Office 365 のセルフサービスパスワードリセットの有効化

チュートリアル

あなたのチームはパスワードリセットのリクエストで忙しいですか?正直に言いましょう。ユーザーはパスワードを忘れたり、自分自身をロックアウトしたりすることがよくあります。Office 365のセルフサービスパスワードリセットを許可して、ユーザーがそれを自分で処理できるようにしましょう。

ユーザーは、パスワードをリセットするためにケース管理プロセスを経る必要があることで便利さを損ない、イライラすることがあります。ユーザーがVIPでない限り、ほとんどのパスワードリセットリクエストは低優先度として扱われ、処理には数日かかることがあります。

これらの懸念点は、Office 365またはSSPRでセルフサービスパスワードリセットを実装することで解決できます。SSPRを実装すると、ユーザーは自分のアカウントでパスワードリセット操作を実行できるようになります。SSPRの実装により、ユーザー体験が大幅に向上し、パスワードリセットに関連するリクエストの数を減らすことができます。

この記事では、セルフサービスパスワードリセットサービスの有効化、設定、テスト方法について学びます。クラウド専用およびハイブリッド組織にSSPRを実装する方法も学びます。

MFA、SSO、およびセルフサービスパスワードリセットでアイデンティティセキュリティを近代化しましょう。ManageEngine ADSelfService Plusをダウンロード

前提条件

この記事は手順の解説です。一緒に進める予定の場合は、以下の要件を満たす必要があります。

  • A working Azure AD or Microsoft 365 Tenant. If you do not have this yet, you can request for a trial account.
  • A Global Administrator user account. This account will be used for the configuration and management of SSPR.
  • A non-administrator cloud-only account. This account will be used for testing the SSPR user experience. In this article, the cloud-only account named CloudUser will be used.
  • オンプレミスのWindows Active Directoryには、Azure AD Connectがインストールおよび構成されている必要があります。これはオプションであり、Windows Active Directoryへのパスワードの書き戻しを有効にする場合にのみ必要です。
      Azure ADに同期されるWindows ADの非管理者アカウント。この記事では、オンプレミスのユーザーアカウント*HybridUser*****を使用します。
  • A group to which the non-administrator account is a member. This group will be used as the target to allow SSPR. In this article, SSPR will be enabled to target only the members of the group named SSPR-Users.
  • SSPR機能の意図した実装によっては、異なるライセンスまたはサブスクリプションが必要な場合があります。機能と必要なライセンスを示す下の画像を参照してください。
Comparing Self-Service Password Resets for Office 365 editions and features

セルフサービスパスワードリセットの状態オプションを把握する

Office 365のセルフサービスパスワードリセットを有効にするプロセスは簡単です。ただし、有効にすることと注意深く実装することは同じではありません。

新しい機能を実装する際の最大の懸念事項の一つは、ユーザーがどのように影響を受けるかです。幸いにも、SSPRは選択したグループのメンバーにのみ対象を絞るように有効にできます。特にバッチでSSPRを実装する場合、可能な影響を最小限に抑えるのに役立ちます。

SSPRには3つの状態があります。各状態は、ユーザーに対してSSPRが適用される方法(または適用されない方法)を表します。

  • なし – この状態では、テナント内のすべてのユーザーに対してSSPRが無効になっています。

注:SSPRの状態が「なし」に設定されていても、管理者は常にSSPRを使用して自分のパスワードをリセットするために2つの認証方法を使用する必要があります。

  • 選択済み – この状態では、SSPRは選択したグループにのみ適用されます。段階的な展開を行う際に便利です。この状態を使用すると、ユーザーを対象グループにバッチで追加することができます。この記事では、このSSPRの状態が使用されます。

注意:選択した状態を選択する場合、SSPRは1つのグループのみを対象とします。ただし、ネストされたグループは許可されています。

  • すべて – この状態でSSPRを有効にすると、テナント内のすべてのユーザーに対してSSPRが適用されます。

クラウドのみのセットアップを行っている組織でのSSPRの有効化

クラウドのみの組織では、Office 365のセルフサービスパスワードリセットを有効にするには、スイッチをオンにして基本的なセットアップを適用するだけです。以下の手順を実行すると、それができます。

まず、グローバル管理者アカウントを使用してMicrosoft Azureポータルにログインし、Azure Active Directoryブレードに移動します。

Click the Azure Active Directory blade

Azure Active Directoryページで、管理セクションの下にあるパスワードリセットを見つけてクリックします。

Go to Password Reset

パスワードリセットブレードの管理セクションの下で、プロパティメニューブレードをクリックします。その後、Office 365のセルフサービスパスワードリセットの現在の状態が表示されます。以下のスクリーンショットから分かるように、現在のOffice 365のセルフサービスパスワードリセットの状態は “なし” です。これは、現在、すべてのエンドユーザーに対してSSPRがオフになっていることを意味します。

SSPR is turned off

次に、SSPRのステータスを選択済みに変更します。次に、オフィス365の自己サービスパスワードリセットが有効になるセキュリティグループを指定する必要があります。以下の例では、SSPR-Usersという名前のグループが選択されています。目標グループを選択した後、選択ボタンをクリックしてください。

Choosing a target group for SSPR

下の画像からわかるように、選択したグループSSPR-Usersが選択されています。最後に、保存をクリックしてSSPRを有効にしてください。

Save the SSPR status change

ハイブリッドセットアップを持つ組織のためのSSPRの有効化

前のセクションでは、クラウド専用のユーザーの選択されたグループにSSPRを有効にする方法を学びました。このセクションでは、組織のユーザーがオンプレミスのActive DirectoryからAzure ADに同期されている場合に行う必要がある手順について学びます。

関連記事:Azure AD Connectを使用してAzure ADをOffice 365に接続する方法

ハイブリッドユーザーアカウントは最初にオンプレミスのADで作成されるため、リセットされたパスワードはオンプレミスのADに書き戻す必要があります。そのためには、Azure AD Connectでパスワード書き戻し機能を有効にする必要があります。

Azure AD Connectでパスワード書き戻し機能を有効にする

パスワード書き戻し機能を有効にするには、Azure AD Connectがインストールされているサーバーにアクセスできる必要があります。パスワード書き戻しを有効にするためには、次の手順に従ってください。

Azure AD Connectの設定プログラムを起動し、構成をクリックします。

Configure Azure AD Connect

次に、追加のタスクの下で、同期オプションのカスタマイズを選択します。次に、次へをクリックします。

Select Customize synchronization options

Azure ADに接続ページで、グローバル管理者アカウントの資格情報を入力します。次に、次へをクリックします。

Connect to Azure AD

次のページをクリックして進み、オプション機能ページに到達します。パスワードの書き戻しのチェックボックスにチェックを入れ、次へをクリックします。

Enable Password writeback

次に、構成の準備完了ページで、構成をクリックします。その後、構成プロセスが完了するまで待ちます。

Ready to configure

構成が成功したことを示す、以下の画像と同じステータスが表示されるはずです。終了をクリックします。

Configuration complete

Office 365オプションのセルフサービスパスワードリセットの構成

これまでの記事では、デフォルトオプションでSSPRを有効にする方法を学びました。デフォルトのオプションでも、SSPRはすでに機能しています。

ただし、より詳細な制御を目的として、認証方法、登録、通知、サポート連絡先リンクまたはメール、オンプレミスADの統合など、さまざまなオプションを構成およびカスタマイズすることもできます。

登録オプションの構成

Office 365のセルフサービスパスワードリセットを利用する前に、ユーザーはまず認証情報の登録が必要です。 登録メニューブレードには、以下のスクリーンショットに示されている2つの設定があります。

SSPR Registration Configuration

上の画像から分かるように、2つのオプションは次のとおりです:

  1. サインイン時にユーザーに登録を要求しますか? – この設定は、次回ログイン時にユーザーが認証情報の登録を強制されるかどうかを制御します。これがNoに設定されている場合、管理者はユーザーに手動でセルフサービスパスワードリセット情報を登録する方法を教育する必要があります。デフォルトでは、この設定はYesに設定されています。
  2. ユーザーに認証情報を再確認するように要求するまでの日数 – この値は、ユーザーがSSPRのために認証情報を更新または再確認する必要があるタイミングを決定します。デフォルトでは、この設定の値は180日に設定されています。

この記事では、デフォルトの設定が使用されます。

認証方法の設定

ユーザーが自分のパスワードをリセットしようとすると、Office 365のセルフサービスパスワードリセットはユーザーに身元を証明することを要求します。SSPRを構成して、最大で2つの認証方法を要求することができます。

SSPR Authentication Methods

上の画像から分かるように、2つの設定があります:

  1. リセットに必要な方法の数 – これは、ユーザーが自分自身のパスワードをリセットしようとしたときに必要とされる認証方法の数を決定します。この設定のデフォルトは1です。
  2. ユーザーが利用できる方法 – これは、ユーザーがアカウントのパスワードをリセットする前に認証するための可能な方法のリストを示します。これらの方法には、Microsoft Authenticatorアプリ(コードと通知)、メール、SMS、オフィスの電話、セキュリティの質問が含まれます。

この記事では、デフォルトの構成が使用されます。

通知の設定

ユーザーや管理者が、自分自身のアカウントでパスワードリセット操作が行われた場合にメールで通知を受けることは良いアイデアです。

ユーザーに通知すると、彼らは自分自身がパスワードリセットを行ったことを確認することができます。

SSPR Notifications

上の画像では、パスワードリセット時にユーザーに通知する他の管理者がパスワードをリセットした場合にすべての管理者に通知するオプションがあることが示されています。

この記事では、デフォルトの構成が使用されます。

サポート連絡先情報の設定

利用可能な別の設定は、SSPRのサポート連絡先情報をカスタマイズすることです。この設定により、ユーザーはヘルプデスクや管理者に連絡する方法を提供されます。

次に示すように、1) カスタマイズしたヘルプデスクリンクのデフォルト設定はNoに設定されています。オプションをYesに変更すると、2) カスタムヘルプデスクのメールまたはURLを指定することができます。

Support Contact Customization

この記事では、デフォルトの設定が使用されます。

オンプレミス統合の設定

オンプレミス統合メニューブレードでは、オンプレミスの書き戻しクライアントの可用性の状態が表示されます。パスワードの書き戻し機能が動作しているかどうかを確認できます。

Configuring On-Premises Integration

上の画像からわかるように、以下のオプションがあります:

  1. オンプレミスディレクトリへのパスワード書き戻しオプションのオンまたはオフ
  2. ユーザーがパスワードを変更せずにロックアウトされたアカウントをロック解除できるかどうかのオンまたはオフ

この記事では、デフォルトの設定が使用されます。

セルフサービスパスワードリセットのユーザーエクスペリエンスのテスト

これまでの記事では、Office 365でセルフサービスパスワードリセットを有効にする方法と、利用可能なさまざまな設定オプションについて学びました。このセクションでは、セルフサービスパスワードリセットのユーザーエクスペリエンスをテストし、慣れることができます。

セルフサービスパスワードリセットの認証情報の登録

デフォルトでは、Office 365のセルフサービスパスワードリセットが有効になると、ユーザーは自動的に認証情報の登録を促されます。ユーザーはまた、手動でSSPRの登録リンク(https://aka.ms/ssprsetup)にアクセスすることもできます。

以下は、ユーザーCloudUserOffice 365ポータルにログインした場合のデモンストレーションです。

Support Contact Customization

上記のデモンストレーションからわかるように、Office 365ポータルへの正常なサインイン後、ユーザーには認証情報の登録を求められました。SSPRの登録では1つの認証方法のみが必要なため、電話番号のみの登録で十分でした。

パスワードリセットの実行

ユーザーがセルフサービスパスワードリセットに登録されており、アカウントのパスワードをリセットする必要がある場合、https://aka.ms/ssprのパスワードリセットURLにアクセスする必要があります。

以下のデモンストレーションは、セルフサービスパスワードリセットの実行方法を示しています。

Performing a password reset

上記のデモンストレーションからわかるように、ユーザーがSMSコードを使用して認証できると、パスワードを変更できました。

以下の画像は、セルフサービスパスワードリセットプロセスの一環としてユーザーに送信されるパスワードリセット通知です。

SSPR notification email

MFA、SSO、およびセルフサービスのパスワードリセットにより、アイデンティティセキュリティを近代化します。ManageEngine ADSelfService Plusをダウンロード

概要

Office 365のためのセルフサービスパスワードリセットは、ユーザーと管理者が簡単かつ安全に自分のパスワードをリセットする方法として便利です。

ユーザーがパスワードリセットのオプションを提供されると、解決までの長い待ち時間がなくなり、生産性の中断が最小限に抑えられます。

この記事では、セルフサービスパスワードリセットを有効にし、特定のグループに適用する方法について学びました。また、組織がSSPRをどのように使用するかを制御するためのさまざまな設定オプションについても学びました。

また、登録プロセスやメール通知を含む、セルフサービスパスワードリセットのユーザーエクスペリエンスがどのように機能するかについて、ステップバイステップで学びました。

この記事でカバーされていない、ポリシーの設定や禁止されたパスワードの設定など、SSPRと統合できるさまざまな構成があります。これにより、Office 365テナントでSSPRを実装するための自信を持てるはずです。

Source:
https://adamtheautomator.com/self-service-password-reset-office-365/