AzureADセルフパスワードリセットSSPRの設定をしてみたよ!
はじめに
Azure ADとは?
Azure ADとは、ユーザ認証やアプリケーションアクセス認可をするアイデンティティ&アクセス管理(IAMやIdM, IdAMなどと呼ばれています)の製品です。
SSPRとは?
セルフパスワードリセット(SSPR)とは、従業員(ユーザー)の方がパスワードを忘れてしまった場合、ユーザー自身でパスワードを設定し直すことが可能な機能です。
SSPRのメリット
ユーザー自身でパスワードをリセットすることが出来るため、パスワードを忘れたり、間違えたりしてアカウントロックされる度に、逐一情報システム部門さん(以降、「情シス」と呼称)へ問合せをせずとも、ユーザー自身でパスワードをリセットすることができます。
ユーザ自身でパスワードをリセットすることができるため、情シスの運用負荷の軽減につながり、かつ従業員にとっても面倒な問合せをしなくともよいというWin-Winなメリットがあります。
前提として
- 以下のいずれかのプラサブスクリプションのライセンスを保有していること。
Microsoft 365(Business Premium, E3, E5, F1, F3), Microsoft 365 Apps(for business, for enterprise), Azure AD Premium(P1, P2) - "グローバル管理者"特権を持つアカウントで設定できること。
【設定方法】
セルフパスワードリセットを有効にする
セルフパスワードリセットの機能を有効にする設定ができます[1]。
- 「Azure portal」にサインインした後、「Azure Active Directory」を選択し、左ペインの「パスワードリセット」を選択します。
- 左ペインの「プロパティ」を選択します。「プロパティ」のページより、「パスワードリセットのセルフサービスが有効」のオプションの下で、「すべて」を選択します。
・選択済み:限られたグループのユーザーのみがパスワードリセットを行うように制限されます。
・すべて:すべてのユーザーがパスワードのリセットを行えます。 - 設定を適用するために「保存」をクリックします。
本人確認の認証方法の設定
ユーザーがパスワードをリセットする時の認証方法の指定と、認可方法の数の指定を設定することができます[1:1]。
- 左ペインの「認証方法」をクリックし、ユーザーがパスワードをリセットする時の認証方法の数や、どの認証方法によりパスワードリセットを可能にさせるかを選択します。
・セルフパスワードリセットの認証方法の数:1回または2回
・セルフパスワードリセット時の認証方法:モバイルアプリの通知、モバイルアプリコード、電子メール、携帯電話(SMS)、会社電話、秘密の質問 - 設定を適用するために「保存」を選択します。
登録オプション
ユーザーがサインインする時に、本人確認情報を登録するように求めることができます[1:2]。
- 左ペインの「登録」をクリックし、「サインイン時にユーザーに登録を求めますか?」で「はい」を選択します。
・はい:未登録のユーザーがサインインする時に、認証用電話・認証用電子メールなどの本人確認の登録を求めるメッセージを表示します。 - 「ユーザーが認証情報を再確認するように求められるまでの日数」を180に設定します。
- 設定を適用するために「保存」を選択します。
通知を設定する
セルフパスワードリセットがされた時に、ユーザーや管理者に通知がいくように設定することができます[1:3]。
- 左ペインの「通知」をクリックし、「パスワードのリセットについてユーザーに通知しますか?」のオプションを「はい」に設定します。
・はい:パスワードがリセットされたときに、ユーザーの電子メールアドレス宛に通知の電子メールを配信します。
2.「他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知をしますか?」のオプションを「はい」に設定します。 - 設定を適用するために「保存」を選択します。
カスタマイズを設定する
ユーザーがセルフパスワードリセットについてサポートを求める場合に、管理者への連絡用のリンクを設定することができます[1:4]。
- 左ペインの「カスタマイズ」をクリックし、「ヘルプデスク リンクのカスタマイズ」のオプションを「はい」に設定します。
- 「カスタム ヘルプデスクの電子メールまたはURL」にユーザーがサポートを求めることができるメールアドレスまたはWebページURLを指定します。
- 設定を適用するために「保存」を選択します。
セルフパスワードリセットのテスト
セルフパスワードリセットをする際の、ユーザー側の操作画面です。
-
Office365にサインインします。
- ユーザ名を入力し、「Next」をクリックします。
- 「Forgot my password」をクリックします。
- パスワードリセット画面に遷移する前に、Botではないことを明らかにするために画像の文字列を入力します。
- 本人確認情報(電話番号)を入力します。
- SMSで届いた「確認コード」を入力します。
- 本人確認情報(Microsoftのスマートフォン認識アプリMicrosoft Authenticatorで届いた確認コード)を入力します。
- 「新しいパスワード」ならびに「確認用のパスワード」を入力し、「Finish」をクリックします。
- パスワードがリセットされました。
セルフパスワードリセットのための、本人確認の認証方法が登録されていない場合
Microsoftのスマートフォン認識アプリや携帯電話番号など、認証方法(本人確認をする情報)が設定されていない場合は、エラーがでます。
- 承認方法は、マイアカウントの「セキュリティ情報」ページから登録します[2]。
「サインイン方法の追加」をクリックします。
- 認証方法(電話)を追加します。
- 電話を選択した場合、SMSにて確認コードが送られるので、その確認コード入力します。
- SMSが検証されたことにより、電話番号が登録されます。
おわりに
今回は、パスワードを忘れてしまった場合やアカウントがロックされた場合に、ユーザー自身でリセットが可能なセルフパスワードリセット(SSPR)の設定についてご案内しました。
ユーザーは管理者やヘルプデスクへ問合せ、対応しなくてもよいため面倒が手間が省け、管理者は運用負荷の軽減につながり、ユーザーと管理者にとってもメリットがある機能になります。
設定はAzure ADの管理画面から画面操作で簡単に設定ができますので、ぜひご活用ください。
今回の記事が参考になりましたら、幸いです。
定義
- Azure AD
Azure Active Directory (Azure AD) は、クラウドベースの ID およびアクセス管理サービスです。[3]
- IAM (Identity and Acces Management)
Identity and access management (IAM), also known as identity management (IdM), is a combined term used to create and manage digital and electronic user identities and regulate user access to on-premises and in-cloud assets of an organization.[4]
Secure access to your resources with Azure identity and access management solutions.
Protect your applications and data at the front gate with Azure identity and access management solutions. Defend against malicious login attempts and safeguard credentials with risk-based access controls, identity protection tools, and strong authentication options—without disrupting productivity.[5]
IAMとは、「IDの管理・認証・認可」を指す言葉で、社内アプリケーションやクラウドサービスなど、企業が利用するシステムごとに設定された複数のIDを統合管理し、同時にアクセス権限の適切な管理を行うための仕組みです。[6]
External Links
- Identity and Access Management, NIST
- IDおよびアクセス管理(IdAM あるいは IAM)の基本4項目, Progress Software Corporation
- "ACROSS: A generic framework for attribute-based access control with distributed policies for virtual organizations". Silva, Edelberto Franco; Muchaluat-Saade, Débora Christina; Fernandes, Natalia Castro (1 January 2018).
- Register the password reset verification method for a work or school account, Microsoft
Discussion