Windows サインイン画面で Microsoft Entra のセルフサービス パスワード リセットを有効にする

Microsoft Entra ID のセルフサービス パスワード リセット (SSPR) を使用すると、ユーザーは管理者やヘルプデスクの関与なしにパスワードを変更またはリセットできます。 通常、ユーザーは別のデバイスで Web ブラウザーを開いて SSPR ポータルにアクセスします。 Windows 7、8、8.1、10、11 を実行しているコンピューターでのエクスペリエンスを向上させるために、ユーザーが Windows サインイン画面でパスワードをリセットできるようにすることができます。

この記事では、管理者に、企業内の Windows デバイスに対して SSPR を有効にする方法について説明します。

IT チームが Windows デバイスから SSPR を使用する機能を有効にしていない場合、またはサインイン中に問題が発生した場合は、ヘルプデスクに連絡してサポートを受けてください。

一般的な制限事項

Windows サインイン画面から SSPR を使用する場合、次の制限が適用されます。

• パスワードのリセットは、現在、リモート デスクトップや Hyper-V 拡張セッションからはサポートされていません。

• Microsoft 以外の一部の資格情報プロバイダーは、この機能で問題を引き起こすことが知られています。

• EnableLUA レジストリ キーを変更してユーザー アカウント制御を無効にすると、問題が発生することがわかっています。

• この機能は、802.1x ネットワーク認証が展開され、[ ユーザー ログオンの直前に実行する] オプションがあるネットワークでは機能しません。 802.1x ネットワーク認証が展開されているネットワークでは、マシン認証を使用してこの機能を有効にすることをお勧めします。

• Microsoft Entra ハイブリッド参加済みマシンでは、新しいパスワードを使用してキャッシュされた資格情報を更新するために、ドメイン コントローラーへのネットワーク接続ラインオブサイトが必要です。 デバイスは、組織の内部ネットワーク上、またはオンプレミスのドメイン コントローラーへのネットワーク アクセスを備えた仮想プライベート ネットワーク上にある必要があります。 SSPR が唯一の要件である場合、ドメイン コントローラーへのネットワーク接続回線は必要ありません。

• イメージを使用する場合は、実行する前に、sysprepCopyProfile手順を実行する前に、組み込み管理者の Web キャッシュがクリアされていることを確認してください。 詳細については、「 カスタムのデフォルトユーザープロファイルを使用するとパフォーマンスが低下する」を参照してください。

• 次の設定は、Windows 10 デバイスでパスワードを使用およびリセットする機能を妨げることがわかっています。

  • ロック画面の通知がオフになっている場合、 パスワードのリセット は機能しません。
  • HideFastUserSwitching が [有効] または [1] に設定されている。
  • DontDisplayLastUserName が [有効] または [1] に設定されている。
  • NoLockScreen が [有効] または [1] に設定されている。
  • BlockNonAdminUserInstall が [有効] または [1] に設定されている。
  • EnableLostMode がデバイスに設定されている。
  • Explorer.exe はカスタムシェルに置き換えられます。
  • 対話型ログオン: [スマート カードが必要] が [有効 ] または 1 に設定されています。

• 次の特定の 3 つの設定を組み合わせると、この機能が動作しなくなる可能性があります。

  • 対話型ログオン: CTRL+ALT+DEL キーが[無効 ] に設定されている必要はありません (Windows 10 バージョン 1710 以前の場合のみ)。
  • DisableLockScreenAppNotifications が [有効] または [1] に設定されている。
  • Windows版はHome版です。

Windows 11 および Windows 10 のパスワード リセット

サインイン画面で Windows 11 または Windows 10 デバイスを SSPR 用に構成するには、次の前提条件と構成手順を確認します。

Windows 11 と Windows 10 の前提条件

• 少なくとも Authentication Policy Administrator として Microsoft Entra 管理センターにサインインし、Microsoft Entra SSPR を有効にします。
• ユーザーは、 Windows サインイン画面でこの機能を使用する前に、SSPR に登録する必要があります。
  • すべてのユーザーは、パスワードをリセットする前に認証の連絡先情報を提供する必要がありますが、これは Windows サインイン画面から SSPR を使用する場合に固有のことではありません。
• ネットワークプロキシの要件:
  • ポート 443 から passwordreset.microsoftonline.com および ajax.aspnetcdn.comU へ。
  • Windows 10 デバイスでは、SSPR の実行に使用される一時的な defaultuser1 アカウントに対して、コンピューター レベルのプロキシ構成またはスコープ付きプロキシ構成が必要です。 詳細については、「トラブルシューティング」セクション を 参照してください。
• Windows 10 バージョン 2018 年 4 月更新プログラム (v1803) 以上を実行し、デバイスは次のいずれかである必要があります。
  • Microsoft Entra が参加。
  • Microsoft Entra ハイブリッド参加。

Intuneを使用してWindows 11とWindows 10を有効にする

Intune を使用して Windows サインイン画面から SSPR を有効にするための構成変更をデプロイするのは、最も柔軟な方法です。 Intuneを使用すると、定義した特定のマシン グループに構成の変更をデプロイできます。 この方法では、デバイスのIntune登録が必要です。

Intuneでデバイス構成ポリシーを作成する

1. Microsoft Intune 管理センターにサインインします。

2. 新しいデバイス構成プロファイルを作成するには、 [デバイス構成>プロファイル ] に移動し、 [+ プロファイルの作成] を選択します。

   • [プラットフォーム] で、[Windows 10 以降] を選択します。
   • [プロファイルタイプ] で [テンプレート] を選択し、[カスタム] テンプレートを選択します。

3. [作成] を選択し、プロファイルにわかりやすい名前 (Windows 11 サインイン画面 SSPR など) を指定します。

   必要に応じて、プロファイルのわかりやすい説明を入力し、[ 次へ] を選択します。

4. [構成設定] で [追加] を選択し、次の OMA-URI 設定を指定してパスワードのリセット リンクを有効にします。

   • 設定の動作を説明するわかりやすい名前 ( [SSPR リンクの追加] など) を入力します。
   • 必要に応じて、設定のわかりやすい説明を入力します。
   • OMA-URI を ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset に設定します。
   • [Data type] を [Integer] に設定します。
   • [値] を 1 に設定します。

   追加 を選び、次へ を選択します。

5. ポリシーは、特定のユーザー、デバイス、またはグループに割り当てることができます。 環境に必要なプロファイルを割り当てます。 ベスト プラクティスは、最初にデバイスのテスト グループに割り当ててから、 [次へ] を選択することです。

   詳細については、Microsoft Intune でユーザーとデバイスのプロファイルを割り当てる方法に関するページを参照してください。

6. 環境に必要な適用ルール ( OS エディションが Windows 10 Enterprise の場合にプロファイルを割り当てるなど) を構成し、[ 次へ] を選択します。

7. プロファイルを確認し、 [作成] を選択します。

レジストリを使用してWindows 11およびWindows 10を有効にする

レジストリ キーを使用して Windows サインイン画面で SSPR を有効にするには、次の手順を実行します。

1. 管理者の資格情報を使用して Windows PC にサインインします。

2. Windows + R を選択して [ファイル名を指定して実行] ダイアログを開き、管理者として regedit を実行します。

3. 次のレジストリ キーを設定します。

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Windows 11 と Windows 10 のパスワード リセットのトラブルシューティング

Windows サインイン画面から SSPR を使用して問題が発生した場合、Microsoft Entra 監査ログには、次の出力例に示すように、パスワードのリセットが発生した IP アドレスと ClientTypeに関する情報が含まれています。

ユーザーが Windows 11 または 10 デバイスのサインイン画面からパスワードをリセットすると、 defaultuser1 と呼ばれる特権の低い一時的なアカウントが作成されます。 このアカウントは、パスワードのリセットプロセスを安全に保つために使用されます。

アカウント自体にはランダムに生成されたパスワードがあり、組織のパスワードポリシーに照らして検証されます。 パスワードはデバイスのサインインには表示されず、ユーザーがパスワードをリセットすると自動的に削除されます。 複数の defaultuser プロファイルが存在する場合がありますが、無視しても問題ありません。

Windows パスワード リセットのプロキシ構成

パスワードのリセット中に、SSPR は https://passwordreset.microsoftonline.com/n/passwordreset に接続するための一時的なローカル ユーザー アカウントを作成します。 プロキシがユーザー認証用に構成されている場合、"問題が発生しました。 後でもう一度やり直してください。」このエラーは、ローカル ユーザー アカウントが認証されたプロキシの使用を許可されていないために発生します。

この場合は、次のいずれかの回避策を使用します。

• マシンにサインインしているユーザーのタイプに依存しないマシン全体のプロキシ設定を構成します。 たとえば、ワークステーションのグループ ポリシー の [プロキシ設定の作成] を (ユーザーごとではなく) マシンごとに 有効にできます。

• 既定のアカウントのレジストリ テンプレートを変更する場合は、SSPR のユーザーごとのプロキシ構成を使用することもできます。 コマンドは次のとおりです。

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• 「問題が発生しました」というエラーは、URL https://passwordreset.microsoftonline.com/n/passwordresetへの接続が中断された場合にも発生する可能性があります。 たとえば、このエラーは、ウイルス対策ソフトウェアが URL の除外なしでワークステーションで実行されている場合に発生する可能性があります passwordreset.microsoftonline.com、 ajax.aspnetcdn.com、 ocsp.digicert.com。 このソフトウェアを一時的に無効にして、問題が解決したかどうかをテストします。

Windows 7、8、および 8.1 のパスワード リセット

Windows サインイン画面で Windows 7、8、または 8.1 デバイスを SSPR 用に構成するには、次の前提条件と構成手順を確認してください。

Windows 7、8、8.1 の前提条件

• 少なくとも Authentication Policy Administrator として Microsoft Entra 管理センターにサインインし、Microsoft Entra SSPR を有効にします。
• ユーザーは、この機能を使用する前に、 Windows サインイン画面で SSPR に登録する必要があります。
  • すべてのユーザーは、パスワードをリセットする前に認証の連絡先情報を提供する必要がありますが、これは Windows サインイン画面から SSPR を使用する場合に固有のことではありません。
• ネットワークプロキシの要件:
  • ポート 443 から passwordreset.microsoftonline.com
• Windows 7またはWindows 8.1オペレーティングシステムにパッチを適用しました。
• TLS 1.2 は、「 トランスポート層セキュリティ (TLS) レジストリ設定」のガイダンスに従って有効にします。
• マシンで Microsoft 以外の資格情報プロバイダーが複数有効になっている場合、Windows サインイン画面には複数のユーザー プロファイルが表示されます。

SSPR コンポーネントをインストールする

Windows 7、8、8.1 の場合、Windows サインイン画面で SSPR を有効にするには、コンピューターに小さなコンポーネントをインストールする必要があります。 この SSPR コンポーネントをインストールするには、次の手順を実行します。

1. 有効にするWindowsバージョンに適したインストーラーをダウンロードします。

   ソフトウェア インストーラーは、 Microsoft ダウンロード センターから入手できます。

2. インストールするマシンにサインインし、インストーラーを実行します。

3. インストール後、再起動を実行することをお勧めします。

4. 再起動後、Windows サインイン画面でユーザーを選択し、[ パスワードを忘れた場合] を選択してパスワード リセット ワークフローを開始します。

5. 手順に従ってパスワードをリセットします。

   

サイレント インストール

プロンプトを表示せずに SSPR コンポーネントをインストールまたはアンインストールするには、次のコマンドを使用します。

• サイレントインストール: msiexec /i SsprWindowsLogon.PROD.msi /qnを使用します。
• サイレントアンインストール: msiexec /x SsprWindowsLogon.PROD.msi /qnを使用します。

Windows 7、8、8.1 のパスワード リセットのトラブルシューティング

Windows サインイン画面から SSPR を使用するときに問題が発生した場合、イベントはマシンと Microsoft Entra ID に記録されます。 Microsoft Entra イベントには、パスワードのリセットが発生した IP アドレスと ClientType パラメーターに関する情報が含まれます。

さらにログが必要な場合は、マシンのレジストリ キーを変更して詳細ログを有効にします。 トラブルシューティング目的で詳細ログを有効にするには、次のレジストリ キー値を使用します。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• 詳細ログを有効にするには、 REG_DWORD: "EnableLogging" を作成して 1 に設定します。
• 詳細ログを無効にするには、 REG_DWORD: "EnableLogging" を 0 に変更します。
• ソース AADPasswordResetCredentialProviderの下にあるアプリケーション イベント ログのデバッグ ログを確認します。

ユーザーには何が表示されますか?

Windows デバイス用に SSPR が構成されている場合、ユーザーにとってどのような変更が加えられますか? サインイン画面でパスワードをリセットできることは、どのようにしてわかりますか? 次の例のスクリーンショットは、ユーザーが SSPR を使用してパスワードをリセットするためのその他のオプションを示しています。

ユーザーがサインインしようとすると、サインイン画面に SSPR エクスペリエンスを開く [ パスワードのリセット ] または [ パスワードを忘れた場合 ] リンクが表示されます。 これで、ユーザーは別のデバイスを使用してWebブラウザにアクセスしなくても、パスワードをリセットできます。

この機能の使用方法の詳細については、「 職場または学校のパスワードを再設定する」を参照してください。

関連コンテンツ

ユーザー登録エクスペリエンスを簡略化するために、 SSPR のユーザー認証連絡先情報を事前に設定できます。