チュートリアル: Microsoft Entra のセルフサービス パスワード リセットを使ってユーザーが自分のアカウントのロック解除またはパスワードのリセットを実行できるようにする

Microsoft Entra セルフサービス パスワード リセット (SSPR) を使用すると、管理者やヘルプ デスクが関与することなく、ユーザーが自分でパスワードを変更したり、リセットしたりできます。 Microsoft Entra ID によって自分のアカウントがロックされた場合やパスワードを忘れた場合でも、ユーザーは画面の指示に従って自分自身のブロックを解除して、作業に戻ることができます。 この機能により、ユーザーが自分のデバイスやアプリケーションにサインインできなくなった場合のヘルプ デスクの問い合わせが減り、生産性の喪失も軽減されます。 Microsoft Entra ID で SSPR を有効にして構成する方法については、このビデオをお勧めします。 また、 SSPR で最も一般的な 6 つのエンド ユーザー エラー メッセージを解決するためのビデオも IT 管理者向けに用意されています。

このチュートリアルで学習する内容は次のとおりです。

ビデオ チュートリアル

関連ビデオ「 Microsoft Entra ID で SSPR を有効にして構成する方法」も参照してください。

前提条件

このチュートリアルを完了するには、以下のリソースと特権が必要です。

• パスワードのリセットには、少なくとも Microsoft Entra ID P1 ライセンスがある稼働中の Microsoft Entra テナントが必要です。 Microsoft Entra ID でのパスワード変更とパスワード リセットのライセンス要件の詳細については、「 Microsoft Entra のセルフサービス パスワード リセットのライセンス要件」を参照してください。
• 少なくとも認証ポリシー管理者ロールを持つアカウント。
• 管理者以外のユーザーで、たとえばtestuserのように、あなたが知っているパスワードを持つユーザー。 このチュートリアルでは、このアカウントを使用してエンドユーザーの SSPR エクスペリエンスをテストします。
  • ユーザーを作成する必要がある場合は、「 クイック スタート: Microsoft Entra ID に新しいユーザーを追加する」を参照してください。
• 管理者以外のユーザーがメンバーであるグループ ( SSPR-Test-Group など)。 このチュートリアルでは、このグループに対して SSPR を有効にします。
  • グループを作成する必要がある場合は、「 基本的なグループを作成し、Microsoft Entra ID を使用してメンバーを追加する」を参照してください。

セルフサービス パスワード リセットを有効にする

Microsoft Entra ID を使用すると、 なし、 選択済み、または すべての ユーザーに対して SSPR を有効にすることができます。 この詳細な機能により、SSPR の登録プロセスとワークフローのテスト対象となるユーザーのサブセットを選択できます。 このプロセスに慣れ、より広範なユーザーに要求を伝えることができるようになったら、ユーザー グループを選択して、SSPR を有効にすることができます。 または、Microsoft Entra テナント内のすべてのユーザーに対して SSPR を有効にすることもできます。

このチュートリアルでは、テスト グループ内の一連のユーザーに対して SSPR を設定します。 SSPR-Test-Group を使用し、必要に応じて独自の Microsoft Entra グループを提供します。

1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。

2. 左側のメニューから [保護]、> の順に進みます。

3. [プロパティ] ページの [セルフサービス パスワード リセットが有効] オプションの下にある [選択済み] を選択します。

4. グループが表示されない場合は、[ グループが選択されていません] を選択し、 SSPR-Test-Group などの Microsoft Entra グループを参照して選択し、[選択] を 選択します。

   

5. 選択したユーザーに対して SSPR を有効にするには、[ 保存] を選択します。

認証方法と登録オプションを選択する

ユーザーが自分のアカウントのロックを解除したり、パスワードをリセットしたりする必要がある場合は、別の確認方法を求められます。 この追加の認証要素によって、承認された SSPR イベントのみが Microsoft Entra ID により処理されるようになります。 ユーザーが指定する登録情報に基づいて、どの認証方法を許可するかを選択できます。

1. [認証方法] ページの左側にあるメニューから、[リセットに必要なメソッドの数] を2 に設定します。

   セキュリティを強化するために、SSPR に必要な認証方法の数を増やすことができます。

2. 組織がユーザーに許可する方法を選択します。 このチュートリアルでは、次の方法を有効にするためのチェック ボックスをオンにします。

   • モバイル アプリの通知
   • モバイル アプリ コード
   • 電子メール
   • 携帯電話

   ビジネス要件に合わせて、必要に応じて、 Office 電話 や セキュリティの質問などの他の認証方法を有効にすることができます。

3. 認証方法を適用するには、[ 保存] を選択します。

ユーザーが自分のアカウントのロックを解除したり、パスワードをリセットしたりするには、自分の連絡先情報を登録しておく必要があります。 Microsoft Entra ID では、この連絡先情報が、前の手順で設定したさまざまな認証方法に使用されます。

この連絡先情報は、管理者が手動で入力することも、ユーザーが登録ポータルに移動して自分で入力することもできます。 このチュートリアルでは、ユーザーが次回サインインしたときに登録を求められるように Microsoft Entra ID を設定します。

1. [登録] ページの左側にあるメニューから、[サインイン時にユーザーの登録を必須にする] で [はい] を選択します。

2. ユーザーが認証情報を再確認するように求められるまでの日数を 180 に設定します。

   連絡先情報が最新の状態に保たれていることが重要です。 SSPR イベントの開始時に古い連絡先情報が存在する場合、ユーザーは自分のアカウントのロックを解除できないか、パスワードをリセットできない可能性があります。

3. 登録設定を適用するには、[ 保存] を選択します。

通知とカスタマイズを設定する

アカウントのアクティビティについて常にユーザーに通知されるように、SSPR イベントが発生したときに電子メール通知を送信するように Microsoft Entra ID を設定できます。 これらの通知は、通常のユーザー アカウントと管理者アカウントの両方を対象とすることができます。 管理者アカウントの場合は、この通知により、SSPR を使用して特権管理者アカウントのパスワードがリセットされたタイミングをより明確に認識できます。 管理者アカウントで SSPR を使用した場合、Microsoft Entra ID によってすべてのグローバル管理者に通知されます。

1. [通知] ページの左側にあるメニューから、次のオプションを設定します。

   • [ パスワード リセット時にユーザーに通知する] オプションを[はい] に設定します。
   • [他の管理者がパスワードをリセットしたときにすべての管理者に通知する] を [はい] に設定します。

2. 通知設定を適用するには、[ 保存] を選択します。

ユーザーが SSPR プロセスについてさらにヘルプを必要とする場合は、[ 管理者に問い合わせる] リンクを カスタマイズできます。 このリンクは、ユーザーが SSPR 登録プロセスで選択できるほか、自分のアカウントのロックを解除したりパスワードをリセットしたりするときに選択できます。 ユーザーが必要なサポートを受けられるようにするには、カスタム ヘルプデスクのメール アドレスまたは URL を指定することをお勧めします。

1. [カスタマイズ] ページの左側にあるメニューから、[ヘルプデスクのカスタマイズ] リンクを [はい] に設定します。
2. [カスタム ヘルプデスクの電子メールまたは URL] フィールドで、ユーザーが組織からさらに支援を受けることができるメール アドレスまたは Web ページの URL を指定します (例:https://support.contoso.com/
3. カスタム リンクを適用するには、[ 保存] を選択します。

セルフサービス パスワード リセット をテストする

SSPR を有効にして設定したら、前のセクションで選択したグループの一部であるユーザー ( Test-SSPR-Group など) で SSPR プロセスをテストします。 次の例では、 testuser アカウントを使用します。 独自のユーザー アカウントを指定してください。このチュートリアルの最初のセクションで SSPR を有効にしたグループに属しているものです。 このチュートリアルの最初のセクションで SSPR を有効にしたグループに属しているものです。

1. 手動の登録プロセスを確認するには、InPrivate またはシークレット モードで新しいブラウザー ウィンドウを開き、https://aka.ms/ssprsetup を参照します。 Microsoft Entra ID は、次回サインインするときにユーザーをこの登録ポータルに誘導します。

2. 管理者以外のテスト ユーザー ( testuser など) でサインインし、認証方法の連絡先情報を登録します。

3. 完了したら、[ 外観が良い ] とマークされたボタンを選択し、ブラウザー ウィンドウを閉じます。

4. InPrivate または incognito モードで新しいブラウザー ウィンドウを開き、https://aka.ms/sspr を参照します。

5. 管理者以外のテスト ユーザーのアカウント情報 ( testuser、CAPTCHA の文字など) を入力し、[ 次へ] を選択します。

   

6. 検証の手順に従って、パスワードをリセットします。 完了すると、パスワードがリセットされたことを示す電子メール通知が届きます。

リソースをクリーンアップする

このシリーズの後のチュートリアルでは、パスワード ライトバックを設定します。 この機能により、パスワードの変更が Microsoft Entra SSPR からオンプレミス AD 環境に書き戻されます。 このチュートリアル シリーズを続行してパスワード ライトバックを設定する場合は、ここでは SSPR を無効にしないでください。

このチュートリアルの一部として設定した SSPR 機能を使用しなくなった場合は、次の手順を使用して、SSPR の状態を [なし] に設定します。

1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
2. Entra ID>パスワード リセットを開いてください。
3. [ プロパティ ] ページの [ セルフ サービス によるパスワード リセットが有効] オプションの下にある [なし] を選択 します。
4. SSPR の変更を適用するには、[ 保存] を選択します。

FAQ

このセクションでは、SSPR を試す管理者とエンドユーザーからの一般的な質問について説明します。

• SSPR 中にオンプレミスのパスワード ポリシーが表示されないのはなぜですか。

  現時点で、Microsoft Entra Connect とクラウド同期では、クラウドとのパスワード ポリシーの詳細の共有はサポートされていません。 SSPR はクラウド パスワード ポリシーの詳細のみを表示し、オンプレミス ポリシーは表示できません。

• オンプレミスから同期されたパスワードを使用できるようになるまでに、フェデレーション ユーザー がパスワードがリセットされたことを 確認してから最大 2 分待つのはなぜですか?

  パスワードが同期されているフェデレーション ユーザーの場合、パスワードの権限のソースはオンプレミスです。 その結果、SSPR は、オンプレミスのパスワードのみを更新します。 Microsoft Entra ID へのパスワード ハッシュの同期は、2 分ごとにスケジュールされています。

• 電話やメールなどの SSPR データが事前に設定されている新しく作成されたユーザーが SSPR 登録ページにアクセスすると、アカウントへのアクセスを失わないでください！がページのタイトルに表示されます。 SSPR データが事前に設定されている他のユーザーにこのメッセージが表示されないのはなぜですか。

  [ アカウントへのアクセスを失わない ] と表示されるユーザーは、テナント用に構成された SSPR/結合された登録グループのメンバーです。 アカウントへのアクセスを失わないでください！が表示されないユーザーは、SSPR/統合登録グループに含まれませんでした。

• SSPR プロセスを実行してパスワードをリセットするときに、ユーザーによってパスワード強度インジケーターが表示されない場合があるのはなぜですか。

  脆弱または堅牢パスワード強度が表示されないユーザーでは、同期パスワード ライトバックが有効になっています。 SSPR は、お客様のオンプレミス環境のパスワード ポリシーを決定できないため、パスワードの強度や弱点を検証できません。

次のステップ

このチュートリアルでは、選択したユーザー グループに対して Microsoft Entra のセルフサービス パスワード リセットを有効にしました。 以下の方法を学習しました。