次の方法で共有

セルフサービス パスワード リセットの展開オプション

  • [アーティクル]

重要

2022 年 9 月、マイクロソフトは Azure Multi-Factor Authentication Server の廃止を発表しました。 2024 年 9 月 30 日より、Azure Multi-Factor Authentication Server デプロイは多要素認証 (MFA) 要求を処理しなくなりました。 Azure Multi-Factor Authentication Server のお客様は、MIM SSPR でカスタム MFA プロバイダーを使用するか、MIM SSPR ではなく Microsoft Entra SSPR に移行する必要があります。

Microsoft Entra ID P1 または P2 ライセンスを取得している新規のお客様にはMicrosoft Entra のセルフサービス パスワード リセット を使用して エンドユーザー エクスペリエンスを提供することをお勧めします。 Microsoft Entra のセルフサービス パスワード リセットは、ユーザーが自分のパスワードをリセットするための Web ベースのエクスペリエンスと Windows 統合エクスペリエンスの両方を提供し、代替メールや Q&A ゲートなど、MIM と同じ機能の多くをサポートします。 Microsoft Entra セルフサービス パスワード リセットを展開する場合は、新しいパスワードを AD DS に 書き戻すように Microsoft Entra Connect を構成できます MIM Password Change Notification Service を使用して、別のベンダーのディレクトリ サーバーなどの他のシステムにパスワードを転送できます。 password 管理用に MIM をデプロイするは、MIM サービスまたは MIM セルフサービス パスワード リセットまたは登録ポータルをデプロイする必要はありません。 代わりに、次の手順を実行できます。

  • まず、Microsoft Entra ID と AD DS 以外のディレクトリにパスワードを送信する必要がある場合は、コネクタを使用して MIM Sync を Active Directory ドメイン Services および追加のターゲット システムに展開し、miM を password 管理用に構成しPassword 変更通知サービスを展開します
  • 次に、Microsoft Entra ID 以外のディレクトリにパスワードを送信する必要がある場合は、新しいパスワードを AD DS に に戻すために Microsoft Entra Connect を構成
  • 必要に応じて、ユーザーの事前登録
  • 最後に、microsoft Entra のセルフサービス パスワード リセットをエンド ユーザーに 登録します

Microsoft Entra ID P1 または P2 のライセンスを取得している Forefront Identity Manager (FIM) または MIM のお客様の場合は、Microsoft Entra セルフサービス パスワード リセットへの移行を計画することをお勧めします。 エンド ユーザーを再登録する必要なく、エンド ユーザーを Microsoft Entra セルフサービス パスワード リセットに移行するには、ユーザーの代替メール アドレスまたは携帯電話番号を PowerShell で 同期または設定します。 ユーザーが Microsoft Entra のセルフサービス パスワード リセットに登録されると、FIM パスワード リセット ポータルを使用停止にできます。

Microsoft Entra MFA を使用していた MIM 2016 デプロイは、カスタム MFA プロバイダーで MIM SSPR を使用するか、Microsoft Entra のセルフサービス パスワード リセット に移行する必要があります。 新しいデプロイでは、カスタム MFA プロバイダーまたは Microsoft Entra セルフサービス パスワード リセットを使用する必要があります。

多要素認証用のカスタム プロバイダーを使用した MIM セルフサービス パスワード リセット ポータルの展開

次のセクションでは、多要素認証にプロバイダーを使用して MIM セルフサービス パスワード リセット ポータルを展開する方法について説明します。 これらの手順は、Microsoft Entra セルフサービス パスワード リセットをユーザーに使用していないお客様にのみ必要です。

MFA を使用すると、ユーザーは外部プロバイダーを介して認証を行い、アカウントとリソースへのアクセスを回復しようとするときに ID を確認します。 認証には、SMS または電話を使用できます。 認証が強いほど、アクセスしようとしているユーザーが実際に ID を所有している実際のユーザーであるという信頼度が高くなります。 認証されると、ユーザーは古いパスワードを新しいパスワードに変更できます。

MFA を使用してセルフサービス アカウントのロック解除とパスワードリセットを設定するための前提条件

このセクションでは、次のコンポーネントとサービスを含む、Microsoft Identity Manager 2016 MIM Sync、MIM サービス、MIM ポータル コンポーネントの展開をダウンロードして完了していることを前提としています。

  • 指定されたドメイン ("企業" ドメイン) を持つActive Directory ドメイン コントローラー

  • アカウント ロックアウトのグループ ポリシーが定義されています。

  • MIM 2016 同期サービス (Sync) がインストールされ、AD ドメインにドメイン参加しているサーバーで実行されている

  • SSPR 登録ポータルと SSPR リセット ポータルを含む MIM 2016 サービスおよびポータルがサーバーにインストールされ、実行されています (同期と併置される可能性があります)

  • MIM 同期は、次のような AD-MIM ID 同期用に構成されます。

    • AD DS への接続用に Active Directory 管理エージェント (ADMA) を構成し、ID データをインポートして Active Directory にエクスポートするためのプロファイルを実行します。

    • FIM サービス データベースへの接続用に MIM 管理エージェント (MIM MA) を構成し、プロファイルを実行して ID データをインポートして FIM データベースにエクスポートします。

    • ユーザー データの同期を許可し、MIM サービスの同期ベースのアクティビティを容易にするように、MIM ポータルの同期ルールを構成します。

  • SSPR Windows ログイン統合クライアントを含む MIM 2016 アドインと拡張機能は、サーバーまたは別のクライアント コンピューターに展開されます。

MFA を使用するための MIM の準備

パスワード リセットおよびアカウント ロック解除機能をサポートするように MIM Sync を構成します。 詳細については、「 FIM アドインと拡張機能のインストールFIM SSPR のインストール、SSPR 認証ゲート、および SSPR テスト ラボ ガイドを参照してください。

電話ゲートまたはワンタイム パスワード SMS ゲートの構成

  1. Internet Explorer を起動し、MIM ポータルに移動して MIM 管理者として認証し、左側のナビゲーション バーで Workflows をクリックします。

    MIM ポータルのナビゲーション イメージ

  2. Password Reset AuthN Workflow を確認します。

    MIM ポータル ワークフローの画像

  3. [アクティビティ]タブをクリックし下にスクロールして[アクティビティの追加します。

  4. Phone Gateまたはワンタイム パスワード SMS ゲートを選択選択]をクリックしOK をします

    Note

    ワンタイム パスワード自体を生成する別のプロバイダーを使用する場合は、構成されている長さフィールドが MFA プロバイダーによって生成されたものと同じ長さであることを確認します。

組織のユーザーが、パスワードのリセットに登録できるようになります。 このプロセスの間に、ユーザーは、システムがユーザーに電話する (または SMS メッセージを送信する) 方法がわかるように、会社の電話番号または携帯電話番号を入力します。

パスワード リセットにユーザーを登録する

  1. ユーザーが Web ブラウザーを起動し、MIM パスワード リセット登録ポータルに移動します。 (通常、このポータルには Windows 認証が構成されています)。 ポータル内で、ユーザーは再びユーザー名とパスワードを入力して身元の確認を行います。

    ユーザーは、パスワード登録ポータルに入り、ユーザー名とパスワードを使用して認証する必要があります。

  2. [ 電話番号 または 携帯電話 ] フィールドに国番号、スペース、電話番号を入力し、[次へ ] をクリック

    MIM 電話検証イメージ

    MIM 携帯電話の検証イメージ

ユーザーに対する動作方法

すべての構成が済んで動作したので、次に、ユーザーがパスワードを忘れたときのリセット方法を説明します。

ユーザーは、Windows サインイン画面から、またはセルフサービス ポータルから、パスワード リセットとアカウントのロック解除機能を使用する 2 つの方法があります。

組織のネットワーク経由で MIM サービスに接続されていて、ドメインに参加しているコンピューターに MIM アドインと拡張機能をインストールすることにより、ユーザーはデスクトップ ログイン操作でパスワードを忘れても回復できます。 次の手順では、このプロセスについて説明します。

Windows デスクトップ ログインに統合されたパスワード リセット

  1. ユーザーが間違ったパスワードを何度か入力した場合、サインイン画面で [ Problems logging? ] をクリックするオプションが表示されます。

    サインイン画面の画像

    このリンクをクリックすると、MIM パスワードリセット画面が表示され、パスワードを変更したり、アカウントのロックを解除したりできます。

    MIM パスワード リセットイメージ

  2. ユーザーは認証に送られます。 MFA が構成されている場合、ユーザーは電話で呼び出されます。

  3. バックグラウンドでは、MFA プロバイダーは、そのユーザーがサービスにサインアップしたときにユーザーが指定した番号に電話をかけるということです。

  4. ユーザーが電話に応答すると、電話でシャープ キー # を押すなどの操作を求められる場合があります。 次に、ユーザーはポータルで Next をクリックします。

    他のゲートも設定されている場合、ユーザーは後続の画面で詳細情報を提供するように求められます。

    Note

    ユーザーがせっかちで、シャープ キー #を押す前に Next をクリックすると、認証は失敗します。

  5. 認証が成功した後、ユーザーには 2 つのオプションがあり、アカウントのロックを解除して現在のパスワードのままにするか、新しいパスワードを設定します。

  6. ユーザーは新しいパスワードを 2 回入力する必要があります。2 回入力すると、パスワードがリセットされます。

セルフサービス ポータルからのアクセス

  1. ユーザーは Web ブラウザーを開き、 Password リセット ポータルに移動し ユーザー名を入力して[次へ] クリック

    MFA が構成されている場合、ユーザーは電話で呼び出されます。 バックグラウンドで起きているのは、Microsoft Entra 多要素認証によって、ユーザーがサービスにサインアップしたときに指定した番号に電話をかけるということです。

    ユーザーが電話に出ると、電話の # キーを押すように求められます。 次に、ユーザーはポータルで Next をクリックします。

  2. 他のゲートも設定されている場合、ユーザーは後続の画面で詳細情報を提供するように求められます。

    Note

    ユーザーがせっかちで、シャープ キー #を押す前に Next をクリックすると、認証は失敗します。

  3. ユーザーは、自分のパスワードをリセットするか、アカウントのロックを解除するかを選択する必要があります。 アカウントのロックを解除すると、アカウントのロックが解除されます。

    MIM ログイン アシスタント アカウントのロック解除イメージ

  4. 認証が成功すると、ユーザーには、現在のパスワードを保持するか、新しいパスワードを設定する 2 つのオプションが与えられます。

  5. MIM アカウントのロック解除された成功イメージ

  6. ユーザーがパスワードのリセットを選択した場合は、新しいパスワードを 2 回入力し、[次へ ] をクリックして パスワードを変更する必要があります。