チュートリアル:Azure Active Directory のセルフサービス パスワード リセットを使用して、ユーザーが自分のアカウントのロック解除またはパスワードのリセットを実行できるようにする

Azure Active Directory (Azure AD) のセルフサービス パスワード リセット (SSPR) により、ユーザーは、管理者やヘルプ デスクが関与することなく、自分のパスワードを変更またはリセットできるようになります。 Azure AD によって自分のアカウントがロックされた場合やパスワードを忘れた場合でも、ユーザーは画面の指示に従って自分自身のブロックを解除して、作業に戻ることができます。 この機能により、ユーザーが自分のデバイスやアプリケーションにサインインできなくなった場合のヘルプ デスクの問い合わせが減り、生産性の喪失も軽減されます。 「Azure AD の SSPR を有効にして構成する方法」の動画をぜひご覧ください。 また IT 管理者向けに、SSPR に関して最も多く発生する 6 つのエンドユーザー エラー メッセージを解決する方法についてのビデオも用意しています。

重要

このチュートリアルでは、管理者向けにセルフサービス パスワード リセットを有効にする方法を示します。 既にセルフサービス パスワード リセットの登録が済んでいて、ご自分のアカウントに戻る必要があるエンド ユーザーは、Microsoft Online パスワード リセット ページにアクセスしてください。

ユーザーが自分でパスワードをリセットする機能が IT チームによって有効にされていない場合は、ヘルプデスクに連絡して追加のサポートを依頼してください。

このチュートリアルで学習する内容は次のとおりです。

  • Azure AD ユーザーのグループに対してセルフサービス パスワード リセットを有効にする
  • 認証方法と登録オプションを設定する
  • ユーザーとして SSPR プロセスをテストする

前提条件

このチュートリアルを完了するには、以下のリソースと特権が必要です。

  • 少なくとも Azure AD Free または試用版ライセンスが有効になっている、動作している Azure AD テナント。 Free レベルでは、SSPR は Azure AD のクラウド ユーザーに対してのみ機能します。 Free レベルでは、パスワードの変更がサポートされていますが、パスワードのリセットはサポートされていません。
    • このシリーズの後の方のチュートリアルでは、オンプレミスのパスワード ライトバック用の Azure AD Premium P1 または試用版ライセンスが必要です。
    • 必要に応じて、Azure アカウントを無料で作成します。
  • "グローバル管理者" 特権を持つアカウント。
  • パスワードがわかっている管理者以外のユーザー (testuser など)。 このチュートリアルでは、このアカウントを使用してエンドユーザーの SSPR エクスペリエンスをテストします。
  • 管理者以外のユーザーが所属するグループ (SSPR-Test-Group など)。 このチュートリアルでは、このグループに対して SSPR を有効にします。

セルフサービス パスワード リセットを有効にする

Azure AD では、SSPR を有効にするユーザーを [なし][選択済み] 、または [すべて] から選択できます。 この詳細な機能により、SSPR の登録プロセスとワークフローのテスト対象となるユーザーのサブセットを選択できます。 このプロセスに慣れ、より広範なユーザーに要求を伝えることができるようになったら、ユーザー グループを選択して、SSPR を有効にすることができます。 または、Azure AD テナント内のすべてのユーザーに対して SSPR を有効にすることもできます。

注意

現時点では、1 つの Azure AD グループに対してのみ、Azure portal を使用して SSPR を有効にすることができます。 SSPR のより広範なデプロイの一環として、Azure AD では、入れ子になったグループがサポートされます。

このチュートリアルでは、テスト グループ内の一連のユーザーに対して SSPR を設定します。 SSPR-Test-Group を使用しますが、必要に応じて独自の Azure AD グループを指定してください。

  1. "グローバル管理者" のアクセス許可を持つアカウントを使用して、Azure portal にサインインします。

  2. Azure Active Directory を検索して選択し、左側のメニューから [パスワード リセット] を選択します。

  3. [プロパティ] ページの [パスワード リセットのセルフサービスが有効] オプションの下で、 [グループの選択] を選択します

  4. 自分の Azure AD グループ (SSPR-Test-Group など) を参照して選択し、 [選択] を選択します。

    Azure portal で、セルフサービス パスワード リセットを有効にするグループを選択する

  5. 選択したユーザーに対して SSPR を有効にするには、 [保存] を選択します。

認証方法と登録オプションを選択する

ユーザーが自分のアカウントのロックを解除したり、パスワードをリセットしたりする必要がある場合は、別の確認方法を求められます。 この追加の認証要素によって、承認された SSPR イベントのみが Azure AD により処理されるようになります。 ユーザーが指定する登録情報に基づいて、どの認証方法を許可するかを選択できます。

  1. [認証方法] ページの左側のメニューから、 [リセットのために必要な方法の数]1 に設定します。

    セキュリティを強化するために、SSPR に必要な認証方法の数を増やすことができます。

  2. 組織が許可する [ユーザーが使用できる方法] を選択します。 このチュートリアルでは、次の方法を有効にするためのチェック ボックスをオンにします。

    • [モバイル アプリの通知]
    • モバイル アプリ コード
    • Email
    • 携帯電話

    業務要件に合うよう必要に応じて、他の認証方法 ("会社電話" や "セキュリティの質問" など) を有効にすることができます。

  3. 認証方法を適用するには、 [保存] を選択します。

ユーザーが自分のアカウントのロックを解除したり、パスワードをリセットしたりするには、自分の連絡先情報を登録しておく必要があります。 Azure AD では、この連絡先情報が、前の手順で設定したさまざまな認証方法に使用されます。

この連絡先情報は、管理者が手動で入力することも、ユーザーが登録ポータルに移動して自分で入力することもできます。 このチュートリアルでは、ユーザーが次回サインインしたときに登録を求められるように Azure AD を設定します。

  1. [登録] ページの左側にあるメニューから、 [サインイン時にユーザーに登録を求めますか][はい] を選択します。

  2. [Number of days before users are asked to reconfirm their authentication information](ユーザーが認証情報を再確認するように求められるまでの日数)180 に設定します。

    連絡先情報が最新の状態に保たれていることが重要です。 SSPR イベントの開始時に古い連絡先情報が存在すると、ユーザーは自分のアカウントのロックを解除したり、パスワードをリセットしたりできない可能性があります。

  3. 登録設定を適用するには、 [保存] を選択します。

通知とカスタマイズを設定する

アカウントのアクティビティについて常にユーザーに通知されるように、SSPR イベントが発生したときに電子メール通知を送信するように Azure AD を設定できます。 これらの通知は、通常のユーザー アカウントと管理者アカウントの両方を対象とすることができます。 管理者アカウントの場合は、この通知により、SSPR を使用して特権管理者アカウントのパスワードがリセットされたタイミングをより明確に認識できます。 管理者アカウントで SSPR が使用されている場合、Azure AD によってすべてのグローバル管理者に通知されます。

  1. [通知] ページの左側のメニューから、次のオプションを設定します。

    • [Notify users on password resets](パスワードのリセットについてユーザーに通知する) オプションを [はい] に設定します。
    • [Notify all admins when other admins reset their password](他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知する)[はい] に設定します。
  2. 通知設定を適用するには、 [保存] を選択します。

ユーザーが SSPR プロセスについてさらにサポートを必要とする場合は、"管理者に連絡" リンクをカスタマイズできます。 このリンクは、ユーザーが SSPR 登録プロセスで選択できるほか、自分のアカウントのロックを解除したりパスワードをリセットしたりするときに選択できます。 ユーザーが必要なサポートを受けられるようにするには、カスタム ヘルプデスクのメール アドレスまたは URL を指定することを強くお勧めします。

  1. [カスタマイズ] ページの左側のメニューから、 [ヘルプデスク リンクのカスタマイズ][はい] に設定します。
  2. [カスタム ヘルプデスクの電子メールまたは URL] フィールドに、ユーザーが組織からさらにサポートを得ることのできるメール アドレスまたは Web ページ URL (https://support.contoso.com/ など) を指定します。
  3. カスタム リンクを適用するには、 [保存] を選択します。

セルフサービス パスワード リセット をテストする

SSPR を有効にして設定したら、前のセクションで選択したグループ (Test-SSPR-Group など) に属しているユーザーを使用して SSPR プロセスをテストします。 次の例では、testuser アカウントを使用します。 独自のユーザー アカウントを指定してください。このチュートリアルの最初のセクションで SSPR を有効にしたグループに属しているものです。 このチュートリアルの最初のセクションで SSPR を有効にしたグループに属しているものです。

注意

セルフサービス パスワード リセットをテストする場合は、管理者以外のアカウントを使用します。 既定では、Azure AD によってセルフサービス パスワード リセットが管理者に対して有効になっています。 自分のパスワードをリセットするには 2 つの認証方法を使用する必要があります。 詳細については、「管理者リセット ポリシーの相違点」を参照してください。

  1. 手動の登録プロセスを確認するには、InPrivate またはシークレット モードで新しいブラウザー ウィンドウを開き、https://aka.ms/ssprsetup を参照します。 ユーザーは次回サインインしたときにこの登録ポータルに誘導されます。

  2. 管理者以外のテスト ユーザー (testuser など) としてサインインし、認証方法の連絡先情報を登録します。

  3. 完了したら、 [問題ありません] ボタンを選択し、ブラウザー ウィンドウを閉じます。

  4. InPrivate またはシークレット モードで新しいブラウザー ウィンドウを開き、https://aka.ms/sspr に移動します。

  5. 管理者以外のテスト ユーザーのアカウント情報 (testuser など) と CAPTCHA の文字を入力し、 [次へ] を選択します。

    パスワードをリセットするためにユーザー アカウント情報を入力する

  6. 検証の手順に従って、パスワードをリセットします。 完了すると、パスワードがリセットされたことを通知する電子メールが届きます。

リソースをクリーンアップする

このシリーズの次のチュートリアルでは、パスワード ライトバックを設定します。 この機能により、パスワードの変更が Azure AD SSPR からオンプレミス AD 環境に書き戻されます。 このチュートリアル シリーズを続行してパスワード ライトバックを設定する場合は、ここでは SSPR を無効にしないでください。

このチュートリアルの一環として設定した SSPR 機能を使用する必要がなくなった場合は、次の手順を使用して SSPR の状態を [なし] に設定します。

  1. Azure portal にサインインします。
  2. Azure Active Directory を検索して選択し、左側のメニューから [パスワード リセット] を選択します。
  3. [プロパティ] ページの [パスワード リセットのセルフサービスが有効] オプションの下で、 [なし] を選択します。
  4. SSPR の変更を適用するには、 [保存] を選択します。

FAQ

このセクションでは、SSPR を試す管理者とエンドユーザーからの一般的な質問について説明します。

  • フェデレーション ユーザーが、オンプレミスから同期されたパスワードを使用できるようになる前に、"パスワードがリセットされました" と表示されてから最大 2 分待つのはなぜですか。

    パスワードが同期されているフェデレーション ユーザーの場合、パスワードの権限のソースはオンプレミスです。 その結果、SSPR は、オンプレミスのパスワードのみを更新します。 Azure AD へのパスワード ハッシュの同期は、2 分ごとにスケジュールされています。

  • 電話やメールなどの SSPR データが事前に設定されている新しく作成されたユーザーが SSPR 登録ページにアクセスしたとき、"アカウントへのアクセス権を失わないでください! " が ページのタイトルとして表示されます。 SSPR データが事前に設定されている他のユーザーにこのメッセージが表示されないのはなぜですか。

    "アカウントへのアクセス権を失わないでください! " が表示されるユーザー は、テナントに構成されている SSPR または結合された登録グループのメンバーです。 "アカウントへのアクセス権を失わないでください! " が表示されないユーザー は、SSPR または結合された登録グループの一部ではありませんでした。

  • SSPR プロセスを実行してパスワードをリセットするときに、ユーザーによってパスワード強度インジケーターが表示されない場合があるのはなぜですか。

    脆弱または堅牢パスワード強度が表示されないユーザーでは、同期パスワード ライトバックが有効になっています。 SSPR では、顧客のオンプレミス環境のパスワード ポリシーを判断できないため、パスワードの強度または脆弱性を検証できません。

次のステップ

このチュートリアルでは、選択したユーザー グループに対して Azure AD のセルフサービス パスワード リセットを有効にしました。 以下の方法を学習しました。

  • Azure AD ユーザーのグループに対してセルフサービス パスワード リセットを有効にする
  • 認証方法と登録オプションを設定する
  • ユーザーとして SSPR プロセスをテストする