Microsoft Entra セルフサービス パスワード リセット (SSPR) により、ユーザーは、管理者やヘルプ デスクが関与することなく、自分のパスワードを変更またはリセットできるようになります。 ユーザーのアカウントがロックされている場合、またはパスワードを忘れた場合は、プロンプトに従ってブロックを解除し、作業に戻ることができます。 この機能により、ユーザーが自分のデバイスまたはアプリケーションにサインインできない場合のヘルプ デスクの呼び出しと生産性の低下が軽減されます。 Microsoft Entra ID で SSPR を有効にして構成する方法については、このビデオをお勧めします。
Von Bedeutung
この概念記事では、セルフサービス パスワード リセットのしくみについて管理者に説明します。 既にセルフサービス パスワード リセットの登録が済んでいて、自分のアカウントに戻る必要があるエンド ユーザーは、 https://aka.ms/sspr にアクセスしてください。
ユーザーが自分でパスワードをリセットする機能が IT チームによって有効にされていない場合は、ヘルプデスクに連絡して追加のサポートを依頼してください。
パスワード リセット プロセスのしくみ
ユーザーは 、SSPR ポータルを使用してパスワードをリセットまたは変更できます。 また、[SSPR for Administrators]\(管理者の SSPR\) を強調表示するには、SSPR はエンド ユーザー専用であるため、既定ではテナントで有効になっていません。 最初に、必要な認証方法を登録する必要があります。 ユーザーが SSPR ポータルにアクセスすると、Microsoft Entra プラットフォームでは次の要因が考慮されます。
- ページをローカライズする方法
- ユーザー アカウントは有効ですか?
- ユーザーはどの組織に属していますか?
- ユーザーのパスワードはどこで管理されますか?
ユーザーがアプリケーションまたはページから [アカウントにアクセスできない ] リンクを選択するか、直接 https://aka.ms/ssprに移動すると、SSPR ポータルで使用される言語は次のオプションに基づいています。
- 既定では、ブラウザーのロケールは、適切な言語で SSPR を表示するために使用されます。 パスワード リセット エクスペリエンスは、 Microsoft 365 でサポートされているのと同じ言語にローカライズされています。
- 特定のローカライズされた言語で SSPR にリンクする場合は、パスワード リセット URL の末尾に必要なロケールと共に
?mkt=を追加します。- たとえば、スペイン語 のes-us ロケールを指定するには、
?mkt=es-us- https://passwordreset.microsoftonline.com/?mkt=es-usを使用します。
- たとえば、スペイン語 のes-us ロケールを指定するには、
SSPR ポータルが必要な言語で表示されると、ユーザーはユーザー ID を入力して captcha を渡すように求められます。 Microsoft Entra ID は、次のチェックを実行して、ユーザーが SSPR を使用できることを確認するようになりました。
- ユーザーが SSPR を有効にしていることを確認します。
- ユーザーが SSPR を有効にしていない場合、ユーザーは管理者に連絡してパスワードをリセットするように求められます。
- ユーザーが管理者ポリシーに従って自分のアカウントで定義されている適切な認証方法を持っていることを確認します。
- ポリシーで必要な方法が 1 つだけの場合は、管理者ポリシーによって有効になっている認証方法の少なくとも 1 つに対してユーザーに適切なデータが定義されていることを確認します。
- 認証方法が構成されていない場合、ユーザーは管理者に連絡してパスワードをリセットすることをお勧めします。
- ポリシーに 2 つの方法が必要な場合は、管理者ポリシーによって有効になっている認証方法のうち少なくとも 2 つについて、ユーザーに適切なデータが定義されていることを確認します。
- 認証方法が構成されていない場合、ユーザーは管理者に連絡してパスワードをリセットすることをお勧めします。
- Azure 管理者ロールがユーザーに割り当てられている場合は、強力な 2 ゲート パスワード ポリシーが適用されます。 詳細については、「 管理者リセット ポリシーの相違点」を参照してください。
- ポリシーで必要な方法が 1 つだけの場合は、管理者ポリシーによって有効になっている認証方法の少なくとも 1 つに対してユーザーに適切なデータが定義されていることを確認します。
- Microsoft Entra テナントがフェデレーション認証、パススルー認証、パスワード ハッシュ同期を使用している場合など、ユーザーのパスワードがオンプレミスで管理されているかどうかを確認します。
- SSPR ライトバックが構成されていて、ユーザーのパスワードがオンプレミスで管理されている場合、ユーザーはパスワードの認証とリセットを続行できます。
- SSPR ライトバックがデプロイされておらず、ユーザーのパスワードがオンプレミスで管理されている場合、ユーザーは管理者に連絡してパスワードをリセットするように求められます。
上記のすべてのチェックが正常に完了した場合、ユーザーはパスワードをリセットまたは変更するプロセスを案内されます。
注
SSPR は、パスワード リセット プロセスの一環としてユーザーに電子メール通知を送信する場合があります。 これらの電子メールは、複数のリージョンでアクティブ/アクティブ モードで動作する SMTP リレー サービスを使用して送信されます。
SMTP リレー サービスは、電子メール本文を受信して処理しますが、保存しません。 顧客から提供された情報を含む可能性がある SSPR 電子メールの本文は、SMTP リレー サービス ログに格納されません。 ログにはプロトコル メタデータのみが含まれます。
SSPR の使用を開始するには、次のチュートリアルを完了します。
サインイン時にユーザーに登録を要求する
ユーザーが先進認証または Web ブラウザーを使用して Microsoft Entra ID を使用して任意のアプリケーションにサインインする場合に、SSPR 登録の完了を要求するオプションを有効にすることができます。 このワークフローには、次のアプリケーションが含まれています。
- Microsoft 365
- Microsoft Entra 管理センター
- アクセス パネル
- 連合アプリケーション
- Microsoft Entra ID を使用したカスタム アプリケーション
登録を必要としない場合、ユーザーはサインイン中にメッセージを表示されませんが、手動で登録できます。 ユーザーは、https://aka.ms/ssprsetupにアクセスするか、アクセス パネルの [プロファイル] タブの [パスワード リセットに登録] リンクを選択できます。
注
ユーザーは、 キャンセル を選択するか、ウィンドウを閉じることで、SSPR 登録ポータルを閉じることができます。 ただし、登録が完了するまで、サインインするたびに登録するように求められます。
SSPR に登録するこの割り込みは、ユーザーが既にサインインしている場合、ユーザーの接続を中断しません。
認証情報を再確認する
ユーザーに対して、一定期間後に認証情報の確認を要求できます。 このオプションは、[ サインイン時にユーザーの登録を必須 にする] オプションを有効にした場合にのみ使用できます。
ユーザーに認証情報の確認を求める有効な値は 0 から 730 日です。 この値を 0 に設定すると、ユーザーは認証情報の確認を求められることはありません。 ユーザーは、情報を再確認する前にサインインする必要があります。
注
SSPR で複数の認証方法が必要な場合、メソッドを削除したユーザーは、ユーザーが認証情報の再確認を 求められるまでの日数に達するまで、認証情報を確認する必要はありません。
認証方法
ユーザーが SSPR を有効にした場合、少なくとも 1 つの認証方法を登録する必要があります。 ユーザーが必要なときに 1 つの方法にアクセスできない場合に柔軟性を高めるために、2 つ以上の認証方法を選択することを強くお勧めします。 詳細については、「認証方法とは」を参照してください。
SSPR で使用できる認証方法は次のとおりです。
- モバイル アプリの通知
- モバイル アプリ コード
- ハードウェア OATH トークン
- ソフトウェア OATH トークン
- 携帯電話
- Office 電話 (有料サブスクリプションを持つテナントでのみ使用できます)
- セキュリティの質問
ユーザーは、管理者が有効にした認証方法を登録した場合にのみ、パスワードをリセットできます。
Warnung
「管理者リセット ポリシーの相違点」セクションで定義されている方法を使用するには、Azure 管理者ロールが割り当てられたアカウントが必要です。
必要な認証方法の数
ユーザーがパスワードをリセットまたはロック解除するために指定する必要がある使用可能な認証方法の数を構成できます。 この値は、 1 つまたは2 つに設定できます。
ユーザーは、1 つの方法にアクセスできない場合に別の方法でサインインできるように、複数の認証方法を登録する必要があります。
ユーザーが必要なメソッドの最小数を登録しない場合、SSPR を使用しようとするとエラー ページが表示されます。 管理者にパスワードのリセットを要求する必要があります。 詳細については、「 認証方法の変更」を参照してください。
モバイル アプリと SSPR
Microsoft Authenticator などのパスワード リセットの方法としてモバイル アプリを使用する場合、組織が 一元化された認証方法ポリシーに移行していない場合は、次の考慮事項が適用されます。
- 管理者がパスワードのリセットに 1 つの方法を使用する必要がある場合は、確認コードのみが使用可能なオプションです。
- 管理者がパスワードのリセットに 2 つの方法を使用する必要がある場合、ユーザーは、他の有効な方法に加えて、通知 または 確認コードを使用できます。
| リセットに必要なメソッドの数 | 1 | 2 |
|---|---|---|
| モバイル アプリの機能を利用できる | Code | コードまたは通知 |
ユーザーは、 https://aka.ms/mfasetupで、または https://aka.ms/setupsecurityinfoの統合セキュリティ情報登録でモバイル アプリを登録できます。
Von Bedeutung
1 つの方法のみが必要な場合、認証方法として認証子を選択することはできません。 同様に、2 つのメソッドが必要な場合は、Authenticator と追加のメソッドを 1 つだけ選択できません。
認証アプリをメソッドとして含む SSPR ポリシーを構成する場合は、1 つの方法が必要な場合は少なくとも 1 つの追加メソッドを選択し、2 つの方法を構成するときに少なくとも 2 つの方法を選択する必要があります。
認証方法を変更する
リセットまたはロック解除に必要な認証方法が 1 つしか登録されていないポリシーから始めて、2 つの方法に変更するとどうなりますか?
| 登録されたメソッドの数 | 必要なメソッドの数 | 結果 |
|---|---|---|
| 1 つ以上 | 1 | リセットまたはロック解除が可能 |
| 1 | 2 | リセットまたはロック解除できない |
| 2 つ以上 | 2 | リセットまたはロック解除が可能 |
使用可能な認証方法を変更すると、ユーザーに問題が発生する可能性もあります。 使用できる認証方法を変更した場合、使用可能な最小限のデータ量を持たないユーザーは SSPR を使用できません。
次のシナリオ例について考えてみます。
- 元のポリシーは、必要な 2 つの認証方法で構成されます。 オフィスの電話番号とセキュリティの質問のみを使用します。
- 管理者は、セキュリティの質問を使用しなくなったポリシーを変更しますが、携帯電話と代替メールの使用を許可します。
- 携帯電話または代替メール フィールドが設定されていないユーザーは、パスワードをリセットできません。
通知
パスワード イベントの認識を向上させるために、SSPR では、ユーザーと ID 管理者の両方に通知を構成できます。
[パスワードのリセットについてユーザーに通知しますか]
このオプションが [はい] に設定されている場合、パスワードをリセットしたユーザーは、パスワードが変更されたことを通知する電子メールを受け取ります。 電子メールは、SSPR ポータルを介して、Microsoft Entra ID に格納されているプライマリ電子メール アドレスと代替メール アドレスに送信されます。 プライマリまたは代替の電子メール アドレスが定義されていない場合、SSPR はユーザー ユーザー プリンシパル名 (UPN) を介して電子メール通知を試みます。 リセット イベントが他のユーザーに通知されません。
他の管理者が自分のパスワードをリセットしたときにすべての管理者に通知する
このオプションが [はい] に設定されている場合、グローバル管理者は、Microsoft Entra ID に格納されているプライマリ 電子メール アドレスに電子メールを受信します。 電子メールは、別の管理者が SSPR を使用してパスワードを変更したことを通知します。
注
SSPR サービスからの電子メール通知は、使用している Azure クラウドに基づいて、次のアドレスから送信されます。
- パブリック: msonlineservicesteam@microsoft.com、 msonlineservicesteam@microsoftonline.com
- 21Vianet が運営する Microsoft Azure (中国の Azure): msonlineservicesteam@oe.21vianet.com、 21Vianetonlineservicesteam@21vianet.com
- 米国政府機関向け Azure: msonlineservicesteam@azureadnotifications.us、 msonlineservicesteam@microsoftonline.us
通知の受信で問題が発生した場合は、スパム設定を確認してください。
カスタム管理者に通知メールを受信させる場合は、SSPR のカスタマイズを使用し、 カスタム ヘルプデスク リンクまたは電子メールを設定します。
オンプレミスの統合
ハイブリッド環境では、Microsoft Entra Connect クラウド同期を構成して、パスワード変更イベントを Microsoft Entra ID からオンプレミス ディレクトリに書き戻すことができます。
Microsoft Entra ID は、現在のハイブリッド接続を確認し、Microsoft Entra 管理センターでメッセージを提供します。 考えられるエラーの解決に関するヘルプについては、「 Microsoft Entra Connect のトラブルシューティング」を参照してください。
SSPR 書き戻しの使用を開始するには、次のチュートリアルをご覧ください。
オンプレミス のディレクトリにパスワードを書き戻す
Microsoft Entra 管理センターを使用してパスワード ライトバックを有効にすることができます。 Microsoft Entra Connect を再構成しなくても、パスワード ライトバックを一時的に無効にすることもできます。
- オプションが [はい] に設定されている場合は、ライトバックが有効になります。 フェデレーション認証、パススルー認証、またはパスワード ハッシュ同期ユーザーは、自分のパスワードをリセットできます。
- オプションが [いいえ] に設定されている場合、ライトバックは無効になります。 フェデレーション認証、パススルー認証、またはパスワード ハッシュ同期ユーザーは、自分のパスワードをリセットできません。
ユーザーが自分のパスワードをリセットせずにアカウントのロックを解除できるようにする
既定では、Microsoft Entra ID はパスワード リセットを実行するときにアカウントをロック解除します。 柔軟性を提供するために、ユーザーがパスワードをリセットしなくても、オンプレミスアカウントのロックを解除できるようにすることができます。 この設定を使用して、これら 2 つの操作を分離します。
- [はい] に設定すると、ユーザーはパスワードをリセットしてアカウントのロックを解除するか、パスワードをリセットせずにアカウントのロックを解除することができます。
- [いいえ] に設定すると、ユーザーはパスワードリセットとアカウントのロック解除操作を組み合わせた操作のみを実行できます。
オンプレミスの Active Directory パスワード フィルター
SSPR は、Active Directory で管理者が開始したパスワード リセットと同等の処理を実行します。 サード パーティのパスワード フィルターを使用してカスタム パスワード規則を適用し、Microsoft Entra のセルフサービス パスワード リセット中にこのパスワード フィルターをチェックする必要がある場合は、管理者パスワード リセット シナリオで適用するようにサードパーティのパスワード フィルター ソリューションが構成されていることを確認します。 Active Directory Domain Services の Microsoft Entra パスワード保護 は、既定でサポートされています。
B2B ユーザーのパスワード リセット
パスワードのリセットと変更は、すべての企業間 (B2B) 構成で完全にサポートされています。 B2B ユーザー パスワードリセットは、次の 3 つのケースでサポートされます。
- 既存の Microsoft Entra テナントを持つパートナー組織のユーザー: パートナーが Microsoft Entra テナントを持っている場合は、そのテナントで有効になっているパスワード リセット ポリシーが尊重されます。 パスワードのリセットを機能させるには、パートナー組織は Microsoft Entra SSPR が有効になっていることを確認する必要があります。 Microsoft 365 のお客様に対するその他の料金は発生しません。
- セルフサービス サインアップを通じてサインアップするユーザー: パートナーが セルフサービス サインアップ 機能を使用してテナントに入った場合は、登録したメールでパスワードをリセットできます。
- B2B ユーザー: 新しい Microsoft Entra B2B 機能 を使用して作成された新しい B2B ユーザーは、招待プロセス中に登録したメールでパスワードをリセットすることもできます。
このシナリオをテストするには、これらのパートナー ユーザーの 1 人と https://passwordreset.microsoftonline.com に移動します。 ユーザーが代替メールまたは認証メールを定義した場合、パスワードのリセットは想定どおりに機能します。
注
Hotmail.com、Outlook.com、その他の個人用メール アドレスなど、Microsoft Entra テナントへのゲスト アクセスが許可されている Microsoft アカウントは、Microsoft Entra SSPR を使用できません。 詳細については、「 Microsoft アカウントにサインインできない場合」を参照してください。
次のステップ
SSPR の使用を開始するには、次のチュートリアルを完了します。