セルフサービス パスワード リセット のデプロイ オプション
重要
2022 年 9 月、Microsoft は Azure Multi-Factor Authentication Server の廃止を発表しました。 2024 年 9 月 30 日より、Azure Multi-Factor Authentication Server のデプロイでは、多要素認証 (MFA) 要求がサービスされなくなります。 Azure Multi-Factor Authentication Server のお客様は、MIM SSPR を使用するカスタム MFA プロバイダーを使用するか、MIM SSPR ではなく SSPR をMicrosoft Entraに移行することを計画する必要があります。
Microsoft Entra ID P1 または P2 のライセンスを取得している新規のお客様の場合は、セルフサービス パスワード リセットMicrosoft Entra使用してエンド ユーザー エクスペリエンスを提供することをお勧めします。 Microsoft Entraセルフサービス パスワード リセットは、ユーザーが自分のパスワードをリセットするための Web ベースと Windows 統合の両方のエクスペリエンスを提供し、代替メールや Q&A ゲートなど、MIM と同じ機能の多くをサポートします。 セルフサービス パスワード リセットMicrosoft Entra展開する場合は、新しいパスワードを AD DS に書き戻すように Microsoft Entra Connect を構成できます。また、MIM パスワード変更通知サービスを使用して、別のベンダーのディレクトリ サーバーなどの他のシステムにパスワードを転送できます。 パスワード管理に MIM をデプロイする場合は、MIM サービス、MIM セルフサービス パスワード リセット または登録ポータルがデプロイされている必要はありません。 代わりに、次の手順に従います。
- まず、Microsoft Entra ID と AD DS 以外のディレクトリにパスワードを送信する必要がある場合は、コネクタを使用して MIM Sync をActive Directory Domain Servicesおよびその他のターゲット システムに展開し、パスワード管理用に MIM を構成し、パスワード変更通知サービスを展開します。
- 次に、Microsoft Entra ID 以外のディレクトリにパスワードを送信する必要がある場合は、新しいパスワードを AD DS に書き戻すMicrosoft Entra Connect を構成します。
- オプションで、ユーザーを事前登録します。
- 最後に、セルフサービス パスワード リセットMicrosoft Entraエンド ユーザーにロールアウトします。
以前にセルフサービス パスワード リセット用に Forefront Identity Manager (FIM) をデプロイし、Microsoft Entra ID P1 または P2 のライセンスを取得している既存のお客様の場合は、セルフサービス パスワード リセットMicrosoft Entraへの移行を計画することをお勧めします。 エンド ユーザーは、ユーザーの代替メール アドレスまたは携帯電話番号を PowerShell で同期または設定することで、再登録することなく、セルフサービス パスワード リセットをMicrosoft Entraに切り替えることができます。 ユーザーがセルフサービス パスワード リセットMicrosoft Entra登録されると、FIM パスワード リセット ポータルを使用停止にすることができます。
ユーザーのセルフサービス パスワード リセットMicrosoft Entraまだデプロイしていないお客様の場合、MIM にはセルフサービス パスワード リセット ポータルも用意されています。 FIM と比較し、MIM 2016 には次の変更が含まれています。
MIM Self-Service パスワード リセット ポータルと Windows ログイン画面を使用すると、ユーザーはパスワードを変更せずにアカウントのロックを解除できます。
MIM に、新しい認証ゲートとして電話ゲートが追加されました。 これにより、Microsoft Entra多要素認証サービスを介した電話によるユーザー認証が可能になります。
MIM 2016 リリースは、バージョン 4.5.26.0 まで構築されており、非推奨となった SDK をダウンロードするためにお客様に依存していました。既存のデプロイは、カスタム MFA プロバイダーで MIM SSPR を使用するか、セルフサービス パスワード リセットをMicrosoft Entraに移行する必要があります。 新しいデプロイでは、カスタム MFA プロバイダーまたはセルフサービス パスワード リセットMicrosoft Entra使用する必要があります。
多要素認証用のカスタム プロバイダーを使用して MIM Self-Service パスワード リセット ポータルをデプロイする
次のセクションでは、多要素認証にプロバイダーを使用して MIM セルフサービス パスワード リセット ポータルを展開する方法について説明します。 これらの手順は、ユーザーに対してセルフサービス パスワード リセットMicrosoft Entra使用していないお客様にのみ必要です。
MFA を使用すると、ユーザーは、アカウントとリソースへのアクセスを回復しようとしているときに ID を確認するために、外部プロバイダーを介して認証されます。 認証には、SMS または電話を使用できます。 認証の強度が高いほど、アクセスしようとしているユーザーが実際に ID を所有しているユーザーである信頼度が高くなります。 認証されると、ユーザーは古いパスワードを新しいパスワードに変更できます。
MFA を使用してセルフサービス アカウント ロック解除およびパスワード リセットを設定する前提条件
このセクションでは、以下のコンポーネントとサービスを含む、Microsoft Identity Manager 2016 の MIM Sync、MIM サービスおよび MIM ポータル コンポーネント をユーザーがダウンロードして展開してあるものとします。
Windows Server 2008 R2 以降を指定されたドメイン (「企業」ドメイン) の AD ドメイン サービスおよびドメイン コント ローラーを含む Active Directory サーバーとして設定してあります。
アカウント ロックアウトのグループ ポリシーが定義されています。
MIM 2016 同期サービス (Sync) が、AD ドメインに参加しているサーバーにインストールされて実行しています。
MIM 2016 Service & ポータル (SSPR 登録ポータルと SSPR リセット ポータルを含む) がサーバーにインストールされ、実行されている (同期と併置される可能性がある)
MIM Sync が次のように AD-MIM ID 同期用に構成されています。
Active Directory 管理エージェント (ADMA) で、AD DS への接続、および Active Directory との間で ID データをインポートおよびエクスポートする機能を構成します。
MIM 管理エージェント (MIM MA) で、FIM サービス DB への接続、および FIM データベースとの間で ID データをインポートおよびエクスポートする機能を構成します。
ユーザー データの同期を許可し、MIM サービスの同期ベースのアクティビティを容易にするように、MIM ポータルの同期ルールを構成します。
MIM 2016 アドイン & SSPR Windows ログイン統合クライアントを含む拡張機能は、サーバーまたは別のクライアント コンピューターに展開されます。
多要素認証Microsoft Entra使用している場合、このシナリオでは、ユーザーの MIM CAL と、Microsoft Entra多要素認証のサブスクリプションが必要です。
MFA を使用するための MIM の準備
パスワード リセットおよびアカウント ロック解除機能をサポートするように MIM Sync を構成します。 詳細については、「FIM のアドインと拡張機能のインストール」、「FIM SSPR のインストール」、「SSPR 認証ゲート」、「SSPR テスト ラボ ガイド」を参照してください。
電話ゲートまたはワンタイム パスワード SMS ゲートの構成
インターネット エクスプローラーを起動し、MIM ポータルに移動して MIM 管理者として認証し、左側のナビゲーション バーの [ワークフロー] をクリックします。
[パスワード リセット AuthN ワークフロー] をオンにします。
[アクティビティ] タブをクリックし、[アクティビティの追加] まで下にスクロールします。
[ 電話ゲート ] または [ ワンタイム パスワード SMS ゲート ] を選択し、[ 選択 ] をクリックし、[ OK] をクリックします。
Note
ワンタイム パスワード自体を生成する別のプロバイダーを使用する場合は、上記で構成した長さフィールドが MFA プロバイダーによって生成されたものと同じ長さであることを確認します。 Azure Multi-Factor Authentication Server の場合、この長さは 6 である必要があります。 Azure Multi-Factor Authentication Server では独自のメッセージ テキストも生成されるため、SMS テキスト メッセージは無視されます。
組織のユーザーが、パスワードのリセットに登録できるようになります。 このプロセスの間に、ユーザーは、システムがユーザーに電話する (または SMS メッセージを送信する) 方法がわかるように、会社の電話番号または携帯電話番号を入力します。
パスワード リセットにユーザーを登録する
ユーザーは Web ブラウザーを起動して MIM パスワード リセット登録ポータルに移動します。 (通常、このポータルには Windows 認証が構成されています)。 ポータル内で、ユーザーは再びユーザー名とパスワードを入力して身元の確認を行います。
ユーザーは、パスワード登録ポータルに入り、ユーザー名とパスワードを使用して認証する必要があります。
[ 電話番号 ] または [ 携帯電話 ] フィールドに国番号、スペース、電話番号を入力し、[ 次へ] をクリックする必要があります。
ユーザーに対する動作方法
すべての構成が済んで動作したので、次に、ユーザーがパスワードを忘れたときのリセット方法を説明します。
ユーザーがパスワード リセットおよびアカウント ロック解除機能を使用する方法は、Windows サインイン画面またはセルフサービス ポータルの 2 種類です。
組織のネットワーク経由で MIM サービスに接続されていて、ドメインに参加しているコンピューターに MIM アドインと拡張機能をインストールすることにより、ユーザーはデスクトップ ログイン操作でパスワードを忘れても回復できます。 手順は以下のとおりです。
Windows デスクトップ ログインに統合されたパスワード リセット
ユーザーが間違ったパスワードを複数回入力した場合、サインイン画面で [ 問題のログイン] をクリックするオプションが表示されます。
このリンクをクリックすると MIM パスワード リセット画面に移動し、そこでパスワードを変更するか、自分のアカウントのロックを解除できます。
ユーザーは認証に送られます。 MFA が構成されている場合、ユーザーは電話で呼び出されます。
バックグラウンドでは、MFA プロバイダーは、そのユーザーがサービスにサインアップしたときにユーザーが指定した番号に電話をかけるということです。
ユーザーが電話に応答すると、電話のポンド キー # を押すなどの操作を求められる場合があります。 ユーザーは次にポータルの [次へ] をクリックします。
他のゲートも設定されている場合、ユーザーは後続の画面で詳細情報を提供するように求められます。
注意
ユーザーが待ちきれずに # キーを押す前に [次へ] をクリックすると、認証は失敗します。
認証が成功した後、ユーザーには 2 つのオプションがあり、アカウントのロックを解除して現在のパスワードのままにするか、新しいパスワードを設定します。
ユーザーは新しいパスワードを 2 回入力する必要があります。2 回入力すると、パスワードがリセットされます。
セルフサービス ポータルからのアクセス
ユーザーは Web ブラウザーを開いてパスワード リセット ポータルに移動し、ユーザー名を入力して、[次へ] をクリックします。
MFA が構成されている場合、ユーザーは電話で呼び出されます。 バックグラウンドでは、多要素認証Microsoft Entra、ユーザーがサービスにサインアップしたときにユーザーが指定した番号に電話をかけるということです。
ユーザーが電話に出ると、電話の # キーを押すように求められます。 ユーザーは次にポータルの [次へ] をクリックします。
他のゲートも設定されている場合、ユーザーは後続の画面で詳細情報を提供するように求められます。
Note
ユーザーが待ちきれずに # キーを押す前に [次へ] をクリックすると、認証は失敗します。
ユーザーは、パスワードをリセットするか、アカウントのロックを解除するかを選択する必要があります。 アカウントのロックを解除すると、アカウントのロックが解除されます。
認証が成功すると、ユーザーには、現在のパスワードを保持するか、新しいパスワードを設定するための 2 つのオプションが与えられます。
ユーザーがパスワードのリセットを選択した場合、新しいパスワードを 2 回入力して [次へ] をクリックするとパスワードが変更されます。