Azure Active Directory のセルフサービス パスワード リセットのデプロイを計画する

重要

このデプロイ計画は、Azure AD セルフサービス パスワード リセット (SSPR) をデプロイするためのガイダンスとベスト プラクティスを提供します。

自分がエンド ユーザーであり、自分のアカウントを回復する必要がある場合は、https://aka.ms/sspr にアクセスします。

Azure Active Directory の機能であるセルフサービス パスワード リセット (SSPR) を使用すると、ユーザーは自分のパスワードをリセットすることができ、IT スタッフにヘルプを依頼する必要はありません。 ユーザーは場所や時間に関係なく、自分ですぐにブロックを解除して作業を続けることができます。 自分でブロックを解除することが従業員に許可されている場合は、パスワードに関連する多くの一般的な問題に対する非生産的な時間と高いサポート コストを削減できます。

SSPR の主な機能は次のとおりです。

  • セルフサービスを使用すると、エンド ユーザーは、管理者またはヘルプデスクにサポートを求めなくても、期限切れまたは期限切れではないパスワードをリセットできます。
  • パスワード ライトバックを使用すると、クラウドを介してオンプレミスのパスワードを管理し、アカウントのロックアウトを解決することができます。
  • パスワード管理アクティビティ レポートでは、組織内で発生したパスワードのリセットおよび登録アクティビティの詳細が管理者に提供されます。

このデプロイ ガイドでは、SSPR のロールアウトを計画してテストする方法について説明します。

まず、SSPR の動作の概要を確認してから、デプロイに関するその他の考慮事項について説明します。

SSPR の詳細

SSPR の詳細を参照してください。 「動作のしくみ: Azure AD のセルフサービス パスワード リセット のクイック スタート」に関する記事をご覧ください。

主な利点

SSPR を有効にする主な利点は次のとおりです。

  • コスト管理。 IT サポートのコストを削減します。 また、パスワードの紛失やロックアウトによって損失する時間が短縮されます。

  • 直感的なユーザー エクスペリエンス。 ユーザーがパスワードをリセットし、任意のデバイスや場所からの要求時にアカウントのブロックを解除できるため、直感的なワンタイム ユーザー登録プロセスが実現します。 SSPR を使用すると、ユーザーは迅速に作業を再開し、生産性を高めることができます。

  • 柔軟性とセキュリティ。 SSPR を使用すると、企業はクラウド プラットフォームが提供するセキュリティと柔軟性にアクセスできます。 管理者は、新しいセキュリティ要件に合わせて設定を変更し、サインインを中断せずにこれらの変更をユーザーにロールアウトすることができます。

  • 堅牢な監査と使用状況追跡。 ユーザーが自分のパスワードをリセットしている間も、組織はビジネス システムが安全であることを確認できます。 堅牢な監査ログには、パスワード リセット プロセスの各手順の情報が含まれます。 これらのログは API から入手でき、これによりユーザーは、選択したセキュリティ インシデントおよびイベント監視 (SIEM) システムにデータをインポートできます。

ライセンス

Azure Active Directory はユーザーごとのライセンスであり、機能を利用するには、各ユーザーに適切なライセンスが必要です。 SSPR にはグループベースのライセンスが推奨されます。

エディションと機能を比較し、グループベースまたはユーザーベースのライセンスを有効にする場合は、「Azure AD のセルフサービス パスワード リセットのライセンス要件」をご覧ください。

価格の詳細については、「Azure Active Directory の価格」を参照してください。

前提条件

  • 少なくとも試用版ライセンスが有効になっている、動作している Azure AD テナント。 必要に応じて、無料で作成できます

  • グローバル管理者特権を持つアカウント。

トレーニング リソース

リソース リンクと説明
ビデオ IT のスケーラビリティ向上によるユーザーの支援
セルフサービス パスワード リセットとは
セルフサービス パスワード リセットのデプロイ
Azure AD で SSPR を有効にして構成する方法
Azure AD でユーザーにセルフサービスのパスワード リセットを構成する方法
Azure Active Directory のセキュリティ情報を登録する [ユーザーを準備する] 方法
オンライン コース Microsoft Azure Active Directory での ID の管理 SSPR を使用して、ユーザーに最新の保護されたエクスペリエンスを提供します。 特に、「Azure Active Directory のユーザーとグループの管理」モジュールを参照してください。
Pluralsight の有料コース ID およびアクセス管理の問題 組織内で認識しておく必要がある IAM とセキュリティの問題について説明します。 特に、「その他の認証方法」モジュールを参照してください。
Microsoft Enterprise Mobility Suite の概要 認証、承認、暗号化、およびセキュリティで保護されたモバイル エクスペリエンスを実現する方法で、オンプレミスの資産をクラウドに拡張するためのベスト プラクティスについて説明します。 特に、「Microsoft Azure Active Directory Premium の高度な機能の構成」モジュールを参照してください。
チュートリアル Azure AD のセルフサービス パスワード リセット のパイロット展開を完了する
パスワード ライトバックを有効にする」を使用して、パスワード ライトバックを有効にする
Windows 10 のログイン画面からの Azure AD パスワード リセット
よく寄せられる質問 パスワード管理に関するよく寄せられる質問 (FAQ)

ソリューションのアーキテクチャ

次の例では、一般的なハイブリッド環境向けのパスワード リセット ソリューションのアーキテクチャについて説明しています。

ソリューション アーキテクチャの図

ワークフローの説明

パスワードをリセットするためには、ユーザーはパスワードのリセット用ポータルにアクセスします。 ユーザーは、以前に登録した認証方法 (1 つまたは複数) を使用して、身元を証明する必要があります。 パスワードが正常にリセットされると、リセット プロセスが開始されます。

  • クラウド専用ユーザーの場合、SSPR では新しいパスワードが Azure AD に格納されます。

  • ハイブリッド ユーザーの場合、SSPR では、パスワードは Azure AD Connect サービスを介してオンプレミスの Active Directory にライトバックされます。

メモ:パスワード ハッシュ同期 (PHS) が無効になっているユーザーの場合、SSPR では、パスワードはオンプレミスの Active Directory にのみ格納されます。

ベスト プラクティス

別の一般的なアプリケーションまたはサービスを、SSPR と共に組織にデプロイすることで、ユーザーを迅速に登録できます。 このアクションでは、大量のサインインが生成され、登録が促進されます。

SSPR をデプロイする前に、各パスワード リセット呼び出しの数と平均コストを決定することも選択できます。 このデプロイ後のデータを使用して、SSPR によって組織にもたらされる価値を示すことができます。

SSPR と Azure AD Multi-Factor Authentication のための統合された登録

注意

2020 年 8 月 15 日以降は、新しい Azure AD テナントで統合されたすべての登録が自動的に有効になります。 この日付より後に作成されたテナントは、従来の登録ワークフローを利用できなくなります。 2022 年 9 月 30 日以降は、すべての既存の Azure AD テナントで、統合された登録が自動的に有効になります。

Azure AD Multi-Factor Authentication とセルフサービス パスワード リセット (SSPR) の統合された登録エクスペリエンスを、組織で使用することをお勧めします。 SSPR により、ユーザーは、Azure AD Multi-Factor Authentication に使用する場合と同じ方法を使用して、セキュリティで保護された方法でパスワードをリセットすることができます。 統合された登録は、エンド ユーザーにとっては 1 つの手順です。 機能とエンド ユーザー エクスペリエンスを確実に理解するには、統合されたセキュリティ情報の登録の概念に関する記事を参照してください。

予定されている変更、登録要件、必要なユーザー操作について、ユーザーに通知することが重要です。 お客様のユーザーに新しいエクスペリエンスに向けて準備をさせ、ロールアウトの確実な成功を支援するために、通信テンプレートユーザー ドキュメントが用意されています。 ユーザーを https://myprofile.microsoft.com に誘導し、そのページの [セキュリティ情報] リンクを選択して登録してもらいます。

デプロイ プロジェクトを計画する

お客様の環境でこのデプロイの戦略を決定するときは、お客様の組織のニーズを考慮してください。

適切な関係者を従事させる

テクノロジ プロジェクトが失敗する場合、通常の原因は、影響、結果、および責任に対する想定の不一致です。 これらの潜在的な危険を回避するには、適切な利害関係者を含めて、利害関係者およびそのプロジェクトでの入力と説明責任を文書化することで、プロジェクトでの利害関係者の役割をよく理解させます。

必要な管理者の役割

ビジネス ロール/ペルソナ Azure AD ロール (必要な場合)
レベル 1 ヘルプデスク パスワード管理者
レベル 2 ヘルプデスク ユーザー管理者
SSPR 管理者 全体管理者

パイロットを計画する

SSPR の初期構成はテスト環境で行うことをお勧めします。 組織内のユーザーのサブセットに対して SSPR を有効にすることで、パイロット グループから始めてください。 「パイロットのベスト プラクティス」を参照してください。

グループを作成するには、Azure Active Directory でグループを作成し、メンバーを追加する方法を参照してください。

構成を計画する

推奨値で SSPR を有効にするには、次の設定が必要です。

領域 設定
SSPR のプロパティ セルフサービス パスワード リセット が有効 パイロットの場合は [選択済み] グループ/運用環境の場合は [すべて]
認証方法 Authentication methods required to register (登録に必要な認証方法) リセットのため必要な数より常に 1 つ多い値
Authentication methods required to reset (リセットに必要な認証方法) 1 つまたは 2 つ
登録 サインイン時にユーザーに登録を求めますか はい
ユーザーが認証情報を再確認するように求められるまでの日数 90 – 180 日
通知 パスワードのリセットについてユーザーに通知しますか はい
他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか はい
カスタマイズ ヘルプデスク リンクのカスタマイズ はい
カスタム ヘルプデスクの電子メールまたは URL サポート サイトまたはメール アドレス
オンプレミスの統合 オンプレミスの AD へのパスワードの書き戻し はい
パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する はい

SSPR のプロパティ

SSPR を有効にする場合は、パイロット環境で適切なセキュリティ グループを選択します。

  • すべてのユーザーに SSPR 登録を適用する場合は、 [すべて] オプションを使用することをお勧めします。
  • それ以外の場合は、適切な Azure AD または AD セキュリティ グループを選択してください。

認証方法

SSPR が有効になっている場合、ユーザーが自分のパスワードをリセットできるのは、管理者が有効にしている認証方法にデータがある場合のみです。 方法には、電話、認証アプリの通知、セキュリティの質問などがあります。 詳細については、「認証方法とは」を参照してください。

次の認証方法の設定が推奨されます。

  • [Authentication methods required to register](登録に必要な認証方法) を、リセットに必要な数より少なくとも 1 つ多い数に設定します。 複数の認証を許可すると、リセットが必要なときのユーザーの柔軟性が増します。

  • [リセットのために必要な方法の数] を、組織に適したレベルに設定します。 1 つでは最小限の手間が必要ですが、2 つではセキュリティ ポスチャが増す可能性があります。

メモ: ユーザーには、「Azure Active Directory のパスワード ポリシーと制限」で構成されている認証方法が必要です。

登録設定

サインイン時にユーザーに登録を求めますか[はい] に設定します。 この設定では、サインイン時にユーザーに登録を求めることで、すべてのユーザーが確実に保護されるようにします。

組織で短い期間が必要でない限り、 ユーザーが認証情報を再確認するように求められるまでの日数90 から 180 日の範囲に設定します。

通知の設定

パスワードのリセットについてユーザーに通知しますか他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか の両方を、 [はい] に设定します。 両方で [はい] を選択すると、パスワードがリセットされたことをユーザーが確実に認識できるため、セキュリティが向上します。 また、1 人の管理者がパスワードを変更した場合でも、すべての管理者が確実に認識できます。 ユーザーまたは管理者は、通知を受け取ったときに変更を開始していない場合は、すぐにセキュリティの問題の可能性を報告できます。

Note

SSPR サービスからのメール通知は、使用している Azure クラウドに基づいて、次のアドレスから送信されます。

  • パブリック: msonlineservicesteam@microsoft.com
  • 中国: msonlineservicesteam@oe.21vianet.com
  • 政府機関: msonlineservicesteam@azureadnotifications.us 通知の受信で問題が発生した場合は、スパム設定を確認してください。

カスタマイズ設定

問題が発生したユーザーがすぐにヘルプを受けられるよう、ヘルプデスクのメールまたは URL をカスタマイズすることが重要です。 このオプションを、ユーザーがよく知っている一般的なヘルプデスクのメール アドレスまたは Web ページに設定します。

詳細については、「セルフサービス パスワード リセットのための Azure AD 機能のカスタマイズ」を参照してください。

パスワード ライトバック

パスワード ライトバックは、Azure AD Connect で有効になっていて、クラウドでのパスワード リセットを既存のオンプレミスのディレクトリにリアルタイムで書き戻します。 詳しくは、「パスワード ライトバックとは」をご覧ください

次の設定が推奨されます。

  • [オンプレミスの Active Directory へのパスワードの書き戻し][はい] に設定されていることを確認します。
  • [パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する][はい] に設定します。

既定では、Azure AD はパスワード リセットを実行するときにアカウントをロック解除します。

管理者パスワード設定

管理者のアカウントは、アクセス許可が引き上げられています。 オンプレミスのエンタープライズ管理者またはドメイン管理者は、SSPR で自分のパスワードをリセットできません。 オンプレミスの管理者アカウントには、次の制限があります。

  • オンプレミス環境でのみ、自分のパスワードを変更できます。
  • パスワードをリセットする方法として、秘密の質問と回答を使用できません。

オンプレミスの Active Directory 管理者アカウントは Azure AD と同期させないことをお勧めします。

複数の ID 管理システムがある環境

環境によっては、複数の ID 管理システムが存在する場合があります。 Oracle AM や SiteMinder などのオンプレミスの ID マネージャーでは、パスワードについて AD との同期が必要です。 これは、Microsoft Identity Manager (MIM) を使用したパスワード変更通知サービス (PCNS) のようなツールを使用することで実行できます。 このより複雑なシナリオについては、「ドメイン コントローラーに MIM パスワード変更通知サービスを展開する」をご覧ください。

テストとサポートを計画する

初期のパイロット グループから組織全体に至るまでのデプロイの各段階で、確実に期待どおりの結果が得られるようにします。

テストを計画する

デプロイが意図したとおりに動作することを確認するには、実装を検証にするテスト ケースのセットを計画します。 テスト ケースにアクセスするには、パスワードを持つ非管理者テスト ユーザーが必要です。 ユーザーを作成する必要がある場合は、Azure Active Directory への新しいユーザーの追加に関するページを参照してください。

次の表では、ポリシーに基づいて組織で予想される結果を文書化するために使用できる有用なテスト シナリオを示します。

ビジネス ケース 予想される結果
企業ネットワーク内から SSPR ポータルにアクセスできる 組織によって決定される
企業ネットワーク外から SSPR ポータルにアクセスできる 組織によって決定される
ユーザーがパスワード リセットを有効にされていないときに、ブラウザーからユーザーのパスワードをリセットする ユーザーはパスワード リセット フローにアクセスできない
ユーザーがパスワード リセットに登録されていないときに、ブラウザーからユーザーのパスワードをリセットする ユーザーはパスワード リセット フローにアクセスできない
パスワード リセットの登録が強制されているときに、ユーザーがサインインする ユーザーにセキュリティ情報を登録するよう求める
パスワード リセットの登録が完了したら、ユーザーがサインインする ユーザーにセキュリティ情報を登録するよう求める
ユーザーがライセンスを持っていないときに、SSPR ポータルにアクセスできる アクセスできる
Windows 10 Azure AD に接続済み、またはハイブリッド Azure AD に接続されたデバイスのロック画面から、ユーザーのパスワードをリセットする ユーザーはパスワードをリセットできる
SSPR の登録と使用状況のデータを、管理者がほぼリアルタイムで使用できる 監査ログを介して利用できる

Azure AD のセルフサービス パスワード リセットのパイロット展開の完了に関するページも参照してください。 このチュートリアルでは、SSPR を組織にパイロット展開できるようにし、管理者以外のアカウントを使用してテストします。

サポートを計画する

通常、SSPR ではユーザーの問題は発生しませんが、発生する可能性のある問題に対応できるようサポート スタッフを準備することが重要です。 管理者は Azure AD ポータルでエンド ユーザーのパスワードをリセットできますが、セルフサービス サポート プロセスを通して問題の解決を支援することをお勧めします。

お客様のサポート チームが成功できるように、ユーザーから受け取った質問に基づいて、FAQ を作成できます。 次に例をいくつか示します。

シナリオ 説明
ユーザーに使用可能な登録済み認証方法がない ユーザーは、自分のパスワードをリセットしようとしていますが、使用可能な登録済みの認証方法がありません (例: 携帯電話が自宅にあり、メールにアクセスできない)
ユーザーはオフィスまたは携帯電話でテキストまたは通話を受け取っていない ユーザーは、テキストまたは通話により本人確認をしようとしていますが、テキスト/通話を受け取っていません。
ユーザーはパスワード リセット ポータルにアクセスできない ユーザーは、パスワードのリセットを望んでいますが、パスワードのリセットが有効になっておらず、パスワード更新ページにアクセスできません。
ユーザーは新しいパスワードを設定できない ユーザーは、パスワード リセット フローで検証を完了しましたが、新しいパスワードを設定できません。
ユーザーの Windows 10 デバイスに [パスワードのリセット] リンクが表示されない ユーザーは、Windows 10 のロック画面からパスワードをリセットしようとしているか、デバイスが Azure AD に接続されていないか、または Microsoft エンドポイント マネージャー デバイス ポリシーが有効になっていない

ロールバックを計画する

デプロイをロールバックするには、以下を行います。

  • 1 人のユーザーの場合は、セキュリティ グループからユーザーを削除する

  • グループの場合は、SSPR 構成からグループを削除する

  • 全員の場合は、Azure AD テナントに対して SSPR を無効にする

SSPR をデプロイする

デプロイの前に、次の操作を完了済みであることを確認します。

  1. 適切な構成設定を決定した。

  2. パイロット環境と運用環境のユーザーとグループを特定した。

  3. 登録とセルフサービス用の構成設定を決定した。

  4. ハイブリッド環境がある場合は、パスワード ライトバックを構成した。

これで、SSPR をデプロイする準備が整いました。

次の領域の構成の詳細な手順については、「セルフサービス パスワード リセットを有効にする」を参照してください。

  1. 認証方法

  2. 登録設定

  3. 通知設定

  4. カスタマイズ設定

  5. オンプレミスの統合

Windows で SSPR を有効にする

Windows 7、8、8.1、および 10 を実行中のコンピューターでは、Windows のサインイン画面でユーザーが自分のパスワードをリセットできるように設定することができます

SSPR を管理する

Azure AD では、監査とレポートによって SSPR のパフォーマンスに関する追加情報を提供できます。

パスワード管理アクティビティ レポート

Azure portal で構築済みのレポートを使用して、SSPR のパフォーマンスを測定できます。 適切にライセンスを付与されている場合は、カスタム クエリを作成することもできます。 詳しくは、「Azure AD のパスワード管理に関するレポート オプション」を参照してください

Note

ユーザーはグローバル管理者であること、および組織のためにこのデータを収集できるようにオプトインすることが必要です。 オプトインするには、Azure portal の [レポート] タブまたは監査ログに少なくとも 1 回アクセスする必要があります。 それまでは、ご自分の組織のデータは収集されません。

登録とパスワード リセットに関する監査ログは、30 日間利用できます。 企業内のセキュリティ監査をもっと長い期間保有する必要がある場合、ログをエクスポートし、Microsoft Sentinel、Splunk、ArcSight などの SIEM ツールに取り込む必要があります。

SSPR レポートのスクリーンショット

認証方法 - 使用状況と分析情報

使用状況と分析情報を使うと、Azure AD MFA や SSPR などの機能の認証方法が組織内でどのように機能しているかについて理解を深めることができます。 このレポート機能は、組織がどの方法で登録を行い、それらをどのように使用しているかを把握するための手段となるものです。

トラブルシューティング

役に立つドキュメント

次のステップ