パスワードレスデプロイへの移行

意識向上とユーザー教育

この最後の手順では、対象となる作業ペルソナをパスワードレスデプロイに合わせた残りのユーザーを含めます。 この段階を実行する前に、意識向上キャンペーンに投資します。

意識向上キャンペーンでは、Windows Hello for Business を使用するなど、デバイスを認証する新しい方法をユーザーに紹介します。 キャンペーンの目的は、事前にユーザーに変更を積極的にプロモートすることです。 価値と、会社が変化する理由について説明します。 キャンペーンは 1 日を提供し、質問とフィードバックを奨励する必要があります。 このキャンペーンは、ユーザー教育と同時期に行うことができます。ここで、変更をユーザーに示し、環境が許せば、ユーザーがエクスペリエンスを試すことができるようにします。

作業ペルソナに合った残りのユーザーを含める

対象ユーザーの認識キャンペーンを実装しました。 これらのユーザーは通知を受け、パスワードレスに移行する準備ができています。 対象の作業ペルソナに一致する残りのユーザーを展開に追加します。

仕事用ペルソナのユーザーにパスワードが必要とされていないことを検証する

対象となる作業ペルソナのすべてのユーザーをパスワードレスに正常に移行しました。 パスワードレス環境での作業中に問題が発生しないように、職場のペルソナ内のユーザーを監視します。

報告されたすべての問題を追跡します。 報告された各問題に優先度と重大度を設定し、チームに問題を適切にトリアージさせます。 問題をトリアージするときは、次の質問を検討してください:

各organizationの優先順位と重大度は異なります。 ただし、ほとんどの組織は、作業の停止がかなり重要であると考えています。 チームは、優先度と重大度のレベルを事前に定義する必要があります。 これらの各レベルで、重大度と優先度の組み合わせごとにサービス レベル契約 (SLA) を作成し、すべてのユーザーにそれらの契約に対する説明責任を負わせます。 事後対応型の計画により、ユーザーは問題とその解決により多くの時間を費やすことができ、プロセスに費やす時間を減らすことができます。

サービス レベル契約に従って問題を解決します。 重大度が高い項目では、ユーザーのパスワード画面の一部またはすべてを返す必要がある場合があります。 明らかに、この結果は最終的な目標ではありませんが、パスワードレスに向けた勢いを遅くしないでください。 手順 2 でユーザーのパスワード画面を減らし、ソリューションに進み、そのソリューションをデプロイして検証する方法を参照してください。

パスワード認証を防ぐためにユーザー アカウントを構成する

対象となる作業ペルソナのすべてのユーザーをパスワードレス環境に移行し、すべてのワークフローを検証しました。 パスワードレス移行を完了する最後の手順は、ユーザーのパスワードに関する知識を削除することです。

パスワード のスクランブル

ユーザーのアカウントからパスワードを完全に削除することはできませんが、ユーザーがパスワードを使用して認証することを防ぐことができます。 最も簡単で最も効果的な方法は、パスワードをランダムな値に設定することです。 この方法では、ユーザーがパスワードを知り、それを使用して認証を行うのを防ぎますが、ユーザーは必要に応じてパスワードをリセットできます。

次のサンプル PowerShell スクリプトは、64 文字のランダム なパスワードを生成し、Microsoft Entra IDに対して$userId変数名で指定されたユーザーに設定します。 環境に一致するようにスクリプトの userId 変数 (最初の行) を変更し、PowerShell セッションで実行します。 Microsoft Entra IDに対する認証を求められたら、パスワードをリセットできるロールを持つアカウントの資格情報を使用します。

$userId = "<UPN of the user>"

function Generate-RandomPassword{
    [CmdletBinding()]
    param (
      [int]$Length = 64
    )
  $chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_=+[]{};:,.<>/?\|`~"
  $random = New-Object System.Random
  $password = ""
  for ($i = 0; $i -lt $Length; $i++) {
    $index = $random.Next(0, $chars.Length)
    $password += $chars[$index]
  }
  return $password
}

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph.Users.Actions
Connect-MgGraph -Scopes "UserAuthenticationMethod.ReadWrite.All" -NoWelcome

$passwordParams = @{
 UserId = $userId
 AuthenticationMethodId = "28c10230-6103-485e-b985-444c60001490"
 NewPassword = Generate-RandomPassword
}

Reset-MgUserAuthenticationMethodPassword @passwordParams

同様のスクリプトを使用して、Active Directory に対してパスワードをリセットできます。 スクリプトの samAccountName 変数を環境 (最初の行) に一致するように変更し、PowerShell セッションで実行します。

$samAccountName = <sAMAccountName of the user>

function Generate-RandomPassword{
    [CmdletBinding()]
    param (
      [int]$Length = 64
    )
  $chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_=+[]{};:,.<>/?\|`~"
  $random = New-Object System.Random
  $password = ""
  for ($i = 0; $i -lt $Length; $i++) {
    $index = $random.Next(0, $chars.Length)
    $password += $chars[$index]
  }
  return $password
}

$NewPassword = ConvertTo-SecureString -String (Generate-RandomPassword) -AsPlainText -Force

Set-ADAccountPassword -identity $userId -NewPassword $NewPassword -Reset

組織のポリシーで許可されている場合は、ランダム化されたパスワードを期限切れにならないように構成するか、長い有効期限を使用できます。 この構成により、ユーザーは自分のパスワードの変更を求めなくなります。

パスワードの有効期間とパスワードのローテーション

organizationにパスワードローテーションの要件がない場合は、パスワードの有効期間を無効にすることをお勧めします。

organizationにパスワード ローテーション ポリシーがある場合は、ユーザーのパスワードを定期的にローテーションする自動化の実装を検討してください。 この方法では、ユーザーのパスワードが常にランダム化され、ユーザーがパスワードを認識できないようにします。

パスワード関連のガイダンスの詳細については、ホワイトペーパー「 パスワード ガイダンス」を参照してください。

次のステップ

Microsoft は、パスワードレスの体験を簡単にするために努力しています。 私たちは、パスワードレス環境への移行を支援し、真にパスワードレス環境の長期的なセキュリティの約束を達成するために、新機能に取り組んでいます。 頻繁に確認して、新機能を確認してください。