Microsoft Entra のセルフサービス パスワード リセットを実装する
ヘルプデスクの呼び出しの多くは、ユーザーのパスワードをリセットする要求です。 Microsoft Entra セルフサービス パスワード リセット (SSPR) 機能を使用すると、ヘルプデスクをバイパスして独自のパスワードをリセットすることができます。
Microsoft Entra SSPR 機能について知っておくべきこと
SSPR 機能の次の特性と要件を確認します。
SSPR を使用するには、SSPR オプションを管理するためにグローバル管理者特権を持つ Microsoft Entra アカウントが必要です。 このアカウントでは、構成されるオプションに関係なく、いつでも自分のパスワードをリセットできます。
SSPR では、セキュリティ グループを使用して、SSPR 特権を持つユーザーを制限します。
組織内のユーザー アカウントのすべてに、SSPR を使用するための有効なライセンスが必要です。
SSPR を使用する際に考慮すべきこと
組織は、使用する管理ソリューションに SSPR のサポートを実装したいと考えています。 構成を計画する際は、次の点を確認してください。
パスワードをリセットできるユーザーを検討します。 この機能の使用を、組織内のどのユーザーに許可するかを決定します。 Azure portal には、SSPR 機能のオプションとして次の 3 つがあります: [なし]、[選択済み]、[すべて]。
[選択済み] オプションは、SSPR を有効に設定した特定のグループを作成する場合に便利です。 大きなグループに機能を適用する前に、テスト用または概念実証用のグループを作成できます。 ご利用の Microsoft Entra テナント内のすべてのユーザー アカウントに SSPR をデプロイする準備ができたら、設定を変更できます。
使用する認証方法を検討する. パスワードをリセットするために必要な認証方法の数を決定し、ユーザーに合わせて認証オプションを選択します。
ご利用のシステムでは、パスワードをリセットするための認証方法が少なくとも 1 つ必要です。
強力な SSPR プランでは、ユーザーに対して複数の認証方法が用意されます。 オプションには、電子メール通知、テキスト メッセージ、またはユーザーの携帯電話またはオフィス電話に送信されるセキュリティ コードが含まれます。 また、ユーザーにセキュリティに関する一連の質問を用意することもできます。
Microsoft Entra テナント内のユーザーに対してセキュリティの質問を登録するように要求できます。
パスワード リセットを成功させる上で、どれだけの数のセキュリティの質問に正解する必要があるかを構成することができます。
セキュリティを強化するために方法を組み合わせることを検討してください。 セキュリティの質問は、他の認証方法よりも安全性が低くなる可能性があります。 一部のユーザーが特定のユーザーの質問に対する回答を知っている場合もあれば、該当する質問は解決するのが容易である場合もあります。 セキュリティに関する質問をサポートする場合は、このオプションを他の認証方法と組み合わせてください。