Microsoft Entra ID のセルフサービス パスワード リセットとは
あなたは、小売組織のヘルプ デスクのコストを削減する方法を評価するよう求められました。 あなたは、サポート スタッフがユーザーのためにパスワードをリセットすることに多くの時間を費やしていることに気付きました。 ユーザーは多くの場合、このプロセスの遅延に不満を抱き、こうした遅延はユーザーの生産性に影響します。 あなたは、ユーザーが自分でパスワードを管理できるように Azure を構成する方法を知りたいと考えています。
このユニットでは、Microsoft Entra ID のセルフサービス パスワード リセット (SSPR) のしくみについて説明します。
SSPR を使用する理由
Microsoft Entra ID では、サインイン済みのユーザーであれば、誰でもパスワードを変更できます。 しかし、ユーザーがサインインしていない状態で、パスワードを忘れた、またはパスワードの有効期限が切れた場合は、パスワードをリセットする必要があります。 SSPR を使用すると、ユーザーは、Web ブラウザーで、または Windows のサインイン画面からパスワードをリセットし、Azure、Microsoft 365、および認証に Microsoft Entra ID を使用するその他のアプリケーションに再びアクセスすることができます。
SSPR では、ユーザーはヘルプ デスクを呼び出すことなく、パスワードの問題を自分で解決できるため、管理者の負担が軽くなります。 また、パスワードを忘れたりパスワードが期限切れになった場合の生産性への影響も、最小限に抑えられます。 ユーザーは、管理者がパスワードをリセットできるようになるまで待つ必要はありません。
SSPR のしくみ
ユーザーは、パスワードリセット ポータルに直接移動するか、サインイン ページの [アカウントにアクセスできない] リンクを選択することで、パスワードのリセットを開始します。 リセット ポータルでのステップは次のとおりです。
- ローカライズ: ポータルでブラウザーのロケール設定が確認されて、適切な言語で SSPR ページが表示されます。
- 検証: ユーザーは、ユーザー名を入力し、CAPTCHA に合格することで、自分がユーザーであり、ボットではないことを証明します。
- 認証: ユーザーは、ID の認証に必要なデータを入力します。 コードを入力したり、セキュリティの質問に回答したりする場合もあります。
- パスワードのリセット: ユーザーは、認証テストに合格すると、新しいパスワードを入力して確認することができます。
- 通知: リセットを確認するメッセージがユーザーに送信されます。
SSPR のユーザー エクスペリエンスをカスタマイズするには、いくつかの方法があります。 たとえば、サインイン ページに会社のロゴを追加し、ユーザーがパスワードをリセットするための適切な場所にいることを、ユーザーに知らせることができます。
パスワード リセットの認証を行う
パスワードのリセットを許可する前に、ユーザーの ID を確認することが重要です。 悪意のあるユーザーが、システムの弱点を悪用して、そのユーザーを偽装する可能性があります。 Azure では、リセット要求を認証するために 6 つの異なる方法がサポートされています。
管理者は、SSPR を構成するときに使用する方法を選択します。 ユーザーが簡単に使用できる方法を自分で選択できるよう、これらの方法のうち 2 つ以上を有効にしてください。 以下の方法があります。
認証方法 | 登録方法 | パスワード リセットの認証方法 |
---|---|---|
モバイル アプリの通知 | モバイル デバイスに Microsoft Authenticator アプリをインストールした後、多要素認証のセットアップ ページで登録します。 | Azure からアプリに通知が送信されます。この通知は、確認または拒否することができます。 |
モバイル アプリ コード | この方法でも Authenticator アプリが使用され、同じ方法でインストールして登録します。 | アプリからコードを入力します。 |
電子メール | Azure と Microsoft 365 の外部にあるメール アドレスを指定します。 | Azure によってアドレスにコードが送信されるので、それをリセット ウィザードで入力します。 |
携帯電話 | 携帯電話番号を指定します。 | Azure によって SMS メッセージで携帯電話にコードが送信されるので、それをリセット ウィザードで入力します。 また、自動呼び出しを受け取るように選択することもできます。 |
会社電話 | 携帯以外の電話番号を指定します。 | この番号で自動呼び出しを受け取り、# キーを押します。 |
セキュリティの質問 | "あなたの母親はどの市区町村で生まれましたか" などの質問を選び、その回答を保存します。 | 質問に回答します。 |
試用版の Microsoft Entra 組織では、通話オプションはサポートされていません。
認証方法の最小数を要求する
ユーザーが設定する必要のある方法の最小数 (1 または 2) を指定できます。 たとえば、モバイル アプリ コード、メール、会社電話、およびセキュリティの質問方法を有効にし、少なくとも 2 つの方法を指定します。 これで、ユーザーは、モバイル アプリ コードとメールなど、好みの 2 つの方法を選択できるようになります。
セキュリティの質問の方法については、この方法で登録するためにユーザーが設定する必要がある質問の最小数を指定できます。 また、パスワードをリセットするために適切に回答する必要がある質問の最小数を指定することもできます。
ユーザーは、指定されている最小数の方法に必要な情報を登録すると、SSPR に登録されたものと見なされます。
推奨設定
- 2 つ以上の認証リセット要求方法を有効にします。
- 主要な方法としてモバイル アプリの通知またはコードを使用します。 ただし、モバイル デバイスのないユーザーをサポートするために、メールまたは会社の電話の方法も有効にします。
- 携帯電話による方法は、不正な SMS メッセージを送信できるため、推奨されません。
- セキュリティの質問のオプションは、セキュリティの質問に対する回答を他の人に知られる可能性があるため、最も推奨されない方法です。 セキュリティの質問の方法は、少なくとも 1 つの他の方法と組み合わせた場合のみ使用してください。
管理者ロールに関連付けられているアカウント
- 管理者ロールを持つアカウントには、他のユーザーに対する構成に関係なく、常に、強力な 2 つの方法の認証ポリシーが適用されます。
- 管理者ロールに関連付けられているアカウントに対しては、セキュリティの質問の方法は使用できません。
通知を構成する
管理者は、パスワードの変更をユーザーに通知する方法を選択できます。 有効にできるオプションは次の 2 つです。
- パスワードのリセットについてユーザーに通知しますか?: 自分のパスワードをリセットしたユーザーには、プライマリおよびセカンダリの電子メール アドレスに通知されます。 悪意のあるユーザーによってリセットが行われた場合、この通知はユーザーに対するアラートになり、軽減手順を実行でます。
- 他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?: 管理者が自分のパスワードをリセットすると、他のすべての管理者が通知を受け取ります。
ライセンスの要件
Microsoft Entra ID には、Premium P1 と Premium P2 の 2 つのエディションがあります。 使用できるパスワード リセット機能は、エディションによって異なります。
サインインしているすべてのユーザーは、Microsoft Entra ID のエディションに関係なく、自分のパスワードを変更できます。
サインインしていない状態で、パスワードを忘れた、またはパスワードの有効期限が切れた場合はどうしますか? この場合、Microsoft Entra ID P1 または P2 では SSPR を使用できます。 また、Microsoft 365 Apps for business または Microsoft 365 でも使用できます。
オンプレミスの Active Directory とクラウドの Microsoft Entra ID の両方を使用しているハイブリッド環境では、クラウドでのパスワードの変更を、オンプレミスのディレクトリに書き戻す必要があります。 この書き戻しのサポートは、Microsoft Entra ID の P1 または P2 で使用できます。 Microsoft 365 Apps for business でも使用できます。
SSPR デプロイ オプション
Microsoft Entra Connect またはクラウド同期をユーザーのニーズに合わせて使用し、パスワード ライトバックと共に SSPR をデプロイできます。 各オプションを異なるドメインにサイドバイサイドで展開し、異なるユーザー セットをターゲットにすることができます。 こうすることで、オンプレミスの既存ユーザーでパスワード変更を書き戻しできるだけでなく、会社の合併または分割によって切断されたドメインのユーザーのためのオプションを追加できます。 既存のオンプレミス ドメインのユーザーは、Microsoft Entra Connect を使用できます。一方、合併による新しいユーザーは別のドメインでクラウド同期を使用できます。
クラウド同期によって可用性も高くなります。これは、Microsoft Entra Connect の単一インスタンスに依存しないためです。 2 つのデプロイ オプションの機能の比較については、「Microsoft Entra Connect とクラウド同期の比較」を参照してください。