本記事は Microsoft Learn の「ユーザーが Microsoft Entra のセルフサービス パスワード リセットを使用してパスワードをリセットできるようにする」というモジュールをまとめたものである。
Microsoft Entra ID のセルフサービスパスワードリセットとは
SSPR を使用する理由
Microsoft Entra ID では、サインイン中のユーザーは自分でパスワードを変更可能。サインインしていない場合やパスワードが期限切れの場合は、自己サービスパスワードリセット(SSPR) を使って、ユーザー自身がパスワードをリセットできる。
SSPR のメリット:
- ヘルプデスクを呼ばずに自力でパスワード問題を解決できる
- 管理者の負担を軽減
- パスワード忘れや期限切れによる生産性低下を最小化
- Azure、Microsoft 365 などのアプリにも即時アクセス可能
SSPR の仕組み
ユーザーはパスワード リセット ポータルに直接アクセスするか、サインインページの「アカウントにアクセスできない」リンクからリセットを開始できる。リセット手順は次の通り。
- ローカライズ: ブラウザーのロケールに合わせてSSPRページが表示される
- 検証: ユーザー名入力とCAPTCHAで人間であることを確認
- 認証: コード入力やセキュリティ質問で本人確認
- パスワードのリセット: 認証に成功すると新しいパスワードを設定可能
- 通知: リセット完了メッセージがユーザーに送信される
パスワードリセットの認証を行う
パスワードリセットを許可する前に、必ずユーザーの本人確認を行う必要がある。悪意あるユーザーが他人を偽装してシステムにアクセスするリスクがあるため。Azure では、リセット要求を認証するために 6種類の方法 がサポートされている。管理者は少なくとも 2つ以上の方法を有効化する必要がある。主要な方法は以下の通り。
-
モバイルアプリの通知
Microsoft Authenticator アプリをモバイルにインストールし登録。Azure から送信される通知で承認または拒否 -
モバイルアプリコード
同じく Authenticator アプリを使用。アプリに表示されるコードを入力して認証 -
Email
外部メールアドレスを登録。Azure から送信されるコードを入力して認証 -
携帯電話
携帯番号を登録。SMS で送信されたコードを入力、または自動呼び出しで承認 -
会社電話
固定電話番号を登録。自動呼び出しで承認し、#キーを押して確認 -
セキュリティの質問
事前に設定した質問に回答して本人確認
推奨設定
-
2つ以上の認証方法を有効化
ユーザーが安全にパスワードをリセットできるよう、最低2つの方法を必ず有効にする -
主要な方法としてモバイルアプリを利用
モバイルアプリの通知またはコードを優先。モバイルデバイスを持たないユーザーには、メールまたは会社電話も併用 -
携帯電話は推奨しない
不正な SMS 送信のリスクがあるため、可能であれば使用を避ける -
セキュリティの質問は補助的に使用
回答が他人に知られる可能性があるため最も推奨されない。必ず他の認証方法と組み合わせて使用する
ライセンスの要件
Microsoft Entra ID には Premium P1 と P2 のエディションがあり、利用できるパスワードリセット機能が異なる。
- サインイン済みユーザーは、エディションに関係なく自分のパスワードを変更可能
- サインインしていない場合(パスワード忘れや期限切れ)は、SSPR(セルフサービスパスワードリセット)が利用可能。対象は Entra ID P1/P2 または Microsoft 365 Apps for business
- ハイブリッド環境では、クラウドで変更したパスワードをオンプレミスの Active Directory に書き戻す機能があり、これも Entra ID P1/P2 または Microsoft 365 Apps for business でサポート
Microsoft Entra のセルフサービスパスワードリセットを実装する
記事で十分わかる内容のため省略
セルフサービスパスワードリセットを設定する
記事で十分わかる内容のため省略