パスワードの権限のソースはオンプレミスです。 その結果、SSPR は、オンプレミスのパスワードのみを更新します。 Microsoft Entra ID へのパスワード ハッシュの同期は、2 分ごとにスケジュールされています。

  • 電話やメールなどの SSPR データが事前に設定されている新しく作成されたユーザーが SSPR 登録ページにアクセスしたとき、"アカウントへのアクセス権を失わないでください" がページのタイトルとして表示されます。 SSPR データが事前に設定されている他のユーザーにこのメッセージが表示されないのはなぜですか。

    "アカウントへのアクセス権を失わないでください" が表示されるユーザーは、テナントに構成されている SSPR または結合された登録グループのメンバーです。 "アカウントへのアクセス権を失わないでください" が表示されないユーザーは、SSPR または結合された登録グループのメンバーではありませんでした。

  • SSPR プロセスを実行してパスワードをリセットするときに、ユーザーによってパスワード強度インジケーターが表示されない場合があるのはなぜですか。

    脆弱または堅牢パスワード強度が表示されないユーザーでは、同期パスワード ライトバックが有効になっています。 SSPR では、顧客のオンプレミス環境のパスワード ポリシーを判断できないため、パスワードの強度または脆弱性を検証できません。

次のステップ

このチュートリアルでは、選択したユーザー グループに対して Microsoft Entra のセルフサービス パスワード リセットを有効にしました。 以下の方法を学習しました。

  • Microsoft Entra ユーザーのグループに対してセルフサービス パスワード リセットを有効にする
  • 認証方法と登録オプションを設定する
  • ユーザーとして SSPR プロセスをテストする

Microsoft Entra 多要素認証を有効にする