Microsoft Entra セルフサービスパスワードリセット (SSPR) のユーザー認証連絡先情報の事前設定

2025-06-21

Microsoft Entra のセルフサービスパスワードリセット (SSPR) を使用するには、ユーザーの認証情報を提示する必要があります。ほとんどの組織では、ユーザーが認証データを自分で登録し、多要素認証のための情報を収集しています。

一部の組織では、Active Directory Domain Servicesに既に存在する認証データを同期して、このプロセスをブートストラップすることを好みます。ユーザーが介入しなくても、同期されたデータは Microsoft Entra ID と SSPR で利用できるようになります。ユーザーが自分のパスワードを変更またはリセットする必要がある場合、以前に連絡先情報を登録していない場合でも、ユーザーはそれを実行できます。

次の要件を満たしている場合、認証連絡先情報を事前設定することができます。

オンプレミスのディレクトリのデータを適切に書式設定しました。
Microsoft Entra テナントに対して Microsoft Entra Connect を構成しました。

電話番号の形式が +CountryCode PhoneNumber (+1 4251234567 など) である必要があります。その他の制限は次のとおりです。

国番号と電話番号の間にスペースが必要です。
パスワードのリセットは内線番号をサポートしていません。 +1 4251234567X12345 の形式であっても、電話がかけられる前に内線番号は削除されます。

取り込まれるフィールド

Microsoft Entra Connect の既定の設定を使用すると、SSPR の認証連絡先情報を入力するために次のマッピングが行われます。

オンプレミスの Active Directory	マイクロソフトエントラ ID
`telephoneNumber`	会社電話
`mobile`	携帯電話番号

ユーザーが携帯電話番号を認証すると、Microsoft Entra の [認証の連絡先情報] の下にある [電話番号] フィールドにもその番号が設定されます。

認証の連絡先情報

Microsoft Entra 管理センターの Microsoft Entra ユーザーの [認証方法 ] ページで、少なくとも特権認証管理者ロールが割り当てられているユーザーは、任意のユーザーの認証連絡先情報を手動で設定できます。既存の方法を確認するには、 [使用可能な認証方法 ] セクションまたは [+ 認証方法の追加] を選択します。

認証方法の管理方法を示すスクリーンショット

この認証連絡先情報には、次の考慮事項が適用されます。

[電話番号] フィールドに電話番号が設定され、SSPR ポリシーの [携帯電話] が有効になると、その番号がパスワードリセット登録ページに表示され、パスワードリセットワークフロー中にも表示されます。
[電子メール] フィールドにメールアドレスが設定され、SSPR ポリシーの [電子メール] が有効になると、そのメールアドレスがパスワードリセット登録ページに表示され、パスワードリセットワークフロー中にも表示されます。

セキュリティの質問と回答

セキュリティの質問と回答は Microsoft Entra テナントに安全に保存され、ユーザーは My Security-Info の組み合わせ登録エクスペリエンスを通じてのみアクセスできます。管理者は、他のユーザーの質問と回答の内容を表示、設定、または変更することはできません。

ユーザーが登録するとどうなりますか?

ユーザーが登録するとき、登録ページには次のフィールドが設定されます。

認証用電話
認証用電子メール
セキュリティの質問と回答

[携帯電話] または [連絡用メールアドレス] に値が指定されている場合、ユーザーはそれらの値を使用してすぐにパスワードをリセットすることができます。これはユーザーがサービスに登録していない場合でも実行できます。

ユーザーは、初めて登録するときにもこれらの値を確認し、必要に応じて変更できます。ユーザーが正常に登録された後、これらの値は、それぞれ [認証用電話] フィールドと [認証用メール] フィールドの固定値になります。

PowerShell を使用した認証データの設定と読み取り

PowerShell を使用して、次のフィールドを設定できます。

連絡用メールアドレス
携帯電話
会社電話
- オンプレミスのディレクトリと同期していない場合にのみ設定できます。

Microsoft Graph PowerShell を使用して、Microsoft Entra ID を操作できます。 Microsoft Graph REST API を使用して、認証方法を管理することもできます。

Microsoft Graph PowerShell を使用する

操作を開始するには、Microsoft Graph PowerShell モジュールをダウンロードしてインストールします。

Install-Module をサポートする PowerShell の最新バージョンから簡単にインストールするには、次のコマンドを実行します。最初の行では、モジュールがすでにインストールされているかどうかを確認します。

Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"

モジュールがインストールされたら、次の手順に従って各フィールドを構成します。

Microsoft Graph PowerShell を使用して認証データを設定する

Connect-MgGraph -Scopes "User.ReadWrite.All"

Update-MgUser -UserId 'user@___domain.com' -otherMails @("emails@___domain.com")
Update-MgUser -UserId 'user@___domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@___domain.com' -businessPhones "+1 4252345678"

Update-MgUser -UserId 'user@___domain.com' -otherMails @("emails@___domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"

Microsoft Graph PowerShell を使用して認証データを読み取る

Connect-MgGraph -Scopes "User.Read.All"

Get-MgUser -UserId 'user@___domain.com' | select otherMails
Get-MgUser -UserId 'user@___domain.com' | select mobilePhone
Get-MgUser -UserId 'user@___domain.com' | select businessPhones

Get-MgUser -UserId 'user@___domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table

次のステップ

ユーザーの認証連絡先情報が事前入力されたら、次のチュートリアルを完了して、セルフサービスパスワードリセットを有効にします。

Microsoft Entra セルフサービスパスワードリセットを有効にする