セルフサービスパスワードリセット(SSPR)とは
Entra IDの機能の一つでユーザ自身がパスワードをリセットしてパスワードを再設定することが可能になります。
ユーザがパスワードを紛失したとしてもリセット作業を管理者を通さないため、管理者の運用負担が軽減されます。
参考
この機能を使うにはパスワードリセット時に使う認証方法(MFA、SMS等)を登録する必要があります。
利用条件
パスワード変更機能以外のSSPRを使うユーザはMicrosoft Entra ID P1、またはP2ライセンスが割り当たっている必要があります。
本記事ではパスワードを紛失し、ユーザ自身がリセットして再設定出来るものについて記載していきます。
エディションによる機能の違い
SSPRの有効化
設定作業はMicrosoft Entra 管理センターで行います。
SSPRを有効とする対象を以下のどちらかで指定します。
- グループ
- 全ユーザ
グループの指定は1つのみです。
認証方法の有効化
パスワードリセット時に使用する認証方法を有効化しておく必要があります。
SSPRで利用出来る認証方法は以下です。
- Microsoft Authenticatorの通知、またはコード
- ハードウェア OATH トークン
- ソフトウェア OATH トークン
- メール OTP
- 音声通話
- SMS
- 秘密の質問
認証方法ポリシー画面で有効化します。
パスワードリセットに必要な認証方法の保持数
有効化した認証方法をユーザは保持する(登録しておく)必要があります。
その個数を1か2で設定します。
サインイン時に認証方法を要求する
パスワードリセットの認証方法の登録をサインイン時にユーザへ要求することができます。
ただし、条件によりサインイン時に要求されないことがあります。
検証したところ以下のような挙動となりました。
初回ログイン時にMFA登録が必須のため、初回ログイン済みのNo3-4は認証方法が1つ登録されている状態となります。
| 初回ログイン | リセットに必要な数を1→2に変更 | サインイン時に要求 | |
|---|---|---|---|
| 1 | ○ | ○ | ○ |
| 2 | ○ | × | ○ |
| 3 | × | ○ | × |
| 4 | × | × | ○ |
既ログイン済みの場合、サインイン時に登録の要求をされないことがありました。
サインイン時以外で認証方法を登録する。
サインイン時の登録が出来ない場合は、管理者、またはユーザ自身が認証方法を追加することが可能です。
管理者
対象のユーザの認証方法で「認証方法の追加」で追加します。
ユーザ自身
MSアカウントのマイページにて「サインイン方法の追加」で追加します。
パスワードリセット
パスワードリセットはこのような感じです。
