はじめに
クラウドで従業員の ID 管理をしたいと題して、前回は E5 セキュリティ (Enterprise Mobility + Security E5) を導入しました。
これにより Microsoft 社が提供する様々な ID 関連のセキュリティサービス (リスクベースの条件付きアクセスや特権 ID 管理など) が利用できるようになりました。今回は、セルフサービスパスワードリセット (以下、SSPR) と呼ばれる機能について設定していきたいと思います。SSPR とは Azure AD のユーザーがパスワードを忘れてもユーザー自身でパスワードをリセットできる機能で、管理者やヘルプデスクの作業省力化につながります。
事前準備 – 一般ユーザーを作成しよう
1. 管理者は Microsoft 365 管理センター (https://admin.microsoft.com) にログインし、左ペイン (ナビゲーションメニュー) の [ユーザー]-[アクティブなユーザー] を選択します。
2. アクティブなユーザーの画面で [ユーザーの追加] をクリックすると、ユーザーを追加の画面が表示され、基本設定を入力し [次へ] をクリックします。
3. 製品ライセンスの割り当て画面で購入したライセンスをすべて選択し [次へ] をクリックします。
4. オプション設定は管理者ロールを付与しないので、そのまま [次へ] をクリックします。
5. 確認と完了の画面が表示され [追加の完了] をクリックします。
6. アクティブなユーザーに追加されましたの画面が表示されるので [閉じる] をクリックします。
事前準備 – マイアカウントポータルにアクセスしよう
1. 管理者アカウントから一旦ログアウトし、マイアカウントポータル (https://myaccount.microsoft.com) にアクセスします。サインインの画面が表示されるので、先ほど作成した一般ユーザーのアカウントを入力します。
2. 一般ユーザーのパスワードを入力します。
3. アクションが必要の画面が表示されるので、多要素認証 (以下、MFA) 手段を登録するため [次へ] をクリックします。
4. Microsoft Authenticator 登録の画面が表示されるので [次へ] をクリックして、案内に従って操作します。
5. MFA 手段の登録が完了したのち、マイアカウントポータルにアクセスできます。
6. SSPR のためにはデフォルトで電話番号の設定も必要なため、電話番号を設定します。マイアカウントポータルの左ペインの [セキュリティ情報] をクリックします。
7. 詳細情報が必要の画面が表示されるので [次へ] をクリックします。
8. セキュリティ情報の画面が表示され [サインイン方法の追加] をクリックし、方法の選択で [電話] を選択し [追加] をクリックします。
9. [+81] を選択した状態で電話番号を入力し [次へ] をクリックします。
10. CAPTCHA の文字列を入力し [次へ] をクリックします。
11. SMS の確認コードを入力し [次へ] をクリックします。
12. SMS が検証されましたの画面が表示され、セキュリティ情報に電話番号が追加されたことが確認できます。
パスワードリセットの設定を有効にしよう
1. 管理者は Microsoft 365 管理センター (https://admin.microsoft.com) にログインし、左ペイン (ナビゲーションメニュー) の [セットアップ] を選択します。
2. セットアップ画面のサインインとセキュリティの項目の [ユーザー自身がパスワードをリセットできるようにする] をクリックします。
3. ユーザー自身がパスワードをリセットできるようにするの画面が表示されるので [始める] をクリックします。
4. Microsoft Entra 管理センターが起動し、パスワードリセットの画面が表示されます。パスワードリセットのセルフサービスが有効を [すべて] に変更し、[保存] をクリックします。
SSPR を実施しよう
1. 管理者アカウントから一旦ログアウトし、マイアカウントポータル (https://myaccount.microsoft.com) にアクセスします。サインインの画面が表示されるので、先ほど作成した一般ユーザーのアカウントを入力します。
2. 一般ユーザーのパスワードを入力せず [パスワードを忘れた場合] をクリックします。
3. CAPTCHA の文字列を入力し [次へ] をクリックします。
4. 登録した電話番号を入力し [SMS 送信] をクリックします。
5. SMS の確認コードを入力し [次へ] をクリックします。
6. 新しいパスワードを入力し [完了] をクリックします。
7. パスワードがリセットされましたと表示され、[ここをクリック] のリンクからログイン画面に遷移できます。
終わりに
SSPR の導入によって、ユーザーがパスワードを忘れても、管理者を介さずにアカウントを回復できることがわかりました。今回紹介しませんでしたが、SSRP の認証方法は Azure ポータルから設定することができ、電話番号以外にも認証アプリコードも設定可能です。また、認証方法の数も 1 個と 2 個 で選択可能となっています。ポリシー設定の詳細は以下をご確認いただければと思います。
次回は、多要素認証の設定について紹介できればと思います。
コメント