セルフサービスによるパスワードのリセットのデプロイ オプションSelf-Service Password Reset deployment options

Azure Active Directory Premium のライセンスがある新規のお客様は、エンドユーザーへのエクスペリエンスの提供に、Azure AD のセルフサービスによるパスワードのリセットを使用することをお勧めします。For new customers who are licensed for Azure Active Directory Premium, we recommend using Azure AD self-service password reset to provide the end-user experience. Azure AD のセルフサービスによるパスワードのリセットでは、Web ベースのものと Windows に統合されたエクスペリエンスの両方で、ユーザーは自分のパスワードをリセットすることができます。また、これでは連絡用メール アドレスと Q&A ゲートを含む MIM と同様な機能が多数サポートされています。Azure AD self-service password reset provides both a web-based and Windows-integrated experience for a user to reset their own password, and supports many of the same capabilities as MIM, including alternate email and Q&A gates. Azure AD のセルフサービスによるパスワードのリセットをデプロイするとき、Azure AD Connect では AD DS への新しいパスワードの書き戻しをサポートしています。そして MIM パスワード変更通知サービスを使用して、別のベンダーのディレクトリ サーバーなど、他のシステムにパスワードを送信することもできます。When deploying Azure AD self-service password reset, Azure AD Connect supports writing back the new passwords to AD DS, and MIM Password Change Notification Service can be used to forward the passwords to other systems, such as another vendor's directory server, as well. パスワード管理に MIM をデプロイする場合は、MIM サービス、MIM セルフサービスによるパスワードのリセットまたは登録ポータルがデプロイされている必要はありません。Deploying MIM for password management does not require the MIM Service or the MIM self-service password reset or registration portals to be deployed. 代わりに、次の手順に従います。Instead, you can follow these steps:

セルフサービスによるパスワードのリセット用に既に Forefront Identity Manager (FIM) をデプロイしている、Azure Active Directory Premium のライセンスがある既存のお客様は、Azure AD のセルフサービスによるパスワードのリセットへの移行を計画することをお勧めします。For existing customers who had previously deployed Forefront Identity Manager (FIM) for self-service password reset and are licensed for Azure Active Directory Premium, we recommend planning to transition to Azure AD self-service password reset. ユーザーの連絡用メール アドレスまたは携帯電話番号を PowerShell を使用して同期するか設定すると、エンドユーザーに再登録を求めずに、エンドユーザーを Azure AD セルフサービスによるパスワードのリセットに移行できます。You can transition end users to Azure AD self-service password reset without needing them to re-register, by synchronizing or setting through PowerShell a user's alternate email address or mobile phone number. ユーザーが Azure AD のセルフサービスによるパスワードのリセットに登録されると、FIM パスワード リセット ポータルを使用停止にできます。After users are registered for Azure AD self-service password reset, the FIM password reset portal can be decommissioned.

自分のユーザーに対してまだ Azure AD のセルフサービスによるパスワードのリセットをデプロイしていないお客様は、MIM にもセルフサービスによるパスワードのリセット ポータルが用意されています。For customers, which have not yet deployed Azure AD self-service password reset for their users, MIM also provides self-service password reset portals. FIM と比較し、MIM 2016 には次の変更が含まれています。Compared to FIM, MIM 2016 includes the following changes:

  • MIM のセルフサービスによるパスワードのリセット ポータルおよび Windows ログイン画面では、ユーザーがパスワードを変更しなくても、自分のアカウントのロックを解除できます。The MIM Self-Service Password Reset portal and Windows login screen let users unlock their accounts without changing their passwords.
  • MIM に、新しい認証ゲートとして電話ゲートが追加されました。A new authentication gate, Phone Gate, was added to MIM. これにより、Microsoft Azure Multi-factor Authentication (MFA) サービスを使用した電話によるユーザー認証が有効になります。This enables user authentication via telephone call via the Microsoft Azure Multi-Factor Authentication (MFA) service.

MIM 2016 リリース ビルド バージョン 4.5.26.0 までは、お客様が Azure Multi-Factor Authentication ソフトウェア開発キット (Azure MFA SDK) をダウンロードする必要がありました。MIM 2016 release builds up to version 4.5.26.0 relied upon the customer to download the Azure Multi-Factor Authentication Software Development Kit (Azure MFA SDK). この Azure MFA SDK は非推奨となり、既存のお客様向けに 2018 年 11 月 14 日の提供終了日までサポートされます。That SDK has been deprecated, and the Azure MFA SDK will be supported for existing customers only up until the retirement date of November 14, 2018. お客様は Azure MFA SDK をダウンロードできないので、その日までは Azure カスタマー サポートに問い合わせて、生成した MFA Service Credentials パッケージを受け取る必要があります。Until that date, customers must contact Azure customer support to receive your generated MFA Service Credentials package, as they will be unable to download the Azure MFA SDK.

新機能!NEW! 現在の Azure MFA の構成を Azure Multi-Factor Authentication Server に更新するUpdate current Azure MFA configuration to Azure Multi-Factor Authentication Server

この記事では、多要素認証において Azure Multi-Factor Authentication Server を使用して、デプロイ MIM のセルフサービスによるパスワードのリセット ポータルと PAM 構成を更新する方法を説明します。This article describes how to update your deployment MIM self-service password reset portal and PAM configuration, using Azure Multi-Factor Authentication Server for multi-factor authentication.

Multi-Factor Authentication 用に Azure MFA を使用して MIM のセルフサービスによるパスワードのリセット ポータルをデプロイするDeploying MIM Self-Service Password Reset Portal using Azure MFA for Multi-Factor Authentication

次のセクションでは、多要素認証において Azure MFA を使用して MIM のセルフサービスによるパスワードのリセット ポータルをデプロイする方法を説明します。The following section describes how to deploy MIM self-service password reset portal, using Azure MFA for multi-factor authentication. これらの手順は、ユーザーが Azure AD のセルフサービスによるパスワードのリセットを使用していないお客様のみで必要です。These steps are only necessary for customers who are not using Azure AD self-service password reset for their users.

Microsoft Azure Multi-Factor Authentication は、ユーザーがモバイル アプリ、電話、またはテキスト メッセージを使用してサインイン試行を確認する必要がある認証サービスです。Microsoft Azure Multi-Factor Authentication is an authentication service that requires users to verify their sign-in attempts with a mobile app, phone call, or text message. Microsoft Azure Active Directory での利用が可能で、クラウドとオンプレミスのエンタープライズ アプリケーション用のサービスとして使用できます。It is available to use with Microsoft Azure Active Directory, and as a service for cloud and on-prem enterprise applications.

Azure MFA の追加認証メカニズムは、セルフサービス ログイン アシスタント用に MIM で実行されるものなどの既存の認証プロセスを強化できます。Azure MFA provides an additional authentication mechanism that can reinforce existing authentication processes, such as the one carried out by MIM for self-service login assistance.

Azure MFA を使用する場合、ユーザーは、アカウントやリソースへのアクセスを回復しようとして自身の ID を確認するためにシステムで認証します。When using Azure MFA, users authenticate with the system in order to verify their identity while trying to regain access to their account and resources. 認証には、SMS または電話を使用できます。Authentication can be via SMS or via telephone call. 認証の強度が高いほど、アクセスしようとしているユーザーが実際に ID を所有しているユーザーである信頼度が高くなります。The stronger the authentication, the higher the confidence that the person trying to gain access is indeed the real user who owns the identity. 認証されると、ユーザーは古いパスワードを新しいパスワードに変更できます。Once authenticated, the user can choose a new password to replace the old one.

MFA を使用してセルフサービス アカウント ロック解除およびパスワード リセットを設定する前提条件Prerequisites to set up self-service account unlock and password reset using MFA

このセクションでは、以下のコンポーネントとサービスを含む、Microsoft Identity Manager 2016 の MIM Sync、MIM サービスおよび MIM ポータル コンポーネント をユーザーがダウンロードして展開してあるものとします。This section assumes that you have downloaded and completed the deployment of the Microsoft Identity Manager 2016 MIM Sync, MIM Service and MIM Portal components, including the following components and services:

  • Windows Server 2008 R2 以降を指定されたドメイン (「企業」ドメイン) の AD ドメイン サービスおよびドメイン コント ローラーを含む Active Directory サーバーとして設定してあります。A Windows Server 2008 R2 or later has been set up as an Active Directory server including AD Domain Services and Domain Controller with a designated domain (a “corporate” domain)

  • アカウント ロックアウトのグループ ポリシーが定義されています。A Group Policy is defined for Account lockout

  • MIM 2016 同期サービス (Sync) が、AD ドメインに参加しているサーバーにインストールされて実行しています。MIM 2016 Synchronization Service (Sync) is installed and running on a server that is domain-joined to the AD domain

  • SSPR 登録ポータルおよび SSPR リセット ポータルを含む MIM 2016 サービスおよびポータルがサーバーにインストールされて実行しています (Sync と共存可能)MIM 2016 Service & Portal including the SSPR Registration Portal and the SSPR Reset Portal, are installed and running on a server (could be co-located with Sync)

  • MIM Sync が次のように AD-MIM ID 同期用に構成されています。MIM Sync is configured for AD-MIM identity synchronization, including:

    • Active Directory 管理エージェント (ADMA) で、AD DS への接続、および Active Directory との間で ID データをインポートおよびエクスポートする機能を構成します。Configuring the Active Directory Management Agent (ADMA) for connectivity to AD DS and capability to import identity data from and export it to Active Directory.

    • MIM 管理エージェント (MIM MA) で、FIM サービス DB への接続、および FIM データベースとの間で ID データをインポートおよびエクスポートする機能を構成します。Configuring the MIM Management Agent (MIM MA) for connectivity to FIM Service DB and capability to import identity data from and export it to the FIM database.

    • ユーザー データの同期を許可し、MIM サービスの同期ベースのアクティビティを容易にするように、MIM ポータルの同期ルールを構成します。Configuring Synchronization Rules in the MIM Portal to allow user data synchronization and facilitate sync-based activities in the MIM Service.

  • SSPR Windows ログイン統合クライアントを含む MIM 2016 アドインおよび拡張機能は、サーバーまたは別のクライアント コンピューターに展開されています。MIM 2016 Add-ins & Extensions including the SSPR Windows Login integrated client is deployed on the server or on a separate client computer.

このシナリオでは、ユーザー向けに MIM CAL と Azure MFA のサブスクリプションが用意されている必要があります。This scenario requires you to have MIM CALs for your users as well as subscription for Azure MFA.

多要素認証を使用するように MIM を準備するPrepare MIM to work with multi-factor authentication

パスワード リセットおよびアカウント ロック解除機能をサポートするように MIM Sync を構成します。Configure MIM Sync to Support Password Reset and Account Unlock Functionality. 詳細については、「FIM のアドインと拡張機能のインストール」、「FIM SSPR のインストール」、「SSPR 認証ゲート」、「SSPR テスト ラボ ガイド」を参照してください。For more information, see Installing the FIM Add-ins and Extensions, Installing FIM SSPR, SSPR Authentication Gates and the SSPR Test Lab Guide

次のセクションでは、Microsoft Azure Active Directory に Azure MFA プロバイダーを設定します。In the next section, you will set up your Azure MFA provider in Microsoft Azure Active Directory. この作業の一環として、Azure MFA に接続できるようになるために MFA で必要となる認証情報を含むファイルが生成されます。As part of this, you’ll generate a file that includes the authentication material which MFA requires to be able to contact Azure MFA. 続行するには、Azure サブスクリプションが必要です。In order to proceed, you will need an Azure subscription.

Azure で多要素認証プロバイダーを登録するRegister your multi-factor authentication provider in Azure

  1. MFA プロバイダーを作成します。Create an MFA provider.

  2. サポート ケースを開き、ASP.net 2.0 C# 用の直接 SDK を要求します。Open a support case and request the direct SDK for ASP.net 2.0 C#. 直接 SDK は非推奨になったため、SDK は MFA を使用する MIM の現在のユーザーに対してのみ提供されます。The SDK will only be provided to current users of MIM with MFA because the direct SDK has been deprecated. 新しいお客様は、MFA サーバーと統合する次のバージョンの MIM を採用する必要があります。New customers should adopt the next version of MIM that will integrate with MFA server.

  3. MIM サービスがインストールされている各システムに、ダウンロードした ZIP ファイルをコピーします。Copy the resulting ZIP file to each system where MIM Service is installed. ZIP ファイルには Azure MFA サービスへの認証に使用されるキー生成情報が含まれていることに注意してください。Please be aware that the ZIP file contains keying material which is used to authenticate to the Azure MFA service.

構成ファイルを更新するUpdate the configuration file

  1. MIM サービスがインストールされているコンピューターに、MIM をインストールしたユーザーとしてサインインします。Sign into the computer where MIM Service is installed, as the user who installed MIM.

  2. MIM サービスをインストールしたディレクトリの下に、新しいディレクトリ フォルダーを作成します (C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts など)。Create a new directory folder located below the directory where the MIM Service was installed, such as C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts.

  3. Windows エクスプローラーを使用して、前のセクションでダウンロードした ZIP ファイルの \pf\certs フォルダーに移動し、cert_key.p12 ファイルを新しいディレクトリにコピーします。Using Windows Explorer, navigate into the \pf\certs folder of the ZIP file downloaded in the previous section, and copy the file cert_key.p12 to the new directory.

  4. SDK zip ファイルの \pf フォルダーにある pf_auth.cs ファイルを開きます。In the SDK zip file, in the folder \pf, open the file pf_auth.cs.

  5. 3 つのパラメーター LICENSE_KEY, GROUP_KEY, CERT_PASSWORDを探します。Find these three parameters: LICENSE_KEY, GROUP_KEY, CERT_PASSWORD.

    pf_auth.cs コードの画像

  6. C:\Program Files\Microsoft Forefront Identity Manager\2010\Service で、ファイル MfaSettings.xml を開きます。In C:\Program Files\Microsoft Forefront Identity Manager\2010\Service, open the file: MfaSettings.xml.

  7. pf_aut.cs ファイルの LICENSE_KEY, GROUP_KEY, CERT_PASSWORD パラメーターの値を、MfaSettings.xml ファイルの対応する xml 要素にコピーします。Copy the values from the LICENSE_KEY, GROUP_KEY, CERT_PASSWORD parameters in the pf_aut.cs file into their respective xml elements in the MfaSettings.xml file.

  8. SDK zip ファイルの \pf\certs にある cert_key.p12 ファイルを抽出し、それへのフル パスを MfaSettings.xml ファイルの <CertFilePath> xml 要素に入力します。In the SDK zip file, under \pf\certs, extract the file cert_key.p12 and enter the full path to it in the MfaSettings.xml file into the <CertFilePath> xml element.

  9. <username> 要素にユーザー名を入力します。In the <username> element enter any username.

  10. <DefaultCountryCode> 要素に既定の国コードを入力します。In the <DefaultCountryCode> element enter your default country code. 電話番号が国コードなしでユーザーに登録されている場合は、ユーザーの国コードです。In case phone-numbers are registered for users without a country code, this is the country code they will get. ユーザーに国際国コードがある場合は、登録電話番号に含める必要があります。In case a user has an international country code, it has to be included in the registered phone number.

  11. MfaSettings.xml ファイルを同じ名前で同じ場所に保存します。Save the MfaSettings.xml file with the same name in the same location.

電話ゲートまたはワンタイム パスワード SMS ゲートの構成Configure the Phone gate or the One-Time Password SMS Gate

  1. Internet Explorer を起動して MIM ポータルに移動し、MIM 管理者として認証を行った後、左側のナビゲーション バーにある [ワークフロー] をクリックします。Launch Internet Explorer and navigate to the MIM Portal, authenticating as the MIM administrator, then click on Workflows in the left hand navigation bar.

    MIM ポータル ナビゲーションの画像

  2. [パスワード リセット AuthN ワークフロー] をオンにします。Check Password Reset AuthN Workflow.

    MIM ポータル ワークフローの画像

  3. [アクティビティ] タブをクリックし、 [アクティビティの追加] まで下にスクロールします。Click on the Activities tab and then scroll down to Add Activity.

  4. [電話ゲート] または [ワンタイム パスワードの SMS ゲート] を選択し、 [選択] をクリックして、 [OK] をクリックします。Select Phone Gate or One-Time Password SMS Gate click Select and then OK.

注: Azure MFA Server を使用する場合、またはワンタイム パスワード自体を生成する別のプロバイダーを使用する場合は、上記で構成した長さフィールドが MFA プロバイダーによって生成された長さと確実に同じであるようにします。Note: if using Azure MFA Server, or another provider which generates the one-time password itself, ensure the length field configured above is the same length as that generated by the MFA provider. Azure MFA Server では、この長さは 6 である必要があります。This length must be 6 for Azure MFA Server. また、Azure MFA Server は独自のメッセージ テキストを生成するので、SMS テキスト メッセージは無視されます。Azure MFA Server also generates its own message text so the SMS text message is ignored.

組織のユーザーが、パスワードのリセットに登録できるようになります。Users in your organization can now register for password reset. このプロセスの間に、ユーザーは、システムがユーザーに電話する (または SMS メッセージを送信する) 方法がわかるように、会社の電話番号または携帯電話番号を入力します。During this process, they will enter their work phone number or mobile phone number so the system knows how to call them (or send them SMS messages).

パスワード リセットにユーザーを登録するRegister users for password reset

  1. ユーザーは Web ブラウザーを起動して MIM パスワード リセット登録ポータルに移動しますA user will launch a web browser a navigate to the MIM Password Reset Registration Portal. (通常、このポータルには Windows 認証が構成されています)。(Typically this portal will be configured with Windows authentication). ポータル内で、ユーザーは再びユーザー名とパスワードを入力して身元の確認を行います。Within the portal, they will provide their username and password again to confirm their identity.

    ユーザーは、パスワード登録ポータルに入り、ユーザー名とパスワードを使用して認証する必要があります。They need to enter the Password Registration Portal and authenticate using their username and password.

  2. ユーザーは、 [電話番号] または [携帯電話] フィールドに、国コード、スペース、および電話番号を入力し、 [次へ] をクリックします。In the Phone Number or Mobile Phone field, they have to enter a country code, a space, and the phone number and click Next.

    MIM 電話検証の画像

    MIM 携帯電話検証の画像

ユーザーに対する動作方法How does it work for your users?

すべての構成が済んで動作したので、次に、ユーザーがパスワードを忘れたときのリセット方法を説明します。Now that everything is configured and it’s running, you might want to know what your users are going to have to go through when they reset their passwords right before a vacation and come back only to realize that they completely forgot their passwords.

ユーザーがパスワード リセットおよびアカウント ロック解除機能を使用する方法は、Windows サインイン画面またはセルフサービス ポータルの 2 種類です。There are two ways a user can use the password reset and account unlock functionality, either from the Windows sign-in screen, or from the self-service portal.

組織のネットワーク経由で MIM サービスに接続されていて、ドメインに参加しているコンピューターに MIM アドインと拡張機能をインストールすることにより、ユーザーはデスクトップ ログイン操作でパスワードを忘れても回復できます。By installing the MIM Add-ins and Extensions on a domain joined computer connected over your organizational network to the MIM Service, users can recover from a forgotten password at the desktop login experience. 手順は以下のとおりです。The following steps will walk you through the process.

Windows デスクトップ ログインに統合されたパスワード リセットWindows desktop login integrated password reset

  1. ユーザーがサインイン画面で間違ったパスワードを複数回入力した場合、 [ログインできませんか?] をクリックできます。If your user enters the wrong password several times, in the sign-in screen, they will have the option to click Problems logging in? .

    サインイン画面のイメージ

    このリンクをクリックすると MIM パスワード リセット画面に移動し、そこでパスワードを変更するか、自分のアカウントのロックを解除できます。Clicking this link will take them to the MIM Password Reset screen where they can change their password or unlock their account.

    MIM パスワード リセットの画像

  2. ユーザーは認証に送られます。The user will be directed to authenticate. MFA が構成されている場合、ユーザーは電話で呼び出されます。If MFA was configured, the user will receive a phone call.

  3. バックグラウンドでは、Azure MFA がユーザーがサービスにサインアップするときに示した番号に電話をかけます。In the background, what’s happening is that Azure MFA then places a phone call to the number the user gave when he signed up for the service.

  4. ユーザーが電話に出ると、電話の # キーを押すように求められます。When a user answers the phone, they will be asked to press the pound key # on the phone. ユーザーは次にポータルの [次へ] をクリックします。Then the user clicks Next in the portal.

    他のゲートも設定されている場合、ユーザーは後続の画面で詳細情報を提供するように求められます。If you set up other gates as well, the user will be asked to provide more information in subsequent screens.

    注意

    ユーザーが待ちきれずに # キーを押す前に [次へ] をクリックすると、認証は失敗します。If the user is impatient and clicks Next before pressing the pound key #, authentication fails.

  5. 認証が成功した後、ユーザーには 2 つのオプションがあり、アカウントのロックを解除して現在のパスワードのままにするか、新しいパスワードを設定します。After successful authentication, the user will be given two options, either unlock the account and keep the current password or to set a new password.

  6. ユーザーは新しいパスワードを 2 回入力する必要があります。2 回入力すると、パスワードがリセットされます。Then the user has to enter a new password twice, and the password is reset.

セルフサービス ポータルからのアクセスAccess from the self-service portal

  1. ユーザーは Web ブラウザーを開いて パスワード リセット ポータル に移動し、ユーザー名を入力して、 [次へ] をクリックします。Users can open a web browser, navigate to the Password Reset Portal and enter their username and click Next.

    MFA が構成されている場合、ユーザーは電話で呼び出されます。If MFA was configured, the user will receive a phone call. バックグラウンドでは、Azure MFA がユーザーがサービスにサインアップするときに示した番号に電話をかけます。In the background, what’s happening is that Azure MFA then places a phone call to the number the user gave when he signed up for the service.

    ユーザーが電話に出ると、電話の # キーを押すように求められます。When a user answers the phone, he will be asked to press the pound key # on the phone. ユーザーは次にポータルの [次へ] をクリックします。Then the user clicks Next in the portal.

  2. 他のゲートも設定されている場合、ユーザーは後続の画面で詳細情報を提供するように求められます。If you set up other gates as well, the user will be asked to provide more information in subsequent screens.

    注意

    ユーザーが待ちきれずに # キーを押す前に [次へ] をクリックすると、認証は失敗します。If the user is impatient and clicks Next before pressing the pound key #, authentication fails.

  3. ユーザーは、パスワードのリセットまたはアカウントのロック解除を選択する必要があります。The user will have to choose if he wants to reset his password or unlock his account. ユーザーがアカウントのロック解除を選択した場合、アカウントのロックが解除されます。If he chooses to unlock his account, the account will be unlocked.

    MIM ログイン アシスタント アカウント ロック解除の画像

  4. 認証が成功した後、ユーザーには 2 つのオプションがあり、現在のパスワードのままにするか、新しいパスワードを設定します。After successful authentication, the user will be given two options, either to keep his current password or to set a new password.

  5. ![MIM アカウント![MIM ac

  6. のロック解除が成功した画像](media/MIM-SSPR-account-unlock.JPG)count unlocked success image](media/MIM-SSPR-account-unlock.JPG)

  7. ユーザーがパスワードのリセットを選択した場合、新しいパスワードを 2 回入力して [次へ] をクリックするとパスワードが変更されます。If the user chooses to reset their password, they will have to type in a new password twice and click Next to change the password.