セルフサービス パスワード リセットについて説明する
セルフサービス パスワード リセット (SSPR) は、ユーザーが管理者またはヘルプ デスクの関与なしで、自分のパスワードを変更またはリセットできるようにする Microsoft Entra ID の機能です。 SSPR には、組織とユーザーにとっていくつかの重要な利点があります。
- IT サポートのコストを削減します。
- SSPR を使用すると、ユーザーは迅速に作業を再開し、生産性を高めることができます。
- 管理者は、新しいセキュリティ要件に合わせて設定を変更し、サインインを中断せずにこれらの変更をユーザーにロールアウトすることができます。
- SSPR には、API から使用できる堅牢な監査ログが含まれており、選択したセキュリティ インシデントおよびイベント監視 (SIEM) システムにデータをインポートできます。
ユーザーのアカウントがロックされている場合やパスワードを忘れた、または変更したい場合に、プロンプトに従ってリセットし、作業に戻ることができます。 この機能により、ユーザーが自分のデバイスやアプリケーションにサインインできなくなった場合のヘルプ デスクの問い合わせが減り、生産性の喪失も軽減されます。
セルフサービス パスワード リセットを使用するユーザーの条件は次のとおりです。
- Microsoft Entra ID ライセンスが割り当てられます。 「まとめとリソース」ユニットの「詳細情報」セクションにある、「Microsoft Entra セルフサービス パスワード リセットのライセンス要件」のリンク先を参照してください。
- 管理者によって SSPR が有効になっている。
- 使用する認証方法で登録されている。 1 つの認証方法を使用できない場合に備えて、2 つ以上の認証方法を用意することが推奨されています。
SSPR で使用できる認証方法は次のとおりです。
- モバイル アプリの通知
- モバイル アプリ コード
- 携帯電話
- 会社電話
- セキュリティの質問
ユーザーが SSPR に登録すると、使用する認証方法を選択するように求められます。 セキュリティの質問を使用することを選択した場合は、表示される一連の質問を選択して、その回答を入力します。 セキュリティの質問は、セルフサービス パスワード リセット (SSPR) プロセス中に二次認証としてユーザー本人であることを確認する目的でのみ利用できます。 サインイン イベント中に、セキュリティの質問が認証方法として使用されることはありません。 管理者アカウントは、SSPR での確認方法としてセキュリティの質問を使用することはできません。
注意
既定では、管理者アカウントは自分でパスワードをリセットするためのものであり、パスワードをリセットするには、電子メール アドレス、認証アプリ、電話番号などの 2 つの認証方法を使用する必要があります。 管理者には、セキュリティの質問を使用する権限がありません。
ユーザーがセルフサービス パスワード リセットを使用して自分のパスワードをリセットしたら、オンプレミスの Active Directory に書き戻すこともできます。 パスワード ライトバックを使用すると、ユーザーは更新された資格情報をオンプレミスのデバイスやアプリケーションで遅延なしで使用できます。
管理者は、アカウント アクティビティについてユーザーに通知するために、SSPR イベントが発生したときに電子メール通知が送信されるように構成できます。 これらの通知は、通常のユーザー アカウントと管理者アカウントの両方を対象とすることができます。 管理者アカウントの場合は、この通知により、SSPR を使用して特権管理者アカウントのパスワードがリセットされたタイミングをより明確に認識できます。 管理者アカウントで SSPR が使用されている場合、すべてのグローバル管理者に通知されます。