Microsoft Entra ID でセルフサービス パスワード リセットを管理する
オンプレミスの AD DS のみを使用する場合、ユーザーは自分で忘れたパスワードをリセットすることはできません。 Windows Server の AD DS は、セルフサービスのパスワード リセットをネイティブにサポートしていません。
Microsoft Entra ID は、オプションでセルフサービス パスワード リセット機能を提供します。 Microsoft Entra ID P1 または P2 ライセンスを使用する場合は、セルフサービス パスワード リセットとパスワード ライトバック機能を使用するときに、この機能をローカル AD DS に拡張できます。 これを行うと、Microsoft Entra ID でユーザーがリセットしたパスワードが、オンプレミスの AD DS に書き戻されます。 つまり、ユーザーはクラウド環境またはオンプレミス環境の両方で自分のパスワードを変更できることになります。
ユーザーがセルフサービスのパスワード リセットを使用し始める前に、ディレクトリ テナント管理ウィンドウで [パスワードのリセット] 項目を選択して、Azure ポータルでこの機能を有効にする必要があります。 まず、この機能をすべてのユーザーに対して有効にするか、選択したユーザー グループに対して有効にするかを決定する必要があります。 パイロット フェーズでは、パスワードのリセットを少数のユーザー グループに制限することをお勧めします。
セルフサービスのパスワード リセット機能では、パスワードを忘れたユーザーに対して別の認証方法を定義する必要があります。 Microsoft Entra ID でサポートされる代替認証方法は次のとおりです。
- 勤務先電話番号
- 携帯電話
- 連絡用メール アドレス
- セキュリティの質問
ユーザーが定義する必要があるメソッドの数を選択して、パスワードをリセットできるようにします。 電話および代替メール オプションの場合、ユーザーにはパスワードをリセットする前の認証方法として使用できるセキュリティ PIN が電話または電子メール メッセージで提供されます。 セキュリティの質問を使用する場合は、各ユーザーに必要な質問の数を定義する必要があります。また、質問プールも事前に定義する必要があります。
少なくとも 10 から 15 の質問を利用できるようにし、各ユーザーがパスワードのリセット機能に少なくとも 4 つの質問を登録しなければならないようにすることをお勧めします。 定義済みの質問プールが気に入らない場合は、ローカル言語で独自の質問を定義することもできます。
認証方法の要件を絞り込む場合は、セルフサービスのパスワード リセット機能の展開と使用方法のオプションを構成する必要があります。 すべてのユーザーに次回サインインする場合の代替認証方法の登録を要求し、認証方法を少なくとも年に 2 回確認することをお勧めします。 これにより、各ユーザーは代替方法の一部を使用して ID を確認できるようになります。 また、ディレクトリ同期を実装している場合は、パスワードの書き戻し機能を有効にし、Azure でセルフサービスのパスワード リセットを使用してユーザーがリセットしたパスワードを AD DS に同期できるようにすることを検討してください。
ユーザーは、 にある Microsoft Entra アプリケーション ポータルを使用して、セルフサービス パスワード リセット機能に https://myapps.microsoft.com登録できます。 また、このポータルを使用するとパスワードを変更したり、認証電話や代替電子メール アドレスなどの ID を確認する代替方法を設定したりすることもできるようになります。 ユーザーが Microsoft 365 などのクラウドベースのリソースにアクセスするときにパスワードを忘れた場合は、アカウントにアクセスできない リンクを選択して、パスワードをリセットする別の方法を使用し始める必要があります。