セルフサービス パスワード リセットについてよく寄せられる質問

はい。 パスワード リセットが有効になっており、ユーザーにライセンスが付与されている場合は、パスワード リセット登録ポータル (https://aka.ms/ssprsetup) で、認証情報を登録できます。 ユーザーは、アクセス パネル (https://myapps.microsoft.com) で登録することもできます。 アクセス パネルで登録するには、自分のプロフィール画像を選び、 [プロファイル] を選んで、 [パスワード リセットの登録] オプションを選ぶ必要があります。

統合された登録を有効にすると、ユーザーは SSPR と Microsoft Entra 多要素認証の両方に同時に登録できます。

いいえ。 認証データを設定したユーザーは、再登録する必要はありません。

はい。Microsoft Entra Connect、PowerShell、Microsoft Entra 管理センターまたは Microsoft 365 管理センターでこれを行うことができます。 詳細については、Microsoft Entra のセルフサービス パスワード リセットで使われるデータに関するページをご覧ください。

いいえ。現時点ではできません。

はい。 ユーザーがパスワード リセット登録ポータルを使ってデータを登録すると、データは全体管理者とそのユーザーだけが見ることのプライベート認証フィールドに保存されます。

いいえ。 ユーザーに代わって必要な認証情報を定義している場合は、ユーザー が登録を行う必要はありません。 適切に書式設定されたデータがディレクトリ内の該当フィールドに格納されている限り、パスワード リセットは正常に動作します。

グローバル管理者が設定できるフィールドは、SSPR データ要件に関する記事に定義されています。

パスワード リセット登録ポータルには、お客様が自分のユーザーに対して有効にしたオプションのみが表示されます。 これらのオプションは、ディレクトリの [構成] タブの [ユーザー パスワードのリセット ポリシー] セクションにあります。たとえば、セキュリティの質問を有効にしていない場合、ユーザーはそのオプションに登録できません。

Microsoft Entra 管理センターで設定したパスワードのリセットに必要な方法の数以上を登録しているユーザーは、SSPR に登録されていると見なされます。

はい。パスワードのリセットには悪用防止のためのセキュリティ機能が組み込まれています。

ユーザーは自分の情報 (電話番号など) の検証を試みることができますが、24時間以内に 5 回身分証明できなかった場合は、24 時間ロックアウトされます。

ユーザーが 1 時間の間に試行できる電話番号の確認、アプリの認証、テキスト メッセージの送信、セキュリティの質問と回答の確認の回数は 5 回に制限されていて、この回数を超えるとユーザーは 24 時間ロックアウトされます。

ユーザーが 10 分間に送信できるメールの数は 10 件に制限されており、この回数を超えるとユーザーは 24 時間ロックアウトされます。

ユーザーが自分のパスワードをリセットすると、カウンターはリセットされます。

メール、テキスト メッセージ、電話呼び出しは、1 分以内に着信するはずです。 通常は 5 から 20 秒です。 この期間内に通知を受け取らない場合は、

• 迷惑メール フォルダーを確認します。
• 連絡を受けている番号やメールが、自分の想定しているものであることを確認してください。
• ディレクトリ内の認証データの書式が正しいことを確認してください (例: +1 4255551234 または user@contoso.com)。

パスワードのリセット UI、テキスト メッセージ、音声通話は、Microsoft 365 でサポートされているのと同じ言語にローカライズされています。

パスワード リセット ポータルにお客様の組織のロゴが表示されるほか、[管理者に連絡してください] リンクにカスタムのメール アドレスまたは URL を構成できます。 パスワード リセットによって送信されるメールは、組織のロゴ、色、メールの本文内の名前を含み、その特定の名前に対する設定でカスタマイズされます。

SSPR のデプロイに関する記事に記載されている提案をいくつか試します。

はい。このページは、モバイル デバイスでも使用できます。

はい。 ユーザーが自分のパスワードをリセットするとき、Microsoft Entra Connect を使ってパスワード ライトバックがデプロイされている場合は、パスワードをリセットしたときに、そのユーザーのアカウントが自動的にロック解除されます。

Microsoft Entra ID P1 または P2 のお客様は、追加料金なしで Microsoft Identity Manager をインストールし、オンプレミスのパスワード リセット ソリューションをデプロイすることができます。

いいえ。現時点ではできません。

Microsoft Entra 管理センターでは、カスタムのセキュリティの質問を最大 20 個設定できます。

セキュリティの質問に許される長さは 3 文字から 200 文字です。

回答に許される長さは 3 文字から 40 文字です。

はい。セキュリティの質問に対して重複する回答は拒否されます。

いいえ。 ユーザーは、特定の質問を登録した後、同じ質問を再度登録することはできません。

はい。登録用とリセット用にそれぞれ制限を設定できます。 登録に要求できるセキュリティの質問の数は 3 から 5 個、リセットに要求できる質問の数も 3 から 5 個です。

これは正しい動作です。 Microsoft では、任意の Azure 管理者ロールに強力な既定の 2 ゲート パスワードのリセット ポリシーを適用します。 これにより、管理者はセキュリティの質問を使用できなくなります。 このポリシーについて詳しくは、「Microsoft Entra ID のパスワード ポリシーと制限」をご覧ください。

ユーザーが登録したすべてのセキュリティの質問の中から N 個の質問がランダムに選択されます。N は、[リセットに必要な質問の数] オプションに設定されている数です。 たとえば、ユーザーが 5 個のセキュリティの質問を登録してあり、パスワードのリセットには 3 個だけが必要な場合は、5 個の質問から 3 個がランダムに選ばれて、リセット時に表示されます。 同じ質問が繰り返し表示されるのを防ぐため、ユーザーが質問の答えを間違えた場合は、選択プロセスが最初から行われます。

パスワードのリセットのセッション有効期間は 15 分です。 パスワード リセット操作の開始からパスワードをリセットするまで、ユーザーに 15 分の時間が与えられます。 ワンタイム パスコードは、パスワード リセット セッション中に 5 分間有効です。

はい。グループを使って SSPR を有効にしている場合、ユーザーがパスワードをリセットできるグループから個別のユーザーを削除できます。 ユーザーがグローバル管理者である場合、パスワードをリセットする能力は保持され、これを無効にすることはできません。

ユーザーは Office 365 ポータルやアクセス パネルなど、右上隅にプロファイル画像やアイコンが表示されるページであればどこでもパスワードを変更できます。 ユーザーはアクセス パネルのプロファイル ページからパスワードを変更できます。 また、パスワードの有効期限が切れている場合は、Microsoft Entra のサインイン ページで自動的にパスワードを変更するように求められます。 最終的には、ユーザーは Microsoft Entra のパスワード変更ポータルを表示して、パスワードを変更できます。

はい。現在、Active Directory フェデレーション サービス (AD FS) を使っている場合は通知できるようになりました。 AD FS を使っている場合は、「Sending password policy claims with AD FS」(AD FS でパスワード ポリシー要求を送信する) の手順に従ってください。 パスワード ハッシュ同期を使っている場合は、現時点では通知できません。 マイクロソフトではパスワードのポリシーをオンプレミスのディレクトリから同期していないため、有効期限切れの通知をクラウドに送信できません。 いずれの場合でも、PowerShell を使ってパスワードの有効期限が迫っていることをユーザーに通知することは可能です。

クラウド専用のユーザーの場合、パスワードの変更をブロックすることはできません。 オンプレミスのユーザーの場合は、 [ユーザーはパスワードを変更できない] オプションをオンに設定できます。 選択したユーザーは自分のパスワードを変更できません。

データは、5 分から 10 分でパスワード管理レポートに表示されます。 場合によっては、最大 1 時間かかることもあります。

パスワード管理レポートをフィルター処理するには、レポート上部の列ラベルの右端にある小さな虫眼鏡アイコンを選びます。 より高度なフィルター処理を実行するには、レポートを Excel にダウンロードしてピボット テーブルを作成します。

パスワード管理レポートには、最大 30 日間の範囲について、最大 75,000 個のパスワード リセット イベントまたはパスワード リセット登録イベントが格納されます。 より多くのイベントを格納できるように、この値の拡張に取り組んでいます。

パスワード管理レポートには、過去 30 日以内に発生した操作が表示されます。 今のところ、このデータをアーカイブする必要がある場合は、レポートを定期的にダウンロードして別の場所に保存してください。

はい。 UI に表示した場合またはダウンロードした場合のいずれでも、パスワード管理レポートに表示できる最大行数は 75,000 行です。

はい。この情報は、認証方法のアクティビティ レポート、またはパスワード リセット アクティビティを取得するための API から取得できます。 監査ログ API を使用して、SSPR イベントでフィルター処理することもできます。

パスワード ライトバックを有効にした場合の動作とシステム内でデータがオンプレミスの環境に戻る経路について詳しくは、パスワード ライトバックのしくみに関する記事を参照してください。

パスワード ライトバックは即座に実行されます。 パスワード ライトバックは、パスワード ハッシュ同期とは根本的に異なる方法で動作する同期パイプラインです。 パスワード ライトバックでは、ユーザーは、パスワードのリセット操作または変更操作の完了についてリアルタイムのフィードバックを受け取ります。 正常なパスワード ライトバックの平均時間は 500 ミリ秒未満です。

お客様のオンプレミスの ID が無効にされている場合、Microsoft Entra Connect による次回の同期間隔で、お客様のクラウド ID とアクセスも無効になります。 既定では、この同期は 30 分ごとに行われます。

はい。SSPR は、オンプレミスの Active Directory パスワード ポリシーに依存し、これに従います。 このポリシーには、一般的な Active Directory ドメイン パスワード ポリシーだけでなく、ユーザーを対象として定義され、細かく設定されているすべてのパスワード ポリシーが含まれます。

パスワード ライトバックが動作するのは、オンプレミスの Active Directory から Microsoft Entra ID に対して同期化されるユーザー アカウントです (フェデレーション ユーザー、パスワード ハッシュ同期ユーザー、パススルー認証ユーザーなど)。

はい。 パスワード ライトバックでは、ローカル ドメインのパスワードにユーザーが設定したパスワードの有効期間、履歴、複雑さ、フィルター、その他の制限が適用されます。

はい。パスワード ライトバックはセキュリティで保護されています。 パスワード ライトバック サービスによって実装される多層セキュリティについて詳しくは、パスワード ライトバックの概要の記事のパスワード ライトバックのセキュリティ モデルに関するセクションをご覧ください。

次のステップ

• SSPR のロールアウトを正常に完了する方法
• パスワードのリセットまたは変更
• セルフサービス パスワード リセットのための登録
• ライセンスに関する質問
• SSPR が使用するデータと、ユーザー用に事前設定が必要なデータ
• ユーザーが使用できる認証方法
• SSPR のポリシー オプション
• パスワード ライトバックの概要とその必要性
• SSPR でアクティビティをレポートする方法
• SSPR のすべてのオプションとその意味
• 不具合が発生していると思われる SSPR のトラブルシューティング方法