はじめに
Azure AD の機能の 1 つであるセルフサービス パスワード リセット (SSPR) は文字通り管理者だけではなく、ユーザー自身がパスワードをリセットし、新しいパスワードを設定できるようになる機能のことです。
セルフサービス パスワード (以降 SSPR と表記します)を 導入するメリットとしては、以下のような理由が挙げられます。
SSPR を導入する理由
-
コストの削減
ヘルプデスクの支援によるパスワードのリセットは、通常、IT 組織のサポート コール 20% を占めています。 -
エンド ユーザー エクスペリエンスの向上とヘルプ デスクの量の削減
エンドユーザーに、自分自身のパスワードに関する問題を解決する権限を与えることで実現します。
ヘルプ デスクを呼び出したり、サポート リクエストを送ったりする必要はありません。 -
モビリティの推進
ユーザーはどこからでも自分のパスワードをリセットできます。 -
制御を維持
セキュリティ ポリシーの制御は維持されます。 管理者は現行のポリシーを引き続き強制できます。
また、SSPR はクラウド ユーザーだけではなく、オンプレミス AD から Azure AD Connect を利用して同期したユーザーに対しても設定することができます。
ただし、その場合 Azure AD Connect 上で「パスワード ライトバック」を有効にする必要があります。
SSPR は Azure AD 上で有効にする機能のため、パスワード ライトバックを有効にしない場合、Azure AD 上のクラウド ユーザーに対してのみ有効になります。
パスワード ライトバックを有効にすることで、クラウド側でのパスワードの変更内容をオンプレミスの AD に対してリアルタイムに**書き戻せる(ライトバック)**ようになります。
このパスワード ライトバックを有効にするためには、当該の機能を使うユーザーに対して Azure AD Premium P1 以上のライセンスが必要になります。
必要な要件や、細かいパスワード ライトバックの動作については、下記 Microsoft の公開情報に記載されていますので参考にしてみてください。
-参考情報
パスワード ライトバックとは
URL:https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/concept-sspr-writeback
やってみる
パスワード ライトバックの機能を有効化するためには、Azure AD Connect を利用して行います。
パスワード ライトバックが有効になっていない場合、Azure ポータルの「パスワード リセット」→「オンプレミスの統合」の順に選択すると、下記画面ショットのように、オンプレミスの統合が有効になっていない旨の画面が表示されます。
Azure AD Connect を起動し、「構成」をクリックします。
同期オプションのカスタマイズを選択し、「次へ」をクリックします。
設定対象の Azure AD テナントのグローバル管理者の資格情報を入力し、「次へ」をクリックします。
ディレクトリの接続画面で構成済みディレクトリの値が Azure AD のカスタム ドメイン名を一致することを確認し、「次へ」をクリックします。
ドメインと OU のフィルタリング画面ではそのまま「次へ」をクリックします。
オプション機能の画面で「パスワードの書き戻し」にチェックをいれて「次へ」をクリックします。
構成の準備完了画面にて、「構成」をクリックします。
構成が完了たことを確認、「終了」をクリックします。
Azure AD Connect 上での構成完了後に、再度 Azure ポータルの「パスワード リセット」→「オンプレミスの統合」の順にクリックすると、下記画面ショットのように、パスワード ライトバックが有効になっていることが確認できます。
次に同設定画面上の「プロパティ」をクリックします。
今回は「すべて」を選択して、Azure AD 上の全ユーザーに対して SSPR を有効化します。
「保存」ボタンをクリックして、設定を保存します。
設定が保存されたことを確認します。
次に「認証方法」をクリックします。
「リセットのために必要な方法の数」というのは SSPR を完了させるために必要な手段を「1個」にするか「2個」にするかを選択できます。
今回は「モバイル アプリコード」と「秘密の質問」を選択しています。
そのほかの構成方法については、下記 Microsoft の公開情報に詳しく書かれています。
SSPR のプロパティの推奨事項
URL:https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/howto-sspr-deployment#sspr-properties-recommendations
秘密の質問は、最低でも 3 個登録必要があるので、「秘密の質問の選択」をクリックし、実際にユーザーに設定させる質問の内容を選択します。
事前定義された秘密の質問の内容を見ると、ミドルネームが必要だったり、かなり偏った内容が散見されます。
この場合は、「カスタム」をクリックすることで、オリジナルの質問内容を作成することができます。
以下はあくまで「例」なので質問内容については全く参考にする必要はありませんが、下記のようにオリジナルの質問を作成できます。
チェックを入れて、「OK」をクリックします。
3 つの質問が選択されたことを確認し、画面上部の「保存」をクリックします。
ポリシーが保存されたことを確認します。
では、実際に Azure AD 同期済みユーザーで Office 365 にサインインしてみます。
ユーザー名を入力し、「次へ」をクリックします。
パスワードを入力し、「サインイン」をクリックします。
詳細情報が必要を表示されるので、「次へ」をクリックします。
下記画面が表示されます。この画面で、「今すぐセットアップ」のリンクをクリックし、セキュリティの質問を登録していきます。
選択できるセキュリティの質問は、Azure ポータルで設定したカスタム セキュリティの質問をプルダウンメニューから選択できることを確認します。
各質問を入力し、「回答の保存」をクリックします。
セキュリティの質問が構成されたことを確認し、「完了」をクリックします。
一度 Office 365 からサインアウトし、再度サインインします。
そしてこの画面で「パスワードを忘れた場合」をクリックします。
パスワード リセットの画面に遷移するので、表示される文字列を入力 (Bot ではないことを証明)し、「次へ」をクリックします。
セキュリティの質問に回答する画面にて、自分自身が設定した答えを入力していきます。
ちなみに、以下の答えは一か所だけ敢えて間違えています、この場合どう動作するのか確認してみます。
1つ以上の回答が正しくありません。とちゃんと怒られましたね。
正しい答えを入力し、「次へ」をクリックします。
新しいパスワードを入力し、「完了」をクリックします。
パスワードがリセットされました。「ここをクリック」をクリックします。
設定した新しいパスワードを入力し、「サインイン」をクリックします。
めでたく新しいパスワードで Office 365 にサインインできました。
おわりに
今回はオンプレミス AD の同期済みユーザーがパスワードを忘れてしまった時などに自分自身でパスワードをリセットし、新しいパスワードを設定するために必要なセルフサービス パスワード リセット (SSPR) の設定方法をご案内しました。
上記で触れているとおり、ヘルプデスクなどの IT 管理部門は各社員からのこのようなリクエスト対応にかなりの労力を割いているというのが現実です。
この作業を社員自身で行えることにすることで、管理部門の負担を軽減することもできますし、ユーザー側からすると、ヘルプデスクに依頼する手間も省くことができるので、お互いにってメリットのある機能になります。
また、設定自体もお見せしたように比較的簡単に設定できますので、ぜひ検討してみてはいかがでしょうか。
今回の記事が少しでも参考になれば幸いです。