Microsoft Entra のセルフサービス パスワード リセットのユーザー エクスペリエンスをカスタマイズする

  • [アーティクル]

セルフサービス パスワード リセット (SSPR) を使用すると、管理者やヘルプ デスクが関与することなく、Microsoft Entra ID のユーザーが自分でパスワードを変更したり、リセットしたりできます。 ユーザーはアカウントがロックされた場合やパスワードを忘れた場合でも、画面の指示に従って自分自身のブロックを解除して、作業に戻ることができます。 ユーザーがデバイスやアプリケーションにログインできないとき、この機能はヘルプデスクへの問い合わせや生産性の損失を減少させます。

ユーザーに対する SSPR のエクスペリエンスを向上させるには、パスワード リセット ページ、メール通知、またはサインイン ページのルック アンド フィールをカスタマイズできます。 これらのカスタマイズ オプションを使用することで、ユーザーが正しい場所にいることを明確に示し、会社のリソースにアクセスしていることをユーザーに確信させることができます。

この記事では、ユーザーに対する SSPR の電子メール リンク、会社のブランド、AD FS サインイン ページのリンクをカスタマイズする方法について説明します。

セルフサービス パスワード リセットについてユーザーが支援を受けられるよう、パスワード リセット ポータルには [管理者に問い合わせてください] というリンクが表示されます。 ユーザーがこのリンクを選択すると、次の 2 つのいずれかが実行されます。

  • この連絡先リンクが既定の状態のままになっている場合は、メールが管理者に送信され、ユーザーのパスワードの変更についての支援が求められます。 次の電子メールの例では、この既定の電子メール メッセージが示されています。

    管理者に送信されるリセット依頼メールのサンプル

  • カスタマイズした場合は、ユーザーを Web ページに送信するか、管理者が指定したアドレスにメールを送信してサポートを受けられるようにします。

    • これをカスタマイズする場合は、ユーザーが既にサポートで慣れているものに設定することをお勧めします。

    警告

    この設定をパスワード リセットが必要なメール アドレスとアカウントでカスタマイズした場合、ユーザーは支援を求めることができない可能性があります。

既定の電子メールの動作

既定の連絡先メールは、次の順序で受信者に送信されます。

  1. ヘルプデスク管理者ロールまたはパスワード管理者ロールが割り当てられている場合は、これらのロールを持つ管理者が通知を受け取ります。
  2. ヘルプデスク管理者またはパスワード管理者が割り当てられていない場合は、ユーザー管理者ロールを持つ管理者が通知を受け取ります。
  3. 上記のどのロールも割り当てられていない場合は、全体管理者が通知を受け取ります。

どの場合も、最大 100 人の受信者が通知を受け取ります。

さまざまな管理者ロールと、それらの管理者ロールを割り当てる方法の詳細については、「Microsoft Entra ID での管理者ロールの割り当て」を参照してください。

[管理者に問い合わせてください] メールを無効にする

組織でパスワードのリセット要求を管理者に通知しないようにする場合は、以下の構成オプションを使用できます。

  • ヘルプデスクのリンクをカスタマイズして、ユーザーがサポートを受けるために使用できる Web URL アドレスを指定します。 このオプションは [パスワードのリセット]>[カスタマイズ]>[カスタム ヘルプデスクの電子メールまたは URL] の下にあります。
  • すべてのユーザーに対してセルフサービス パスワード リセットを有効にします。 このオプションは [パスワードのリセット]>[プロパティ] の下にあります。 ユーザーに自分のパスワードをリセットさせたくない場合は、アクセスの対象を空のグループにすることができます。 このオプションは推奨されません。

サインイン ページとアクセス パネルをカスタマイズする

会社のブランドに合ったイメージと一緒に表示されるロゴの追加などで、サインイン ページをカスタマイズできます。 会社のブランドを構成する方法の詳細については、「Microsoft Entra ID のサインイン ページへの会社のブランドの追加」を参照してください。

選択したグラフィックスは、次の状況で表示されます。

  • ユーザーが自分のユーザー名を入力した後
  • ユーザーがカスタマイズされた URL にアクセスした場合:
    • パスワード リセット ページに whr パラメーターを渡した場合 (例: https://login.microsoftonline.com/?whr=contoso.com)
    • パスワード リセット ページに username パラメーターを渡した場合 (例: https://login.microsoftonline.com/?username=admin@contoso.com)

ディレクトリ名

ユーザーにわかりやすくするために、ポータルおよび自動通信の組織名を変更することができます。

この機能を管理するには、全体管理者が必要です。

Microsoft Entra 管理センターでディレクトリ名属性を変更するには、[ID]>[概要]>[プロパティ] の順に移動します。 このわかりやすい組織名オプションは、次の例のように、自動化された電子メールでよく見られるものです。

  • メールのフレンドリ名 (例: "CONTOSO の代理としての Microsoft のデモ")
  • メールの件名行 (例: "CONTOSO デモ アカウントのメール確認コード")

AD FS サインイン ページをカスタマイズする

ユーザー サインイン イベントに Active Directory フェデレーション サービス (AD FS) を使用する場合は、「サインイン ページの説明を追加する」のガイダンスを参考にして、サインイン ページへのリンクを追加できます。

SSPR ワークフローに入るためのページへのリンクをユーザーに提供します (例: https://passwordreset.microsoftonline.com )。 AD FS サインイン ページにリンクを追加するには、AD FS サーバーで次のコマンドを使用します。

Set-ADFSGlobalWebContent -SigninPageDescriptionText "<p><a href='https://passwordreset.microsoftonline.com' target='_blank'>Can't access your account?</a></p>"

次のステップ

環境内での SSPR の使用状況を把握するには、「Microsoft Entra のパスワード管理に関するレポート オプション」を参照してください。

SSPR で問題が発生した場合は、「セルフサービス パスワード リセットのトラブルシューティング」を参照してください