セルフサービス パスワード リセットの展開オプション

Microsoft Entra ID P1 または P2 のライセンスを取得している新規のお客様には、Microsoft Entra セルフサービス パスワード リセットを使用してエンド ユーザー エクスペリエンスを提供することをお勧めします。 Microsoft Entra のセルフサービス パスワード リセットは、ユーザーが自分のパスワードをリセットするための Web ベースのエクスペリエンスと Windows 統合エクスペリエンスの両方を提供し、代替メールや Q&A ゲートなど、MIM と同じ機能の多くをサポートします。 Microsoft Entra セルフサービス パスワード リセットを展開する場合は、新しいパスワードを AD DS に書き戻すように Microsoft Entra Connect を構成できます。MIM パスワード変更通知サービスを使用して、別のベンダーのディレクトリ サーバーなどの他のシステムにパスワードを転送できます。 パスワード管理用に MIM をデプロイする場合、MIM サービスまたは MIM セルフサービス パスワード リセットまたは登録ポータルをデプロイする必要はありません。 代わりに、次の手順を実行できます。

• まず、Microsoft Entra ID と AD DS 以外のディレクトリにパスワードを送信する必要がある場合は、mim Sync をコネクタを使用して Active Directory ドメイン Services および追加のターゲット システムに展開し、パスワード管理用に MIM を構成し、パスワード変更通知サービスを展開します。
• 次に、Microsoft Entra ID 以外のディレクトリにパスワードを送信する必要がある場合は、新しいパスワードを AD DS に書き戻すよう Microsoft Entra Connect を構成します。
• 必要に応じて、 ユーザーを事前登録します。
• 最後に、 Microsoft Entra のセルフサービス パスワード リセットをエンド ユーザーにロールアウトします。

Microsoft Entra ID P1 または P2 のライセンスを取得している Forefront Identity Manager (FIM) または MIM のお客様の場合は、Microsoft Entra セルフサービス パスワード リセットへの移行を計画することをお勧めします。 ユーザーの代替メール アドレスまたは携帯電話番号を PowerShell を使用して同期または設定することで、再登録する必要なく、エンド ユーザーを Microsoft Entra セルフサービス パスワード リセットに移行できます。 ユーザーが Microsoft Entra のセルフサービス パスワード リセットに登録されると、FIM パスワード リセット ポータルを使用停止にできます。

Microsoft Entra MFA を使用していた MIM 2016 のデプロイは、カスタム MFA プロバイダーで MIM SSPR を使用するか 、Microsoft Entra のセルフサービス パスワード リセットに移行する必要があります。 新しいデプロイでは、カスタム MFA プロバイダーまたは Microsoft Entra セルフサービス パスワード リセットを使用する必要があります。

多要素認証用のカスタム プロバイダーを使用した MIM セルフサービス パスワード リセット ポータルの展開

次のセクションでは、多要素認証にプロバイダーを使用して MIM セルフサービス パスワード リセット ポータルを展開する方法について説明します。 これらの手順は、Microsoft Entra セルフサービス パスワード リセットをユーザーに使用していないお客様にのみ必要です。

MFA を使用すると、ユーザーは外部プロバイダーを介して認証を行い、アカウントとリソースへのアクセスを回復しようとするときに ID を確認します。 認証には、SMS または電話を使用できます。 認証が強いほど、アクセスしようとしているユーザーが実際に ID を所有している実際のユーザーであるという信頼度が高くなります。 認証されると、ユーザーは古いパスワードを新しいパスワードに変更できます。

MFA を使用してセルフサービス アカウントのロック解除とパスワードリセットを設定するための前提条件

このセクションでは、次のコンポーネントとサービスを含む、Microsoft Identity Manager 2016 MIM Sync、MIM サービス、MIM ポータル コンポーネントの展開をダウンロードして完了していることを前提としています。

• 指定されたドメイン ("企業" ドメイン) を持つActive Directory ドメイン コントローラー

• アカウント ロックアウトのグループ ポリシーが定義されています。

• MIM 2016 同期サービス (Sync) がインストールされ、AD ドメインにドメイン参加しているサーバーで実行されている

• SSPR 登録ポータルと SSPR リセット ポータルを含む MIM 2016 サービスおよびポータルがサーバーにインストールされ、実行されています (同期と併置される可能性があります)

• MIM 同期は、次のような AD-MIM ID 同期用に構成されます。

  • AD DS への接続用に Active Directory 管理エージェント (ADMA) を構成し、ID データをインポートして Active Directory にエクスポートするためのプロファイルを実行します。

  • FIM サービス データベースへの接続用に MIM 管理エージェント (MIM MA) を構成し、プロファイルを実行して ID データをインポートして FIM データベースにエクスポートします。

  • ユーザー データの同期を許可し、MIM サービスの同期ベースのアクティビティを容易にするように、MIM ポータルの同期ルールを構成します。

• SSPR Windows ログイン統合クライアントを含む MIM 2016 アドインと拡張機能は、サーバーまたは別のクライアント コンピューターに展開されます。

MFA を使用するための MIM の準備

パスワード リセットおよびアカウント ロック解除機能をサポートするように MIM Sync を構成します。 詳細については、FIM アドインと拡張機能のインストール、FIM SSPR のインストール、SSPR 認証ゲート、および SSPR テスト ラボ ガイドを参照してください。

電話ゲートまたはワンタイム パスワード SMS ゲートの構成

1. Internet Explorer を起動し、MIM ポータルに移動して MIM 管理者として認証し、左側の ナビゲーション バーの [ワークフロー ] をクリックします。

   

2. パスワード リセット認証ワークフローを確認 します。

   

3. [アクティビティ] タブをクリックし、下にスクロールして [アクティビティの追加] をクリックします。

4. [電話ゲート] または [ワンタイム パスワード SMS ゲート] を選択し、[選択] をクリックし、[OK] をクリックします。

   Note

   ワンタイム パスワード自体を生成する別のプロバイダーを使用する場合は、構成されている長さフィールドが MFA プロバイダーによって生成されたものと同じ長さであることを確認します。

組織のユーザーが、パスワードのリセットに登録できるようになります。 このプロセスの間に、ユーザーは、システムがユーザーに電話する (または SMS メッセージを送信する) 方法がわかるように、会社の電話番号または携帯電話番号を入力します。

パスワード リセットにユーザーを登録する

1. ユーザーが Web ブラウザーを起動し、MIM パスワード リセット登録ポータルに移動します。 (通常、このポータルには Windows 認証が構成されています)。 ポータル内で、ユーザーは再びユーザー名とパスワードを入力して身元の確認を行います。

   ユーザーは、パスワード登録ポータルに入り、ユーザー名とパスワードを使用して認証する必要があります。

2. [電話番号] または [携帯電話] フィールドに国番号、スペース、電話番号を入力し、[次へ] をクリックする必要があります。

   

   

ユーザーに対する動作方法

すべての構成が済んで動作したので、次に、ユーザーがパスワードを忘れたときのリセット方法を説明します。

ユーザーは、Windows サインイン画面から、またはセルフサービス ポータルから、パスワード リセットとアカウントのロック解除機能を使用する 2 つの方法があります。

組織のネットワーク経由で MIM サービスに接続されていて、ドメインに参加しているコンピューターに MIM アドインと拡張機能をインストールすることにより、ユーザーはデスクトップ ログイン操作でパスワードを忘れても回復できます。 次の手順では、このプロセスについて説明します。

Windows デスクトップ ログインに統合されたパスワード リセット

1. ユーザーが間違ったパスワードを複数回入力した場合、サインイン画面で[問題のログイン]をクリックするオプションが表示されます。

   

   このリンクをクリックすると、MIM パスワードリセット画面が表示され、パスワードを変更したり、アカウントのロックを解除したりできます。

   

2. ユーザーは認証に送られます。 MFA が構成されている場合、ユーザーは電話で呼び出されます。

3. バックグラウンドでは、MFA プロバイダーは、そのユーザーがサービスにサインアップしたときにユーザーが指定した番号に電話をかけるということです。

4. ユーザーが電話に応答すると、電話でシャープ キー # を押すなどの操作を求められる場合があります。 次に、ポータルで [次へ] をクリックします。

   他のゲートも設定されている場合、ユーザーは後続の画面で詳細情報を提供するように求められます。

   Note

   ユーザーがせっかちで、シャープ キー #を押す 前に [次へ ] をクリックすると、認証は失敗します。

5. 認証が成功した後、ユーザーには 2 つのオプションがあり、アカウントのロックを解除して現在のパスワードのままにするか、新しいパスワードを設定します。

6. ユーザーは新しいパスワードを 2 回入力する必要があります。2 回入力すると、パスワードがリセットされます。

セルフサービス ポータルからのアクセス

1. ユーザーは Web ブラウザーを開き、パスワード リセット ポータルに移動してユーザー名を入力し、[次へ] をクリックします。

   MFA が構成されている場合、ユーザーは電話で呼び出されます。 バックグラウンドで起きているのは、Microsoft Entra 多要素認証によって、ユーザーがサービスにサインアップしたときに指定した番号に電話をかけるということです。

   ユーザーが電話に出ると、電話の # キーを押すように求められます。 次に、ポータルで [次へ] をクリックします。

2. 他のゲートも設定されている場合、ユーザーは後続の画面で詳細情報を提供するように求められます。

   Note

   ユーザーがせっかちで、シャープ キー #を押す 前に [次へ ] をクリックすると、認証は失敗します。

3. ユーザーは、自分のパスワードをリセットするか、アカウントのロックを解除するかを選択する必要があります。 アカウントのロックを解除すると、アカウントのロックが解除されます。

   

4. 認証が成功すると、ユーザーには、現在のパスワードを保持するか、新しいパスワードを設定する 2 つのオプションが与えられます。

5. 

6. ユーザーがパスワードのリセットを選択した場合は、新しいパスワードを 2 回入力し、[次へ] をクリックしてパスワードを変更する必要があります。