セルフサービスパスワードリセット(SSPR)とは、ユーザーがシステム管理者やヘルプデスクに問い合わせをせずに、自分のパスワードをリセットできる機能です。
この機能により、システム管理者やヘルプデスクへの問い合わせが減り、運用の負荷を軽減することが可能です。
また、パスワードリセットだけではなく、サインインに失敗しロックされた時にロックを解除することも出来ます。
SSPRの導入はとても簡単なので、企業規模や運用負荷に関わらず全ての組織に導入して欲しい機能です。
今回はSSPRについて紹介します。
1.前提条件
SSPRを利用するためには下記の前提条件があります。
1.1.必要なライセンス
基本的ですが、SSPRにはAzure AD Premiumが必要です。そのため、事前にユーザーにAzure AD Premium割り当ててください。
1.2.オンプレミスのパスワードをリセットする場合
Azure AD Connectによるディレクトリ同期を構成済みの場合、Azure ADでパスワードをリセットするとオンプレミスにも反映させることが出来ます。
オンプレミスのパスワードをリセットする場合はAzure AD Connectの「パスワードの書き戻し」を有効にしてください。
Azure AD Connectのインストールについてはこちら
https://lig-log.com/windows-server-2016-azure-ad-connect-install/
2.SSPR設定
事前準備が完了したらAzure ADでSSPRを有効にします。
1.Azure AD管理画面にログインします。
2.「Azure Active Directory」-「パスワードリセット」-「プロパティ」をクリックします。
「すべて」または「選択済み」で対象ユーザーを設定します。
3.「認証方法」を選択し、任意のリセット方法を選択します。
※「モバイルアプリの通知」はリセット方法を2つに設定した場合のみ選択できます
※必要な方法が2つの場合
4.「登録」をクリックし、ユーザーに認証情報の登録を促す方法を設定します。
5.「オンプレミスの統合」をクリックし、パスワードのライトバックとロック解除を許可するかどうか設定します。
ロック解除を許可した場合はパスワードリセットをせずにロックを解除することが出来ます。
※本設定はAADC同期している場合のみ
その他、「通知」でパスワードリセット時に管理者に通知や「カスタマイズ」でヘルプデスクへのリンクを設定したりすることが出来ます。
3.認証情報の登録
SSPRの設定が完了したら、ユーザーに電話番号やメールアドレス情報を登録してもらいます。
1.ユーザーがAzure PortalやOffice 365にログインすると、下記のような画面が表示されるので「次へ」をクリックします。
2.現在のパスワードを再入力します。
3.認証用の電話番号とメールアドレスを登録します。
どちらもSMSまたはメールで確認コードが届くのでコードを入力して登録します。
4.電話番号とメールアドレスの登録が完了したことを確認します。
4.パスワードリセット
認証情報の登録が完了したら、実際にパスワードをリセットしてみます。
1.ログイン時のパスワード入力画面で「パスワードを忘れた場合」をクリックします。
2.「ユーザーID」と「CAPTCHA認証」を入力し、「次へ」をクリックします。
3.「パスワードを忘れた場合」を選択し、「次へ」をクリックします。
4.認証に利用する方法を選択し、認証処理を実施します。
下記はメールアドレスの場合です。
認証アプリのコードも利用出来ます。
5.認証が完了したら新しいパスワードを設定することが出来ます。
セルフサービスパスワードリセットについては以上です。
コメント