Azure

ユーザーにパスワードリセットさせたいときはAzure Active Directory Basicでプランです。

はじめに

くどうです。

前回は、Azure AD Basicのライセンスを購入したので実際に利用してみましょう。
http://level69.net/archives/24034
Azure ADに限らず、ADでユーザーを管理している場合に問題になるのがパスワードの初期化だと思います。
以前、ADを運用していた時は、一日2、3回はそんな依頼の内線がなっていました。
そうです、運用にとっては面倒です。利用者にとっても、いちいち内線するとか時間の無駄です。

そこで、Basicで追加される機能のひとつとして、セルフサービスによるパスワードのリセットがあります。
実際にどのように動作するものなのか確認してみます。

設定

Basicが適用されているAzure ADでは構成を確認すると「ユーザー パスワードのリセット ポリシー」をいう項目が増えていることに気が付きます。
pr01

・パスワードのリセットが有効になっているユーザー
 セルフでのパスワードリセットを有効にしたい場合は「はい」にします。

・パスワード リセットへのアクセスの制限
 パスワードのリセットを行えるユーザーをグループで制限したい場合に「はい」にします。

・パスワードをリセットできるグループ
 上記の設定でアクセスの制限を行いたい場合、リセットできるユーザーが所属するグループを指定します。

・ユーザーが使用できる認証方法
 リセットを行う場合の認証の方式です。会社電話、携帯電話。連絡用電子メールアドレス、秘密の質問を指定できます。複数選択も可能です。

・必要な認証方法の数
 上記の方法の内、いくつ利用でして認証するかを設定します。1~2が設定できます。

・登録する必要がある質問の数
 秘密の質問でユーザーが登録する必要がある質問の数です。3~5が設定できます。

・リセットに必要な質問の数
 登録した質問の内、リセットに必要な質問の数です。3~5が設定できます。登録する質問の数より多くすることはできません。

・秘密の質問
 知識ベースと、管理者が作成できるカスタムがあります。
 知識ベースは下記の質問35個が用意されています。

 最初の配偶者/パートナーと出会ったのは何市ですか?
 両親が出会ったのは何市ですか?
 年が一番近い兄弟が住んでいるのは何市ですか?
 父親が生まれたのは何市ですか?
 最初の職場は何市にありましたか?
 母親が生まれたのは何市ですか?
 2000年の元旦は何市にいましたか?
 高校生のときに好きだった先生の名字は何ですか?
 出願したのに通わなかった大学の名前は何ですか?
 初めての結婚披露宴の会場の名前は何ですか?
 父親のミドルネームは何ですか?
 好きな食べ物は何ですか?
 母方の祖母の氏名は何ですか
 母親のミドルネームが名ですか?
 一番上の兄弟の誕生日は何年何月ですか?(例:1985年11月)
 一番上の兄弟のミドルネームは何ですか?
 父方の祖父の氏名は何ですか?
 一番下の兄弟のミドルネームは何ですか?
 6年生のときに通っていた学校はどこですか?
 子供の頃の親友の氏名は何ですか?
 最初の恋人の氏名は何ですか?
 小学生のときに好きだった先生の名字は何ですか?
 初めて購入した自動車はまたはバイクのメーカーとモデルは何ですか?
 通っていた小学校の名前は何ですか?
 あなたが生まれた病院の名前は何ですか?
 子供の頃の最初の家の番地は何でしたか?
 子供の頃のヒーローの名前は何ですか?
 お気に入りのぬいぐるみの名前は何でしたか?
 初めて飼ったペットの名前は何でしたか?
 子供の頃のニックネームは何でしたか?
 高校生のときに好きだったスポーツは何ですか?
 初めて就いた職業は何ですか?
 子供の頃の電話番号の下4桁は何でしたか?
 小さい頃は大きくなったら何になりたかったですか?
 今まで会った中で一番有名な人はだれですか?

・サインイン時にユーザーに登録を求めますか?
 「はい」にすることで、サインイン時に登録を促します。
 下記では、認証用に電話番号と電子メールを構成する必要があり登録するまでは先に進めません。
 pr02 

・ユーザーが認証情報を再確認するように求められるまでの日数
 認証情報を再確認する日数を設定します。0(無制限)~730が設定できます。

・管理者に連絡 リンクをカスタマイズしますか?
 管理者に連絡を独自に設定できます。

・カスタム電子メール アドレスまたは URL
 上記でカスタマイズを選択した場合、この項目で設定します。

・オンプレミスの Active Directory へのパスワードの書き戻し
 オンプレミスのADと同期をしている場合の設定です。
 書き戻しができるようにするかの設定です。

・パスワードの書き戻しサービスの状態
 状態が表示されます。

・パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する
 ロック解除を許可するかの設定です。

ユーザーの認証情報を登録

事前に、AzureADの画面より認証用電話と電子メールアドレスを登録します。
pr03

セルフパスワードリセット

ログイン画面で、「アカウントにアクセスできない場合」を選択し、職場または学校のアカウントを選択します。(今回はonmicorosoft.comアカウントのためです)
pr04

ユーザーIDに、メールアドレスを入力し、Captchaを入力します。
pr05

アカウントを回復する方法として、電子メールを指定してみます。
pr06

電子メールを送信することが表示されます。
pr07

メールを受信すると、コードが書かれています。
pr08

確認コードにメールに書かれているコードを入力します。
pr09

コードに問題がなければ、新しいパスワードにリセットすることが可能です。
pr10

パスワードのリセットはこれで完了です。
pr11

また、携帯電話でSMSを受信することが可能です。電話番号を入力するとコードが書かれたSMSが届きます。
pr12

電話がかかりコードを確認することもできます。
pr13

他にも、認証用に秘密のパスワードも設定することが可能です。
このように管理者の負担を減らすことができます。

まとめ

Azure ADではBasicプランにすることでセルフパスワードリセットを実現します。
これは、管理者の負担を減らすとともに、いちいち管理者に問い合わせる必要もないためユーザーの負担も減ります。
パスワードリセット方法は複数用意されているのでユーザーにあった選択が行えます。
Azure ADへの登録数が多い場合は、便利なのでBasicプランを購入することをお勧めします。

ではでは

Related post

  1. Azure

    ACS Engineを利用してAzure上にkubernetesをdeploy!

    はじめにくどうです。今回はAzureでのACS Engin…

  2. Azure

    AzureでFreeBSD!Marketplaceから簡単に利用できるようになった。

    はじめにくどうですあなたはFreeBSDユーザーですか?…

  3. Azure

    仮想マシンのコア数制限について。

    コア数の制限くどうです。ちょっとハマったのでメモ。…

  4. Azure

    Azureのアラートって簡単にPagerDutyと連携できるんです。そっからSlackとも連携できる…

    はじめにくどうです。Azureではアラートの設定がポータルから…

  5. Azure

    Azure Functions を起動した(だけ)。だけど、これは面白そうだ。

    はじめにくどうです。Azure Functions が出ま…

  6. Azure

    Azure Active Directory の削除方法。それ、ServicePrincipalの問…

    はじめにくどうです。みなさんAzure Active Direct…

Comment

  1. No comments yet.

  1. No trackbacks yet.

  1. 未分類

    LPIC level3 受けませんか?
  2. その他

    さっぽろ雪まつりで行っている実証実験のまとめ!
  3. 未分類

    Windows Server “Longhorn” Beta 3 をインストール…
  4. AWS

    VPC Peering、Direct Connectで同セグメントの通信を実現す…
  5. Linux

    WindowsでSLを走らせる。その他も。
PAGE TOP