Microsoft Entra セルフサービス パスワード リセットの展開を計画する

Microsoft Entra の機能であるセルフサービス パスワード リセット (SSPR) を使用すると、ユーザーは自分のパスワードをリセットすることができ、IT スタッフにヘルプを依頼する必要はありません。 ユーザーは場所や時間に関係なく、自分ですぐにブロックを解除して作業を続けることができます。 自分でブロックを解除することが従業員に許可されている場合は、パスワードに関連する多くの一般的な問題に対する非生産的な時間と高いサポート コストを削減できます。

SSPR の主な機能は次のとおりです。

• セルフサービスを使用すると、エンド ユーザーは、管理者またはヘルプデスクにサポートを求めなくても、期限切れまたは期限切れではないパスワードをリセットできます。
• パスワード ライトバックを使用すると、クラウドを介してオンプレミスのパスワードを管理し、アカウントのロックアウトを解決することができます。
• パスワード管理アクティビティ レポートでは、組織内で発生したパスワードのリセットおよび登録アクティビティの詳細が管理者に提供されます。

このデプロイ ガイドでは、SSPR のロールアウトを計画してテストする方法について説明します。

まず、SSPR の動作の概要を確認してから、デプロイに関するその他の考慮事項について説明します。

SSPR の詳細

SSPR の詳細を参照してください。 「動作のしくみ: Azure AD のセルフサービス パスワード リセット」を参照してください。

主な利点

SSPR を有効にする主な利点は次のとおりです。

• コスト管理。 IT サポートのコストを削減します。 また、パスワードの紛失やロックアウトによって損失する時間が短縮されます。

• 直感的なユーザー エクスペリエンス。 ユーザーがパスワードをリセットし、任意のデバイスや場所からの要求時にアカウントのブロックを解除できるため、直感的なワンタイム ユーザー登録プロセスが実現します。 SSPR を使用すると、ユーザーは迅速に作業を再開し、生産性を高めることができます。

• 柔軟性とセキュリティ。 SSPR を使用すると、企業はクラウド プラットフォームが提供するセキュリティと柔軟性にアクセスできます。 管理者は、新しいセキュリティ要件に合わせて設定を変更し、サインインを中断せずにこれらの変更をユーザーにロールアウトすることができます。

• 堅牢な監査と使用状況追跡。 ユーザーが自分のパスワードをリセットしている間も、組織はビジネス システムが安全であることを確認できます。 堅牢な監査ログには、パスワード リセット プロセスの各手順の情報が含まれます。 これらのログは API から入手でき、これによりユーザーは、選択したセキュリティ インシデントおよびイベント監視 (SIEM) システムにデータをインポートできます。

ライセンス

Microsoft Entra ID はユーザーごとのライセンスであり、機能を利用するには、各ユーザーに適切なライセンスが必要です。 SSPR にはグループベースのライセンスが推奨されます。

エディションと機能を比較し、グループベースまたはユーザーベースのライセンスを有効にする場合は、Microsoft Entra ID のセルフサービス パスワード リセットのライセンス要件に関する記事を参照してください。

価格の詳細については、Microsoft Entra の価格に関する記事を参照してください。

前提条件

• 少なくとも試用版ライセンスが有効になっている、動作している Microsoft Entra テナント。 必要に応じて、無料で作成できます。

• グローバル管理者特権を持つアカウント。

ガイド付きチュートリアル

この記事内の多くの推奨事項のガイド付きチュートリアルについては、Microsoft 365 管理センターにサインインしたときの「セルフサービス パスワード リセットの展開を計画する」ガイドを参照してください。 サインインして自動セットアップ機能をアクティブ化せずにベスト プラクティスを確認するには、M365 セットアップ ポータルに移動します。

トレーニング リソース

ソリューションのアーキテクチャ

次の例では、一般的なハイブリッド環境向けのパスワード リセット ソリューションのアーキテクチャについて説明しています。

ワークフローの説明

パスワードをリセットするためには、ユーザーはパスワードのリセット用ポータルにアクセスします。 ユーザーは、以前に登録した認証方法 (1 つまたは複数) を使用して、身元を証明する必要があります。 パスワードが正常にリセットされると、リセット プロセスが開始されます。

• クラウド専用ユーザーの場合、SSPR では新しいパスワードが Microsoft Entra ID に格納されます。

• ハイブリッド ユーザーの場合、SSPR では、パスワードは Microsoft Entra Connect サービスを介してオンプレミスの Active Directory にライトバックされます。

メモ: パスワード ハッシュ同期 (PHS) が無効になっているユーザーの場合、SSPR では、パスワードはオンプレミスの Active Directory にのみ格納されます。

ベスト プラクティス

別の一般的なアプリケーションまたはサービスを、SSPR と共に組織にデプロイすることで、ユーザーを迅速に登録できます。 このアクションでは、大量のサインインが生成され、登録が促進されます。

SSPR をデプロイする前に、各パスワード リセット呼び出しの数と平均コストを決定することも選択できます。 このデプロイ後のデータを使用して、SSPR によって組織にもたらされる価値を示すことができます。

SSPR と Microsoft Entra multifactor での統合された登録

SSPR では、ユーザーは、Microsoft Entra 多要素認証に使用するのと同じ方法を使用して、セキュリティで保護された方法でパスワードをリセットすることができます。 統合された登録は、MFA と SSPR の両方の方法の登録を同時に有効にするエンド ユーザーのための 1 つの登録手順です。 機能とエンド ユーザー エクスペリエンスを確実に理解するには、統合されたセキュリティ情報の登録の概念に関する記事を参照してください。

予定されている変更、登録要件、必要なユーザー操作について、ユーザーに通知することが重要です。 お客様のユーザーに新しいエクスペリエンスに向けて準備をさせ、ロールアウトの確実な成功を支援するために、通信テンプレートとユーザー ドキュメントが用意されています。 ユーザーを https://myprofile.microsoft.com に誘導し、そのページの [セキュリティ情報] リンクを選択して登録してもらいます。

デプロイ プロジェクトを計画する

お客様の環境でこのデプロイの戦略を決定するときは、お客様の組織のニーズを考慮してください。

適切な関係者を関わらせる

テクノロジ プロジェクトが失敗する場合、通常の原因は、影響、結果、および責任に対する想定の不一致です。 これらの潜在的な危険を回避するには、適切な利害関係者を含めて、利害関係者およびそのプロジェクトでの入力と説明責任を文書化することで、プロジェクトでの利害関係者の役割をよく理解させます。

必要な管理者の役割

パイロットを計画する

SSPR の初期構成はテスト環境で行うことをお勧めします。 組織内のユーザーのサブセットに対して SSPR を有効にすることで、パイロット グループから始めてください。 「パイロットのベスト プラクティス」を参照してください。

グループを作成するには、Microsoft Entra ID でグループを作成し、メンバーを追加する方法を参照してください。

構成を計画する

推奨値で SSPR を有効にするには、次の設定が必要です。

SSPR のプロパティ

SSPR を有効にする場合は、パイロット環境で適切なセキュリティ グループを選択します。

• すべてのユーザーに SSPR 登録を適用する場合は、 [すべて] オプションを使用することをお勧めします。
• それ以外の場合は、適切な Microsoft Entra ID または AD セキュリティ グループを選びます。

認証方法

SSPR が有効になっている場合、ユーザーが自分のパスワードをリセットできるのは、管理者が有効にしている認証方法にデータがある場合のみです。 方法には、電話、Authenticator アプリの通知、セキュリティの質問などがあります。 詳細については、「認証方法とは」を参照してください。

次の認証方法の設定が推奨されます。

• [Authentication methods required to register](登録に必要な認証方法) を、リセットに必要な数より少なくとも 1 つ多い数に設定します。 複数の認証を許可すると、リセットが必要なときのユーザーの柔軟性が増します。

• [リセットのために必要な方法の数] を、組織に適したレベルに設定します。 1 つでは最小限の手間が必要ですが、2 つではセキュリティ ポスチャが増す可能性があります。

ユーザーには、Microsoft Entra ID のパスワード ポリシーと制限に関する記事で構成されている認証方法が必要です。

登録設定

サインイン時にユーザーに登録を求めますか を [はい] に設定します。 この設定では、サインイン時にユーザーに登録を求めることで、すべてのユーザーが確実に保護されるようにします。

組織で短い期間が必要でない限り、 ユーザーが認証情報を再確認するように求められるまでの日数 を 90 から 180 日の範囲に設定します。

通知の設定

パスワードのリセットについてユーザーに通知しますか と 他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか の両方を、 [はい] に设定します。 両方で [はい] を選択すると、パスワードがリセットされたことをユーザーが確実に認識できるため、セキュリティが向上します。 また、1 人の管理者がパスワードを変更した場合でも、すべての管理者が確実に認識できます。 ユーザーまたは管理者は、通知を受け取ったときに変更を開始していない場合は、すぐにセキュリティの問題の可能性を報告できます。

カスタマイズ設定

問題が発生したユーザーがすぐにヘルプを受けられるよう、ヘルプデスクのメールまたは URL をカスタマイズすることが重要です。 このオプションを、ユーザーがよく知っている一般的なヘルプデスクのメール アドレスまたは Web ページに設定します。

詳細については、セルフサービス パスワード リセットのための Microsoft Entra 機能のカスタマイズに関する記事を参照してください。

パスワード ライトバック

パスワード ライトバックは、Microsoft Entra Connect で有効になっていて、クラウドでのパスワード リセットを既存のオンプレミスのディレクトリにリアルタイムで書き戻します。 詳しくは、「パスワード ライトバックとは」をご覧ください

次の設定が推奨されます。

• [オンプレミスの Active Directory へのパスワードの書き戻し] が [はい] に設定されていることを確認します。
• [パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する] を [はい] に設定します。

既定では、Microsoft Entra ID はパスワード リセットを実行するときにアカウントをロック解除します。

管理者パスワード設定

管理者のアカウントは、アクセス許可が引き上げられています。 オンプレミスのエンタープライズ管理者またはドメイン管理者は、SSPR で自分のパスワードをリセットできません。 オンプレミスの管理者アカウントには、次の制限があります。

• オンプレミス環境でのみ、自分のパスワードを変更できます。
• パスワードをリセットする方法として、秘密の質問と回答を使用できません。

オンプレミスの Active Directory 管理者アカウントは Microsoft Entra ID と同期させないことをお勧めします。

複数の ID 管理システムがある環境

環境によっては、複数の ID 管理システムが存在する場合があります。 Oracle IAM や SiteMinder などのオンプレミスの ID マネージャーでは、パスワードについて AD との同期が必要です。 これは、Microsoft Identity Manager (MIM) を使用したパスワード変更通知サービス (PCNS) のようなツールを使用することで実行できます。 このより複雑なシナリオについては、「ドメイン コントローラーに MIM パスワード変更通知サービスを展開する」をご覧ください。

テストとサポートを計画する

初期のパイロット グループから組織全体に至るまでのデプロイの各段階で、確実に期待どおりの結果が得られるようにします。

テストを計画する

デプロイが意図したとおりに動作することを確認するには、実装を検証にするテスト ケースのセットを計画します。 テスト ケースにアクセスするには、パスワードを持つ非管理者テスト ユーザーが必要です。 ユーザーを作成する必要がある場合は、Microsoft Entra ID への新しいユーザーの追加に関する記事を参照してください。

次の表では、ポリシーに基づいて組織で予想される結果を文書化するために使用できる有用なテスト シナリオを示します。

Microsoft Entra のセルフサービス パスワード リセットのパイロット展開の完了に関する記事も参照してください。 このチュートリアルでは、SSPR を組織にパイロット展開できるようにし、管理者以外のアカウントを使用してテストします。

サポートを計画する

通常、SSPR ではユーザーの問題は発生しませんが、発生する可能性のある問題に対応できるようサポート スタッフを準備することが重要です。 お客様のサポート チームが成功できるように、ユーザーから受け取った質問に基づいて、FAQ を作成できます。 次に例をいくつか示します。

ロールバックを計画する

デプロイをロールバックするには、以下を行います。

• 1 人のユーザーの場合は、セキュリティ グループからユーザーを削除します

• グループの場合は、SSPR 構成からグループを削除します

• 全員に対して、Microsoft Entra テナントの SSPR を無効にする

SSPR をデプロイする

デプロイの前に、次の操作を完了済みであることを確認します。

1. 適切な構成設定を決定した。

2. パイロット環境と運用環境のユーザーとグループを特定した。

3. 登録とセルフサービス用の構成設定を決定した。

4. ハイブリッド環境がある場合は、パスワード ライトバックを構成した。

これで、SSPR をデプロイする準備が整いました。

次の領域の構成の詳細な手順については、「セルフサービス パスワード リセットを有効にする」を参照してください。

1. 認証方法

2. 登録設定

3. 通知設定

4. カスタマイズ設定

5. オンプレミスの統合

Windows で SSPR を有効にする

Windows 7、8、8.1、および 10 を実行中のコンピューターでは、Windows のサインイン画面でユーザーが自分のパスワードをリセットできるように設定することができます

SSPR を管理する

Microsoft Entra ID では、監査とレポートによって SSPR のパフォーマンスに関する追加情報を提供できます。

パスワード管理アクティビティ レポート

Microsoft Entra 管理センター で事前構築済みのレポートを使用して、SSPR のパフォーマンスを測定できます。 適切にライセンスを付与されている場合は、カスタム クエリを作成することもできます。 詳細については、Microsoft Entra のパスワード管理に関するレポート オプションの記事を参照してください。

登録とパスワード リセットに関する監査ログは、30 日間利用できます。 企業内のセキュリティ監査をもっと長い期間保有する必要がある場合、ログをエクスポートし、Microsoft Sentinel、Splunk、ArcSight などの SIEM ツールに取り込む必要があります。

認証方法 - 使用状況と分析情報

使用状況と分析情報を使うと、Microsoft Entra 多要素認証や SSPR などの機能の認証方法が組織内でどのように機能しているかについて理解を深めることができます。 このレポート機能は、組織がどの方法で登録を行い、それらをどのように使用しているかを把握するための手段となるものです。

トラブルシューティング

• 「セルフサービスのパスワードのリセットのトラブルシューティング」を参照してください

• 「パスワード管理に関するよく寄せられる質問 (FAQ)」に従ってください

役に立つドキュメント

• 認証方法とは

• 動作のしくみ: Microsoft Entra のセルフサービス パスワード リセット

• セルフサービス パスワード リセットのための Microsoft Entra 機能のカスタマイズ

• Microsoft Entra ID のパスワード ポリシーと制限

• パスワード ライトバックとは

次のステップ

• SSPR のデプロイを開始するには、Microsoft Entra のセルフサービス パスワード リセットを有効にするに関する記事を参照してください

• Microsoft Entra パスワード保護の実装を検討する

• Microsoft Entra のスマート ロックアウトの実装を検討する