セルフサービス パスワード リセット のデプロイ オプション

Azure Active Directory Premium のライセンスがある新規のお客様は、エンドユーザーへのエクスペリエンスの提供に、Azure AD のセルフサービス パスワード リセット を使用することをお勧めします。 Azure AD セルフサービス パスワード リセットでは、ユーザーが自分のパスワードをリセットするために Web ベースと Windows 統合の両方のエクスペリエンスが提供され、代替メールや Q A ゲートなど、MIM と同じ機能の多くがサポートされています。 & Azure AD のセルフサービス パスワード リセット をデプロイするとき、Azure AD Connect では AD DS への新しいパスワードの書き戻しをサポートしています。そして MIM パスワード変更通知サービスを使用して、別のベンダーのディレクトリ サーバーなど、他のシステムにパスワードを送信することもできます。 パスワード管理に MIM をデプロイする場合は、MIM サービス、MIM セルフサービス パスワード リセット または登録ポータルがデプロイされている必要はありません。 代わりに、次の手順に従います。

セルフサービス パスワード リセット用に Forefront Identity Manager (FIM) を以前にデプロイし、Azure Active Directory Premium のライセンスを取得している既存のお客様の場合は、Azure AD セルフサービス パスワード リセットへの移行を計画することをお勧めします。 ユーザーの連絡用メール アドレスまたは携帯電話番号を PowerShell を使用して同期するか設定すると、エンドユーザーに再登録を求めずに、エンドユーザーを Azure AD セルフサービス パスワード リセット に移行できます。 ユーザーが Azure AD のセルフサービス パスワード リセット に登録されると、FIM パスワード リセット ポータルを使用停止にできます。

自分のユーザーに対してまだ Azure AD のセルフサービス パスワード リセット をデプロイしていないお客様は、MIM にもセルフサービス パスワード リセット ポータルが用意されています。 FIM と比較し、MIM 2016 には次の変更が含まれています。

  • [MIM Self-Service パスワード リセット] ポータルと [Windows ログイン] 画面を使用すると、ユーザーは自分のパスワードを変更せずにアカウントのロックを解除できます。
  • MIM に、新しい認証ゲートとして電話ゲートが追加されました。 これにより、Microsoft Azure Multi-factor Authentication (MFA) サービスを使用した電話によるユーザー認証が有効になります。

MIM 2016 リリース ビルド バージョン 4.5.26.0 までは、お客様が Azure Multi-Factor Authentication ソフトウェア開発キット (Azure MFA SDK) をダウンロードする必要がありました。 この SDK は非推奨とされており、お客様は Azure MFA Server で MIM SSPR を使用するか、セルフサービス パスワード リセットAzure ADに移行する必要があります。 この記事では、多要素認証において Azure Multi-Factor Authentication Server を使用して、デプロイ MIM のセルフサービス パスワード リセット ポータルと PAM 構成を更新する方法を説明します。

Multi-Factor Authentication 用に Azure MFA を使用して MIM のセルフサービス パスワード リセット ポータルをデプロイする

次のセクションでは、多要素認証において Azure MFA を使用して MIM のセルフサービス パスワード リセット ポータルをデプロイする方法を説明します。 これらの手順は、ユーザーが Azure AD のセルフサービス パスワード リセット を使用していないお客様のみで必要です。

Microsoft Azure Multi-Factor Authentication は、ユーザーがモバイル アプリ、電話、またはテキスト メッセージを使用してサインイン試行を確認する必要がある認証サービスです。 Microsoft Azure Active Directory での利用が可能で、クラウドとオンプレミスのエンタープライズ アプリケーション用のサービスとして使用できます。

Azure MFA の追加認証メカニズムは、セルフサービス ログイン アシスタント用に MIM で実行されるものなどの既存の認証プロセスを強化できます。

Azure MFA を使用する場合、ユーザーは、アカウントやリソースへのアクセスを回復しようとして自身の ID を確認するためにシステムで認証します。 認証には、SMS または電話を使用できます。 認証の強度が高いほど、アクセスしようとしているユーザーが実際に ID を所有しているユーザーである信頼度が高くなります。 認証されると、ユーザーは古いパスワードを新しいパスワードに変更できます。

MFA を使用してセルフサービス アカウント ロック解除およびパスワード リセットを設定する前提条件

このセクションでは、以下のコンポーネントとサービスを含む、Microsoft Identity Manager 2016 の MIM Sync、MIM サービスおよび MIM ポータル コンポーネント をユーザーがダウンロードして展開してあるものとします。

  • Windows Server 2008 R2 以降を指定されたドメイン (「企業」ドメイン) の AD ドメイン サービスおよびドメイン コント ローラーを含む Active Directory サーバーとして設定してあります。

  • アカウント ロックアウトのグループ ポリシーが定義されています。

  • MIM 2016 同期サービス (Sync) が、AD ドメインに参加しているサーバーにインストールされて実行しています。

  • SSPR 登録ポータルおよび SSPR リセット ポータルを含む MIM 2016 サービスおよびポータルがサーバーにインストールされて実行しています (Sync と共存可能)

  • MIM Sync が次のように AD-MIM ID 同期用に構成されています。

    • Active Directory 管理エージェント (ADMA) で、AD DS への接続、および Active Directory との間で ID データをインポートおよびエクスポートする機能を構成します。

    • MIM 管理エージェント (MIM MA) で、FIM サービス DB への接続、および FIM データベースとの間で ID データをインポートおよびエクスポートする機能を構成します。

    • ユーザー データの同期を許可し、MIM サービスの同期ベースのアクティビティを容易にするように、MIM ポータルの同期ルールを構成します。

  • SSPR Windows ログイン統合クライアントを含む MIM 2016 アドインおよび拡張機能は、サーバーまたは別のクライアント コンピューターに展開されています。

このシナリオでは、ユーザー向けに MIM CAL と Azure MFA のサブスクリプションが用意されている必要があります。

多要素認証を使用するように MIM を準備する

パスワード リセットおよびアカウント ロック解除機能をサポートするように MIM Sync を構成します。 詳細については、「FIM のアドインと拡張機能のインストール」、「FIM SSPR のインストール」、「SSPR 認証ゲート」、「SSPR テスト ラボ ガイド」を参照してください。

構成ファイルを更新する

Note

このセクションは、Azure MFA SDK によって提供される ZIP ファイルを使用した以前のガイダンスに基づいていました。 代わりに、 を使用して Azure を使用する方法に関する記事のガイダンスをMulti-Factor Authentication Server。

  1. MIM サービスがインストールされているコンピューターに、MIM をインストールしたユーザーとしてサインインします。

  2. MIM サービスをインストールしたディレクトリの下に、新しいディレクトリ フォルダーを作成します (C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts など)。

  3. Windows エクスプローラーを使用して、前のセクションでダウンロードした ZIP ファイルの\pf\certsフォルダーに移動し、ファイルcert_key.p12を新しいディレクトリにコピーします。

  4. SDK zip ファイルの \pf フォルダーにある pf_auth.cs ファイルを開きます。

  5. 3 つのパラメーター LICENSE_KEY, GROUP_KEY, CERT_PASSWORD を探します。

    pf_auth.cs コードの画像

  6. C:\Program Files\Microsoft Forefront Identity Manager\2010\Serviceで、ファイル MfaSettings.xml を開きます。

  7. pf_aut.cs ファイルの LICENSE_KEY, GROUP_KEY, CERT_PASSWORD パラメーターの値を、MfaSettings.xml ファイルの対応する xml 要素にコピーします。

  8. SDK zip ファイルの \pf\certs にある cert_key.p12 ファイルを抽出し、それへのフル パスを MfaSettings.xml ファイルの xml 要素に入力します。

  9. <username> 要素にユーザー名を入力します。

  10. <DefaultCountryCode> 要素に既定の国コードを入力します。 電話番号が国コードなしでユーザーに登録されている場合は、ユーザーの国コードです。 ユーザーに国際国コードがある場合は、登録電話番号に含める必要があります。

  11. MfaSettings.xml ファイルを同じ名前で同じ場所に保存します。

電話ゲートまたはワンタイム パスワード SMS ゲートの構成

  1. Internet Explorerを起動し、MIM ポータルに移動し、MIM 管理者として認証してから、左側のナビゲーション バーの [ワークフロー ] をクリックします。

    MIM ポータル ナビゲーションの画像

  2. [パスワード リセット AuthN ワークフロー] をオンにします。

    MIM ポータル ワークフローの画像

  3. [アクティビティ] タブをクリックし、[アクティビティの追加] まで下にスクロールします。

  4. [電話またはワンタイムパスワード SMSゲート] を選択し、[選択] をクリックしてから[OK] をクリックします

注: Azure MFA Server を使用する場合、またはワンタイム パスワード自体を生成する別のプロバイダーを使用する場合は、上記で構成した長さフィールドが MFA プロバイダーによって生成された長さと確実に同じであるようにします。 Azure MFA Server では、この長さは 6 である必要があります。 また、Azure MFA Server は独自のメッセージ テキストを生成するので、SMS テキスト メッセージは無視されます。

組織のユーザーが、パスワードのリセットに登録できるようになります。 このプロセスの間に、ユーザーは、システムがユーザーに電話する (または SMS メッセージを送信する) 方法がわかるように、会社の電話番号または携帯電話番号を入力します。

パスワード リセットにユーザーを登録する

  1. ユーザーは Web ブラウザーを起動して MIM パスワード リセット登録ポータルに移動します。 (通常、このポータルには Windows 認証が構成されています)。 ポータル内で、ユーザーは再びユーザー名とパスワードを入力して身元の確認を行います。

    ユーザーは、パスワード登録ポータルに入り、ユーザー名とパスワードを使用して認証する必要があります。

  2. [電話番号電話モバイル] フィールド電話、国番号、スペース、電話番号を入力し、[次へ] をクリックする必要があります

    MIM 電話検証の画像

    MIM 携帯電話検証の画像

ユーザーに対する動作方法

すべての構成が済んで動作したので、次に、ユーザーがパスワードを忘れたときのリセット方法を説明します。

ユーザーがパスワード リセットおよびアカウント ロック解除機能を使用する方法は、Windows サインイン画面またはセルフサービス ポータルの 2 種類です。

組織のネットワーク経由で MIM サービスに接続されていて、ドメインに参加しているコンピューターに MIM アドインと拡張機能をインストールすることにより、ユーザーはデスクトップ ログイン操作でパスワードを忘れても回復できます。 手順は以下のとおりです。

Windows デスクトップ ログインに統合されたパスワード リセット

  1. ユーザーが間違ったパスワードを何度か入力した場合は、サインイン画面で [ログインに関する問題] をクリックできます。

    サインイン画面のイメージ

    このリンクをクリックすると MIM パスワード リセット画面に移動し、そこでパスワードを変更するか、自分のアカウントのロックを解除できます。

    MIM パスワード リセットの画像

  2. ユーザーは認証に送られます。 MFA が構成されている場合、ユーザーは電話で呼び出されます。

  3. バックグラウンドでは、Azure MFA がユーザーがサービスにサインアップするときに示した番号に電話をかけます。

  4. ユーザーが電話に出ると、電話の # キーを押すように求められます。 ユーザーは次にポータルの [次へ] をクリックします。

    他のゲートも設定されている場合、ユーザーは後続の画面で詳細情報を提供するように求められます。

    Note

    ユーザーが待ちきれずに # キーを押す前に [次へ] をクリックすると、認証は失敗します。

  5. 認証が成功した後、ユーザーには 2 つのオプションがあり、アカウントのロックを解除して現在のパスワードのままにするか、新しいパスワードを設定します。

  6. ユーザーは新しいパスワードを 2 回入力する必要があります。2 回入力すると、パスワードがリセットされます。

セルフサービス ポータルからのアクセス

  1. ユーザーは Web ブラウザーを開いてパスワード リセット ポータルに移動し、ユーザー名を入力して、[次へ] をクリックします。

    MFA が構成されている場合、ユーザーは電話で呼び出されます。 バックグラウンドでは、Azure MFA がユーザーがサービスにサインアップするときに示した番号に電話をかけます。

    ユーザーが電話に出ると、電話の # キーを押すように求められます。 ユーザーは次にポータルの [次へ] をクリックします。

  2. 他のゲートも設定されている場合、ユーザーは後続の画面で詳細情報を提供するように求められます。

    Note

    ユーザーが待ちきれずに # キーを押す前に [次へ] をクリックすると、認証は失敗します。

  3. ユーザーは、パスワードのリセットまたはアカウントのロック解除を選択する必要があります。 ユーザーがアカウントのロック解除を選択した場合、アカウントのロックが解除されます。

    MIM ログイン アシスタント アカウント ロック解除の画像

  4. 認証が成功した後、ユーザーには 2 つのオプションがあり、現在のパスワードのままにするか、新しいパスワードを設定します。

  5. MIM アカウント ロック解除成功の画像

  6. ユーザーがパスワードのリセットを選択した場合、新しいパスワードを 2 回入力して [次へ] をクリックするとパスワードが変更されます。