Microsoft Entra セルフサービス パスワード リセットの展開をプランする
重要
このデプロイ計画は、Microsoft Entra セルフサービス パスワード リセット (SSPR) をデプロイするためのガイダンスとベスト プラクティスを提供します。
自分がエンド ユーザーであり、自分のアカウントを回復する必要がある場合は、https://aka.ms/sspr にアクセスします。
Microsoft Entra の機能であるセルフサービス パスワード リセット (SSPR) を使用すると、ユーザーは自分のパスワードをリセットすることができ、IT スタッフにヘルプを依頼する必要はありません。 ユーザーは場所や時間に関係なく、自分ですぐにブロックを解除して作業を続けることができます。 自分でブロックを解除することが従業員に許可されている場合は、パスワードに関連する多くの一般的な問題に対する非生産的な時間と高いサポート コストを削減できます。
SSPR の主な機能は次のとおりです。
- セルフサービスを使用すると、エンド ユーザーは、管理者またはヘルプデスクにサポートを求めなくても、期限切れまたは期限切れではないパスワードをリセットできます。
- パスワード ライトバックを使用すると、クラウドを介してオンプレミスのパスワードを管理し、アカウントのロックアウトを解決することができます。
- パスワード管理アクティビティ レポートでは、組織内で発生したパスワードのリセットおよび登録アクティビティの詳細が管理者に提供されます。
このデプロイ ガイドでは、SSPR のロールアウトを計画してテストする方法について説明します。
まず、SSPR の動作の概要を確認してから、デプロイに関するその他の考慮事項について説明します。
ヒント
この記事のコンパニオンとして、Microsoft 365 管理センターにサインインするときに、セルフサービス パスワード リセットの展開を計画するガイドを使用するよう、お勧めします。 このガイドでは、環境に基づいてエクスペリエンスをカスタマイズします。 サインインして自動セットアップ機能をアクティブ化せずにベスト プラクティスを確認するには、M365 セットアップ ポータルに移動します。
SSPR の詳細
SSPR の詳細を参照してください。 「動作のしくみ: Azure AD のセルフサービス パスワード リセット」を参照してください。
主な利点
SSPR を有効にする主な利点は次のとおりです。
コスト管理。 IT サポートのコストを削減します。 また、パスワードの紛失やロックアウトによって損失する時間が短縮されます。
直感的なユーザー エクスペリエンス。 ユーザーがパスワードをリセットし、任意のデバイスや場所からの要求時にアカウントのブロックを解除できるため、直感的なワンタイム ユーザー登録プロセスが実現します。 SSPR を使用すると、ユーザーは迅速に作業を再開し、生産性を高めることができます。
柔軟性とセキュリティ。 SSPR を使用すると、企業はクラウド プラットフォームが提供するセキュリティと柔軟性にアクセスできます。 管理者は、新しいセキュリティ要件に合わせて設定を変更し、サインインを中断せずにこれらの変更をユーザーにロールアウトすることができます。
堅牢な監査と使用状況追跡。 ユーザーが自分のパスワードをリセットしている間も、組織はビジネス システムが安全であることを確認できます。 堅牢な監査ログには、パスワード リセット プロセスの各手順の情報が含まれます。 これらのログは API から入手でき、これによりユーザーは、選択したセキュリティ インシデントおよびイベント監視 (SIEM) システムにデータをインポートできます。
ライセンス
Microsoft Entra ID はユーザーごとのライセンスであり、機能を利用するには、各ユーザーに適切なライセンスが必要です。 SSPR にはグループベースのライセンスが推奨されます。
エディションと機能を比較し、グループベースまたはユーザーベースのライセンスを有効にする場合は、Microsoft Entra ID のセルフサービス パスワード リセットのライセンス要件に関する記事を参照してください。
価格の詳細については、Microsoft Entra の価格に関する記事を参照してください。
前提条件
少なくとも試用版ライセンスが有効になっている、動作している Microsoft Entra テナント。 必要に応じて、無料で 1 つ作成できます。
-
この機能を管理するには、全体管理者が必要です。
ガイド付きチュートリアル
この記事内の多くの推奨事項のガイド付きチュートリアルについては、Microsoft 365 管理センターにサインインしたときの「セルフサービス パスワード リセットの展開を計画する」ガイドを参照してください。 サインインして自動セットアップ機能をアクティブ化せずにベスト プラクティスを確認するには、M365 セットアップ ポータルに移動します。
トレーニング リソース
リソース | リンクと説明 |
---|---|
ビデオ | IT のスケーラビリティ向上によるユーザーの支援 |
セルフサービス パスワード リセットとは | |
セルフサービス パスワード リセットのデプロイ | |
Microsoft Entra ID で SSPR を有効にして構成する方法 | |
Microsoft Entra ID でユーザーにセルフサービスのパスワード リセットを構成する方法 | |
Microsoft Entra ID のセキュリティ情報を登録する [ユーザーを準備する] 方法 | |
オンライン コース | Microsoft Entra ID での ID の管理 SSPR を使用して、ユーザーに最新の保護されたエクスペリエンスを提供します。 特に "Managing Microsoft Entra Users and Groups " モジュールを参照してください。 |
Microsoft Enterprise Mobility Suite の概要 認証、承認、暗号化、およびセキュリティで保護されたモバイル エクスペリエンスを実現する方法で、オンプレミスの資産をクラウドに拡張するためのベスト プラクティスについて説明します。 特に Microsoft Entra ID P1 または P2 の高度な機能の構成に関するモジュールを参照してください。 | |
チュートリアル | Microsoft Entra セルフサービス パスワード リセット パイロットのロールアウトを完了する |
「パスワード ライトバックを有効にする」を使用して、パスワード ライトバックを有効にする | |
Windows 10 のログイン画面からの Microsoft Entra パスワード リセット | |
よくあるご質問 | パスワード管理に関するよく寄せられる質問 (FAQ) |
ソリューションのアーキテクチャ
次の例では、一般的なハイブリッド環境向けのパスワード リセット ソリューションのアーキテクチャについて説明しています。
ワークフローの説明
パスワードをリセットするためには、ユーザーはパスワードのリセット用ポータルにアクセスします。 ユーザーは、以前に登録した認証方法 (1 つまたは複数) を使用して、身元を証明する必要があります。 パスワードが正常にリセットされると、リセット プロセスが開始されます。
クラウド専用ユーザーの場合、SSPR では新しいパスワードが Microsoft Entra ID に格納されます。
ハイブリッド ユーザーの場合、SSPR では、パスワードは Microsoft Entra Connect サービスを介してオンプレミスの Active Directory にライトバックされます。
ノート: パスワード ハッシュ同期 (PHS) が無効になっているユーザーの場合、SSPR では、パスワードはオンプレミスの Active Directory にのみ格納されます。
ベスト プラクティス
別の一般的なアプリケーションまたはサービスを、SSPR と共に組織にデプロイすることで、ユーザーを迅速に登録できます。 このアクションでは、大量のサインインが生成され、登録が促進されます。
SSPR をデプロイする前に、各パスワード リセット呼び出しの数と平均コストを決定することも選択できます。 このデプロイ後のデータを使用して、SSPR によって組織にもたらされる価値を示すことができます。
SSPR と Microsoft Entra multifactor での統合された登録
SSPR では、ユーザーは、Microsoft Entra 多要素認証に使用するのと同じ方法を使用して、セキュリティで保護された方法でパスワードをリセットすることができます。 統合された登録は、MFA と SSPR の両方の方法の登録を同時に有効にするエンド ユーザーのための 1 つの登録手順です。 機能とエンド ユーザー エクスペリエンスを確実に理解するには、「統合されたセキュリティ情報の登録の概要」を参照してください。
予定されている変更、登録要件、必要なユーザー操作について、ユーザーにあらかじめ通知することが重要です。 お客様のユーザーに新しいエクスペリエンスに向けて準備をさせ、ロールアウトの確実な成功を支援するために、通信テンプレートとユーザー ドキュメントが用意されています。 ユーザーを https://myprofile.microsoft.com に誘導し、そのページの [セキュリティ情報] リンクを選択して登録してもらいます。
デプロイ プロジェクトを計画する
お客様の環境でこのデプロイの戦略を決定するときは、お客様の組織のニーズを考慮してください。
適切な利害関係者とやり取り
テクノロジ プロジェクトが失敗した場合、その原因は通常、影響、結果、および責任に対する想定の不一致です。 これらの潜在的な危険を回避するには、適切な利害関係者を含めて、利害関係者およびそのプロジェクトでの入力と説明責任を文書化することで、プロジェクトでの利害関係者の役割をよく理解させます。
必要な管理者ロール
ビジネス ロール/ペルソナ | Microsoft Entra ロール (必要な場合) |
---|---|
レベル 1 ヘルプデスク | パスワード管理者 |
レベル 2 ヘルプデスク | ユーザー管理者 |
SSPR 管理者 | 認証管理者 |
パイロットを計画する
SSPR の初期構成はテスト環境で行うことをお勧めします。 組織内のユーザーのサブセットに対して SSPR を有効にすることで、パイロット グループから始めてください。 「パイロットのベスト プラクティス」を参照してください。
グループを作成するには、Microsoft Entra ID でグループを作成し、メンバーを追加する方法を参照してください。
構成を計画する
推奨値で SSPR を有効にするには、次の設定が必要です。
Area | 設定 | Value |
---|---|---|
SSPR のプロパティ | セルフサービス パスワード リセット が有効 | パイロットの場合は [選択済み] グループ/運用環境の場合は [すべて] |
認証方法 | Authentication methods required to register (登録に必要な認証方法) | リセットのため必要な数より常に 1 つ多い値 |
Authentication methods required to reset (リセットに必要な認証方法) | 1 つまたは 2 つ | |
登録 | サインイン時にユーザーに登録を求めますか | はい |
ユーザーが認証情報を再確認するように求められるまでの日数 | 90 – 180 日 | |
通知 | [パスワードのリセットについてユーザーに通知しますか] | はい |
他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか | はい | |
カスタマイズ | ヘルプデスク リンクのカスタマイズ | はい |
カスタム ヘルプデスクの電子メールまたは URL | サポート サイトまたはメール アドレス | |
オンプレミスの統合 | オンプレミスの AD へのパスワードの書き戻し | はい |
パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する | はい |
SSPR のプロパティ
SSPR を有効にする場合は、パイロット環境で適切なセキュリティ グループを選択します。
- すべてのユーザーに SSPR 登録を適用する場合は、 [すべて] オプションを使用することをお勧めします。
- それ以外の場合は、適切な Microsoft Entra ID または AD セキュリティ グループを選びます。
認証方法
SSPR が有効になっている場合、ユーザーが自分のパスワードをリセットできるのは、管理者が有効にしている認証方法にデータがある場合のみです。 方法には、電話、Authenticator アプリの通知、セキュリティの質問などがあります。 詳細については、「認証方法とは」を参照してください。
次の認証方法の設定が推奨されます。
[Authentication methods required to register](登録に必要な認証方法) を、リセットに必要な数より少なくとも 1 つ多い数に設定します。 複数の認証を許可すると、リセットが必要なときのユーザーの柔軟性が増します。
[リセットのために必要な方法の数] を、組織に適したレベルに設定します。 1 つでは最小限の手間が必要ですが、2 つではセキュリティ ポスチャが増す可能性があります。
ユーザーには、Microsoft Entra ID のパスワード ポリシーと制限に関する記事で構成されている認証方法が必要です。
登録設定
サインイン時にユーザーに登録を求めますか を [はい] に設定します。 この設定では、サインイン時にユーザーに登録を求めることで、すべてのユーザーが確実に保護されるようにします。
組織で短い期間が必要でない限り、 ユーザーが認証情報を再確認するように求められるまでの日数 を 90 から 180 日の範囲に設定します。
通知設定
パスワードのリセットについてユーザーに通知しますか と 他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか の両方を、 [はい] に设定します。 両方で [はい] を選択すると、パスワードがリセットされたことをユーザーが確実に認識できるため、セキュリティが向上します。 また、1 人の管理者がパスワードを変更した場合でも、すべての管理者が確実に認識できます。 ユーザーまたは管理者は、通知を受け取ったときに変更を開始していない場合は、すぐにセキュリティの問題の可能性を報告できます。
注意
SSPR サービスからのメール通知は、使用している Azure クラウドに基づいて、次のアドレスから送信されます。
- パブリック: msonlineservicesteam@microsoft.com
- 中国: msonlineservicesteam@oe.21vianet.com
- 政府機関: msonlineservicesteam@azureadnotifications.us
通知の受信で問題が発生した場合は、スパム設定を確認してください。
カスタマイズ設定
問題が発生したユーザーがすぐにヘルプを受けられるよう、ヘルプデスクのメールまたは URL をカスタマイズすることが重要です。 このオプションを、ユーザーがよく知っている一般的なヘルプデスクのメール アドレスまたは Web ページに設定します。
詳細については、セルフサービス パスワード リセットのための Microsoft Entra 機能のカスタマイズに関する記事を参照してください。
パスワードの書き戻し
パスワード ライトバックは、Microsoft Entra Connect で有効になっていて、クラウドでのパスワード リセットを既存のオンプレミスのディレクトリにリアルタイムで書き戻します。 詳しくは、「パスワード ライトバックとは」をご覧ください
次の設定が推奨されます。
- [オンプレミスの Active Directory へのパスワードの書き戻し] が [はい] に設定されていることを確認します。
- [パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する] を [はい] に設定します。
既定では、Microsoft Entra ID はパスワード リセットを実行するときにアカウントをロック解除します。
管理者パスワード設定
管理者のアカウントは、アクセス許可が引き上げられています。 オンプレミスのエンタープライズ管理者またはドメイン管理者は、SSPR で自分のパスワードをリセットできません。 オンプレミスの管理者アカウントには、次の制限があります。
- オンプレミス環境でのみ、自分のパスワードを変更できます。
- パスワードをリセットする方法として、秘密の質問と回答を使用できません。
オンプレミスの Active Directory 管理者アカウントは Microsoft Entra ID と同期させないことをお勧めします。
複数の ID 管理システムがある環境
環境によっては、複数の ID 管理システムが存在する場合があります。 Oracle IAM や SiteMinder などのオンプレミスの ID マネージャーでは、パスワードについて AD との同期が必要です。 これは、Microsoft Identity Manager (MIM) を使用したパスワード変更通知サービス (PCNS) のようなツールを使用することで実行できます。 このより複雑なシナリオについては、「ドメイン コントローラーに MIM パスワード変更通知サービスを展開する」をご覧ください。
テストとサポートを計画する
初期のパイロット グループから組織全体に至るまでのデプロイの各段階で、確実に期待どおりの結果が得られるようにします。
テストを計画する
デプロイが意図したとおりに動作することを確認するには、実装を検証にするテスト ケースのセットを計画します。 テスト ケースにアクセスするには、パスワードを持つ非管理者テスト ユーザーが必要です。 ユーザーを作成する必要がある場合は、Microsoft Entra ID への新しいユーザーの追加に関する記事を参照してください。
次の表では、ポリシーに基づいて組織で予想される結果を文書化するために使用できる有用なテスト シナリオを示します。
ビジネス ケース | 予想される結果 |
---|---|
企業ネットワーク内から SSPR ポータルにアクセスできる | 組織によって決定される |
企業ネットワーク外から SSPR ポータルにアクセスできる | 組織によって決定される |
ユーザーがパスワード リセットを有効にされていないときに、ブラウザーからユーザーのパスワードをリセットする | ユーザーはパスワード リセット フローにアクセスできない |
ユーザーがパスワード リセットに登録されていないときに、ブラウザーからユーザーのパスワードをリセットする | ユーザーはパスワード リセット フローにアクセスできない |
パスワード リセットの登録が強制されているときに、ユーザーがサインインする | ユーザーにセキュリティ情報を登録するよう求める |
パスワード リセットの登録が完了したら、ユーザーがサインインする | ユーザーにセキュリティ情報を登録するよう求める |
ユーザーがライセンスを持っていないときに、SSPR ポータルにアクセスできる | アクセスできる |
Windows 10 Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みデバイスのロック画面からユーザー パスワードをリセットする | ユーザーはパスワードをリセットできる |
SSPR の登録と使用状況のデータを、管理者がほぼリアルタイムで使用できる | 監査ログを介して利用できる |
Microsoft Entra のセルフサービス パスワード リセットのパイロット展開の完了に関する記事も参照してください。 このチュートリアルでは、SSPR を組織にパイロット展開できるようにし、管理者以外のアカウントを使用してテストします。
サポートを計画する
通常、SSPR ではユーザーの問題は発生しませんが、発生する可能性のある問題に対応できるようサポート スタッフを準備することが重要です。 お客様のサポート チームが成功できるように、ユーザーから受け取った質問に基づいて、FAQ を作成できます。 次に例をいくつか示します。
シナリオ | 説明 |
---|---|
ユーザーに使用可能な登録済み認証方法がない | ユーザーは、自分のパスワードをリセットしようとしていますが、使用可能な登録済みの認証方法がありません (例: 携帯電話が自宅にあり、メールにアクセスできない) |
ユーザーはオフィスまたは携帯電話でテキストまたは通話を受け取っていない | ユーザーは、テキストまたは通話により本人確認をしようとしていますが、テキスト/通話を受け取っていません。 |
ユーザーはパスワード リセット ポータルにアクセスできない | ユーザーは、パスワードのリセットを望んでいますが、パスワードのリセットが有効になっておらず、パスワード更新ページにアクセスできません。 |
ユーザーは新しいパスワードを設定できない | ユーザーは、パスワード リセット フローで検証を完了しましたが、新しいパスワードを設定できません。 |
ユーザーの Windows 10 デバイスに [パスワードのリセット] リンクが表示されない | ユーザーは、Windows 10 のロック画面からパスワードをリセットしようとしていますが、デバイスが Microsoft Entra ID に参加していないか、または Microsoft Intune のデバイス ポリシーが有効になっていません |
ロールバックを計画する
デプロイをロールバックするには、以下を行います。
1 人のユーザーの場合は、セキュリティ グループからユーザーを削除します
グループの場合は、SSPR 構成からグループを削除します
全員に対して、Microsoft Entra テナントの SSPR を無効にする
SSPR をデプロイする
デプロイの前に、次の操作を完了済みであることを確認します。
適切な構成設定を決定した。
パイロット環境と運用環境のユーザーとグループを特定した。
登録とセルフサービス用の構成設定を決定した。
ハイブリッド環境がある場合は、パスワード ライトバックを構成した。
これで、SSPR をデプロイする準備が整いました。
次の領域の構成の詳細な手順については、「セルフサービス パスワード リセットを有効にする」を参照してください。
Windows で SSPR を有効にする
Windows 7、8、8.1、および 10 を実行中のコンピューターでは、Windows のサインイン画面でユーザーが自分のパスワードをリセットできるように設定することができます
SSPR を管理する
Microsoft Entra ID では、監査とレポートによって SSPR のパフォーマンスに関する追加情報を提供できます。
パスワード管理アクティビティ レポート
Microsoft Entra 管理センター で事前構築済みのレポートを使用して、SSPR のパフォーマンスを測定できます。 適切にライセンスを付与されている場合は、カスタム クエリを作成することもできます。 詳細については、Microsoft Entra のパスワード管理に関するレポート オプションの記事を参照してください。
この機能を管理するには、全体管理者が必要です。
注意
このデータを組織用に収集するには、オプトインすることが必要です。 オプトインするには、Microsoft Entra 管理センター の レポート タブまたは監査ログに少なくとも 1 回アクセスする必要があります。 それまでは、ご自分の組織のデータは収集されません。
登録とパスワード リセットに関する監査ログは、30 日間利用できます。 企業内のセキュリティ監査をもっと長い期間保有する必要がある場合、ログをエクスポートし、Microsoft Sentinel、Splunk、ArcSight などの SIEM ツールに取り込む必要があります。
認証方法 - 使用状況と分析情報
使用状況と分析情報を使うと、Microsoft Entra 多要素認証や SSPR などの機能の認証方法が組織内でどのように機能しているかについて理解を深めることができます。 このレポート機能は、組織がどの方法で登録を行い、それらをどのように使用しているかを把握するための手段となるものです。
トラブルシューティング
「セルフサービスのパスワードのリセットのトラブルシューティング」を参照してください
「パスワード管理に関するよく寄せられる質問 (FAQ)」に従ってください
役に立つドキュメント
次のステップ
SSPR のデプロイを開始するには、Microsoft Entra のセルフサービス パスワード リセットを有効にするに関する記事を参照してください