Azure 運用

ユーザーにパスワードリセットさせたいときはAzure Active Directory Basicでプランです。

はじめに

くどうです。

前回は、Azure AD Basicのライセンスを購入したので実際に利用してみましょう。
https://level69.net/archives/24034
Azure ADに限らず、ADでユーザーを管理している場合に問題になるのがパスワードの初期化だと思います。
以前、ADを運用していた時は、一日2、3回はそんな依頼の内線がなっていました。
そうです、運用にとっては面倒です。利用者にとっても、いちいち内線するとか時間の無駄です。

そこで、Basicで追加される機能のひとつとして、セルフサービスによるパスワードのリセットがあります。
実際にどのように動作するものなのか確認してみます。

設定

Basicが適用されているAzure ADでは構成を確認すると「ユーザー パスワードのリセット ポリシー」をいう項目が増えていることに気が付きます。
pr01

・パスワードのリセットが有効になっているユーザー
 セルフでのパスワードリセットを有効にしたい場合は「はい」にします。

・パスワード リセットへのアクセスの制限
 パスワードのリセットを行えるユーザーをグループで制限したい場合に「はい」にします。

・パスワードをリセットできるグループ
 上記の設定でアクセスの制限を行いたい場合、リセットできるユーザーが所属するグループを指定します。

・ユーザーが使用できる認証方法
 リセットを行う場合の認証の方式です。会社電話、携帯電話。連絡用電子メールアドレス、秘密の質問を指定できます。複数選択も可能です。

・必要な認証方法の数
 上記の方法の内、いくつ利用でして認証するかを設定します。1~2が設定できます。

・登録する必要がある質問の数
 秘密の質問でユーザーが登録する必要がある質問の数です。3~5が設定できます。

・リセットに必要な質問の数
 登録した質問の内、リセットに必要な質問の数です。3~5が設定できます。登録する質問の数より多くすることはできません。

・秘密の質問
 知識ベースと、管理者が作成できるカスタムがあります。
 知識ベースは下記の質問35個が用意されています。

 最初の配偶者/パートナーと出会ったのは何市ですか?
 両親が出会ったのは何市ですか?
 年が一番近い兄弟が住んでいるのは何市ですか?
 父親が生まれたのは何市ですか?
 最初の職場は何市にありましたか?
 母親が生まれたのは何市ですか?
 2000年の元旦は何市にいましたか?
 高校生のときに好きだった先生の名字は何ですか?
 出願したのに通わなかった大学の名前は何ですか?
 初めての結婚披露宴の会場の名前は何ですか?
 父親のミドルネームは何ですか?
 好きな食べ物は何ですか?
 母方の祖母の氏名は何ですか
 母親のミドルネームが名ですか?
 一番上の兄弟の誕生日は何年何月ですか?(例:1985年11月)
 一番上の兄弟のミドルネームは何ですか?
 父方の祖父の氏名は何ですか?
 一番下の兄弟のミドルネームは何ですか?
 6年生のときに通っていた学校はどこですか?
 子供の頃の親友の氏名は何ですか?
 最初の恋人の氏名は何ですか?
 小学生のときに好きだった先生の名字は何ですか?
 初めて購入した自動車はまたはバイクのメーカーとモデルは何ですか?
 通っていた小学校の名前は何ですか?
 あなたが生まれた病院の名前は何ですか?
 子供の頃の最初の家の番地は何でしたか?
 子供の頃のヒーローの名前は何ですか?
 お気に入りのぬいぐるみの名前は何でしたか?
 初めて飼ったペットの名前は何でしたか?
 子供の頃のニックネームは何でしたか?
 高校生のときに好きだったスポーツは何ですか?
 初めて就いた職業は何ですか?
 子供の頃の電話番号の下4桁は何でしたか?
 小さい頃は大きくなったら何になりたかったですか?
 今まで会った中で一番有名な人はだれですか?

・サインイン時にユーザーに登録を求めますか?
 「はい」にすることで、サインイン時に登録を促します。
 下記では、認証用に電話番号と電子メールを構成する必要があり登録するまでは先に進めません。
 pr02 

・ユーザーが認証情報を再確認するように求められるまでの日数
 認証情報を再確認する日数を設定します。0(無制限)~730が設定できます。

・管理者に連絡 リンクをカスタマイズしますか?
 管理者に連絡を独自に設定できます。

・カスタム電子メール アドレスまたは URL
 上記でカスタマイズを選択した場合、この項目で設定します。

・オンプレミスの Active Directory へのパスワードの書き戻し
 オンプレミスのADと同期をしている場合の設定です。
 書き戻しができるようにするかの設定です。

・パスワードの書き戻しサービスの状態
 状態が表示されます。

・パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する
 ロック解除を許可するかの設定です。

ユーザーの認証情報を登録

事前に、AzureADの画面より認証用電話と電子メールアドレスを登録します。
pr03

セルフパスワードリセット

ログイン画面で、「アカウントにアクセスできない場合」を選択し、職場または学校のアカウントを選択します。(今回はonmicorosoft.comアカウントのためです)
pr04

ユーザーIDに、メールアドレスを入力し、Captchaを入力します。
pr05

アカウントを回復する方法として、電子メールを指定してみます。
pr06

電子メールを送信することが表示されます。
pr07

メールを受信すると、コードが書かれています。
pr08

確認コードにメールに書かれているコードを入力します。
pr09

コードに問題がなければ、新しいパスワードにリセットすることが可能です。
pr10

パスワードのリセットはこれで完了です。
pr11

また、携帯電話でSMSを受信することが可能です。電話番号を入力するとコードが書かれたSMSが届きます。
pr12

電話がかかりコードを確認することもできます。
pr13

他にも、認証用に秘密のパスワードも設定することが可能です。
このように管理者の負担を減らすことができます。

まとめ

Azure ADではBasicプランにすることでセルフパスワードリセットを実現します。
これは、管理者の負担を減らすとともに、いちいち管理者に問い合わせる必要もないためユーザーの負担も減ります。
パスワードリセット方法は複数用意されているのでユーザーにあった選択が行えます。
Azure ADへの登録数が多い場合は、便利なのでBasicプランを購入することをお勧めします。

ではでは

-Azure, 運用
-,