Microsoft Entra セルフサービス パスワード リセット (SSPR) のユーザー認証連絡先情報の事前設定
Microsoft Entra のセルフサービス パスワード リセット (SSPR) を使用するには、ユーザーの認証情報を提示する必要があります。 ほとんどの組織では、MFA の情報を収集しながら、ユーザーに自分の認証データを登録してもらいます。 なかには、Active Directory Domain Services (AD DS) に既に存在する認証データの同期を使用して、このプロセスをブートストラップすることを好む組織もあります。 ユーザーが介入しなくても、同期されたデータは Microsoft Entra ID と SSPR で利用できるようになります。 ユーザーが自分のパスワードを変更またはリセットする必要がある場合、以前に連絡先情報を登録していない場合でも、ユーザーはそれを実行できます。
次の要件を満たしている場合、認証連絡先情報を事前設定することができます。
- オンプレミスのディレクトリ内のデータが正しい形式になっていること。
- Microsoft Entra テナントの Microsoft Entra Connect を構成しています。
電話番号の形式が +CountryCode PhoneNumber (+1 4251234567 など) である必要があります。
注意
国番号と電話番号の間にスペースが必要です。
パスワードのリセットは内線番号をサポートしていません。 +1 4251234567X12345 の形式であっても、電話がかけられる前に内線番号は削除されます。
取り込まれるフィールド
Microsoft Entra Connect で既定の設定を使用する場合、SSPR の認証連絡先情報を設定するために、次のマッピングが行われます。
| オンプレミスの Active Directory | Microsoft Entra ID |
|---|---|
| telephoneNumber | 会社電話 |
| mobile | 携帯電話番号 |
ユーザーが携帯電話番号を認証すると、Microsoft Entra の [認証の連絡先情報] の下にある [電話番号] フィールドにもその番号が設定されます。
認証の連絡先情報
Microsoft Entra 管理センターの Microsoft Entra ユーザーの [認証方法] ページでは、グローバル管理者が認証の連絡先情報を手動で設定できます。 次のスクリーンショットに示すように、 [使用可能な認証方法] セクションまたは [+ 認証方法の追加] で既存の方法を確認できます。
この認証連絡先情報には、次の考慮事項が適用されます。
- [電話番号] フィールドに電話番号が設定され、SSPR ポリシーの [携帯電話] が有効になると、その番号がパスワード リセット登録ページに表示され、パスワード リセット ワークフロー中にも表示されます。
- [電子メール] フィールドにメール アドレスが設定され、SSPR ポリシーの [電子メール] が有効になると、そのメール アドレスがパスワード リセット登録ページに表示され、パスワード リセット ワークフロー中にも表示されます。
セキュリティの質問と回答
セキュリティの質問と回答は、Microsoft Entra テナントに安全に格納されており、ユーザーは [セキュリティ情報] の統合された登録エクスペリエンスを介してのみアクセスできます。 管理者は、別のユーザーの質問と回答の内容を表示したり、設定したり、変更したりすることはできません。
ユーザーの登録時に発生すること
ユーザーが登録するとき、登録ページには次のフィールドが設定されます。
- 認証用電話
- 認証用電子メール
- セキュリティの質問と回答
[携帯電話] または [連絡用メール アドレス] に値が指定されている場合、ユーザーはそれらの値を使用してすぐにパスワードをリセットすることができます。これはユーザーがサービスに登録していない場合でも実行できます。
これらの値は、ユーザーが初めて登録するときにも表示され、ユーザーは必要に応じてそれらを変更することができます。 ユーザーが正常に登録された後、これらの値は、それぞれ [認証用電話] フィールドと [認証用メール] フィールドの固定値になります。
PowerShell を使用した認証データの設定と読み取り
PowerShell を使用して、次のフィールドを設定することができます。
- 連絡用メール アドレス
- 携帯電話
- 会社電話
- オンプレミス ディレクトリと同期していない場合にのみ設定できます。
Microsoft Graph PowerShell を使用して Microsoft Entra ID と対話したり、認証方法を管理するために Microsoft Graph REST API を使用したりできます。
Microsoft Graph PowerShell を使用する
操作を開始するには、Microsoft Graph PowerShell モジュールをダウンロードしてインストールします。
Install-Module をサポートする PowerShell の最新バージョンから簡単にインストールするには、次のコマンドを実行します。 最初の行では、モジュールが既にインストールされているかどうかを確認しています。
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
モジュールがインストールされたら、次の手順に従って各フィールドを構成します。
Microsoft Graph PowerShell を使用して認証データを設定する
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Microsoft Graph PowerShell を使用して認証データを読み取る
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
次のステップ
ユーザーの認証連絡先情報が事前設定されたら、次のチュートリアルを実行して、セルフサービス パスワード リセットを有効にします。