演習 - セルフサービスパスワードリセットを構成してデプロイする - Training

15 分

Azure Active Directory (Azure AD) のセルフサービスパスワードリセット (SSPR) により、ユーザーは、管理者やヘルプデスクが関与することなく、自分のパスワードを変更またはリセットできるようになります。ユーザーはアカウントがロックされた場合やパスワードを忘れた場合でも、画面の指示に従って自分自身のブロックを解除して、作業に戻ることができます。この機能により、ユーザーが自分のデバイスやアプリケーションにサインインできなくなった場合のヘルプデスクの問い合わせが減り、生産性の喪失も軽減されます。

セルフサービスパスワードリセットの利点

セルフサービスパスワードリセットを有効にすると、ユーザーと組織に数多くの利点をもたらします。

ユーザーが自分でパスワードをリセットできる - 生産性が低下しない
管理者や IT の介入が不要 - IT はより大きな問題に注力できる

ライセンスの要件:

クラウドベースのアカウント - ユーザーがセルフサービスパスワードリセットに登録されている必要があり、かつ Azure AD Premium P1 または P2 のライセンス、あるいは Microsoft 365 Business Standard ライセンスが必要です。
オンプレミスのアカウント - ユーザーがセルフサービスパスワードリセットに登録されている必要があり、かつ Azure AD Premium P1 または P2 のライセンス、あるいは Microsoft 365 Business Premium ライセンスが必要です。

セルフサービスパスワードリセットを有効にする

Azure AD のセルフサービスパスワードリセットを構成するダイアログのスクリーンショット。SSPR Test Group というユーザーグループに対して SSPR 機能が有効に設定されています。

セルフサービスパスワードリセットを有効にする基本的な手順：

"グローバル管理者" のアクセス許可を持つアカウントを使用して、Azure portal にサインインします。
Azure Active Directory を検索して選択し、左側のメニューから [パスワードリセット] を選択します。
[プロパティ] ページで、[パスワードリセットのセルフサービス] オプションの下にある [グループの選択] を選びます
自分の Azure AD グループ (SSPR-Test-Group など) を参照して選択し、 [選択] を選択します。
選択したグループの SSPR を有効にするには、[保存] を選択します。

新しいユーザーの追加

セキュリティグループに追加するユーザーアカウントを作成します。

作成した Azure AD 組織の [管理] で、[ユーザー]、[新しいユーザー] の順に選択します。
これで [ユーザー] ペインが表示されます。次の値を入力します。
- ユーザー名: MonicaT
- 名前: Monica Thompson
[パスワードの表示] を選択し、それを後で参照できる場所にコピーします。
［作成］ を選択します

グループを作成する

最初に SSPR を限定的なユーザーセットにロールアウトして、SSPR の構成が期待どおりに動作することを確認します。限定されたロールアウト用のセキュリティグループを作成し、グループにユーザーを追加してみましょう。

全体管理者アカウントを使用して Azure portal にサインインします。
ポータルメニューを開き、[Azure Active Directory] を選択します。
[Azure Active Directory] 画面で、[管理] の下にある [+ 新しいグループ] を選択します。

次の情報を使用して、新しいグループを作成します。

設定	Value
グループの種類	セキュリティ
グループ名	SSPRTesters
グループの説明	SSPR のロールアウトのテスター
メンバーシップの種類	割り当て済み
メンバー	Monica Thompson

[作成] を選択します。

セルフサービスパスワードリセットを有効にする

グループで SSPR を有効にします。

[Azure Active Directory] 画面に戻ります。
[管理] で [パスワードリセット] を選択します。

重要

[パスワードリセット] ページに [無料の Premium 評価版を入手して、この機能を使用します] というメッセージがまだ表示される場合は、数分待ってからページを更新します。
[パスワードリセット] ダイアログの [プロパティ] ページで、[パスワードリセットのセルフサービスが有効] の下にある [選択済み] を選択します。
[グループの選択] を選択します。
[既定のパスワードリセットポリシー] ペインで、SSPRTesters グループを選択します。
[パスワードリセット] ダイアログの [プロパティ] ページで、[保存] を選択します。
[管理] で、[認証方法]、[登録]、[通知]、[カスタマイズ] の各設定の既定値を選択して確認します。

セルフサービスパスワードリセットを登録する

SSPR の構成が完了したので、作成したユーザーの携帯電話番号を登録します。

別のブラウザーを開くか、InPrivate または Incognito ブラウザーセッションを開いて、https://aka.ms/ssprsetup に移動します。これは、ユーザー認証を求めるメッセージが表示されるようにするためです。
先ほどメモしたパスワードで MonicaT@organization-domain-name.onmicrosoft.com としてサインインします。 organization-domain-name は実際のドメイン名に置き換えます。
パスワードを更新するように求められたら、任意の新しいパスワードを入力します。新しいパスワードを必ず記録しておいてください。
[詳細情報が必要] ダイアログボックスで、[次へ] を選択します。
[アカウントのセキュリティ保護] ページで、[電話] オプションを使用するか、[別の方法を設定します] リンクを選択します。
この例では、[電話] オプションを使用します。携帯電話の詳細を入力します。
[コードを SMS 送信する] を選択します。
携帯電話でコードを受け取ったら、テキストボックスにコードを入力し、[次へ] を選択します。
電話が登録されたら、[次へ] を選択し、[完了] を選択します。
ブラウザーを閉じます。サインインプロセスを完了する必要はありません。

セルフサービスパスワードリセットをテストする

次に、ユーザーが自分のパスワードをリセットできるかどうかをテストしてみましょう。

別のブラウザーを開くか、InPrivate または Incognito ブラウザーセッションを開いて、https://aka.ms/sspr に移動します。これは、ユーザー認証を求めるメッセージが表示されるようにするためです。
[メール、電話、または Skype] ボックスに MonicaT@organization-domain-name.onmicrosoft.com と入力し、[次へ] を選びます。 organization-domain-name は実際のドメイン名に置き換えます。
[パスワードの入力] ページで、[パスワードを忘れた場合] を選択します。
[アカウントの復元] ページで、要求された情報を入力し、[次へ] を選択します。
[確認ステップ 1] タスクで、[携帯電話に SMS 送信] または [携帯電話に発信] を選択し、電話番号を入力して、[テキスト] を選択します。
確認コードを入力し、[次へ] を選択します。
[新しいパスワードの選択] ステップで、パスワードを入力し新しいパスワードを確認します。
完了したら、[完了] を選択します。
作成した新しいパスワードを使い、Monica としてサインインします。
確認コードを入力し、サインインプロセスを完了できることを確認します。
完了したら、ブラウザーを閉じます。