一般ユーザーのセルフパスワードリセット（詳細）

前回の投稿では、一般ユーザーのセルフパスワードリセットの概要を紹介させて頂きました。

追加とおさらいとして。一般ユーザーのセルフパスワードリセットを利用する場合、Azure ADの管理画面から有効化を行います。

有効化を行わないデフォルトの状態だと当然セルフパスワードリセットは利用できないのですが、何もしていないテナントでも、少し挙動が変わりました。今までは、[管理者に連絡]というボタンから管理者宛に飛んでいたパスワードのリセット要求のメールの中に

ユーザーが自分でパスワードをリセットできるようにしますか? ほんの数回のクリックで組織のユーザーのパスワードのリセットを有効にする方法をご確認ください。

という様な機能説明のページへのリンクが併記されるようになりました。このメールが来て、初めてこの機能の実装に気がつく管理者の方も多いかも知れませんね。

それでは、詳細設定の方に入っていきたいと思います。まずはセルフサービスができるユーザーの限定。通常社内にいるようなユーザーやパートナー社員に対してはこの機能を解放しないというようなケースで利用できます。

[パスワードリセットへのアクセスの制限]を[はい]に設定することにより、この機能が有効化されます。[SSPR セキュリティ グループ ユーザー]という名前の空のグループが新規で作成されますので、こちらにパスワードリセットをさせるユーザーを適宜追加して利用します。【本機能はプレビュー中の為変更になる可能性が有ります】

また、前回の投稿では、ユーザーに登録用のリンクを送って自身で登録して貰う方法を紹介しましたが、管理メニューの[○○（テナント名）のユーザーを今すぐ編集します]というリンクから辿れるユーザー管理画面の[勤務先]から、電話番号と電子メールアドレスは入力することができます。

ちなみに、ユーザーが使用できる認証方法との対応は、認証用電話が[携帯電話]、別の認証電話番号が[会社電話]、認証用メールが[連絡用電子メール アドレス]になります。

続いては、[秘密の質問]です。インターネットサイトなどでよく見かける物ですが、管理者側としては[①登録する必要がある質問の数]と[②リセットに必要な質問の数] [③秘密の質問]を設定する必要があります。【本機能はプレビュー中の為変更になる可能性が有ります】

数は、その性質上③≧①≧②にする必要があります。①②は3-5が設定できる範囲になります。ここでは試しに①=②=③=5個にしてますが、悪い見本ですね。

1. （後述しますが）回答の最低文字数は3文字なのに姓を答えさせるって1文字とか2文字の人はどうするの？
2. ペット飼ったこと無い人は回答できないし
3. 回答できない質問があるくせに、実質全部の質問に何らかの回答を設定しなくてはいけない

普通に企業IDとしてやるなら、③10個＞①5個＞②3個くらいですかね？　まあ、ここではサンプルなので仮に入力して進めてみます。

ユーザー自身で http://go.microsoft.com/fwlink/p/?LinkId=524980 にアクセスし、答えられる質問を選び、それに3文字以上で回答を設定します。（全角、半角どちらも1文字としてカウントされます。）

そうするとパスワードリセット画面の項目の中に、[セキュリティの質問に回答する]が現れます。ここに、設定した回答と同じ物を入力すると、パスワードリセットを行う事ができます。（パスワード強度を表示する部分が文字化けしているのは、まあ愛嬌って事で）
 

セキュリティを強化させるため、認証に必要とされる数を、デフォルトの1から2に変更することもできます。従来の管理者アカウントのパスワードリセットには電子メールと携帯電話の両方が必要だったので、そちらと同じレベルと考えると良いかと思います。

2に変更すると、認証画面が[確認ステップ1]と[確認ステップ2]に分かれます。ちなみに、当然と言えば当然ですが[携帯電話にSMS送信]と[携帯電話に発信]で2個とはカウントしてくれません。片方で認証が取れると選択肢から消えます。

その他の機能です。

ユーザーがAzureのアクセスパネルにアクセスした際に以下の様な表示を出して情報の入力を促すことができます。（ただ、Office 365の一般ユーザーはあまりアクセスパネルにログインする機会自体が無いかも知れませんので、その場合はリンクを各ユーザーに伝えて入力する形になります。）

また、連絡先データの再確認を行う間隔を設定できます。デフォルトは180日です。0日に設定すると、再確認は発生しません。

認証情報が分からなくなったユーザーが管理者に連絡する手段として[管理者に連絡]のリンクが設定されていますが、これをURLやメールアドレスに変更することもできます。

ディレクトリ同期環境の場合、[パスワードの書き戻し]機能を有効化するようにとの記載がありますが、残念ながらこちらについては引き続きAzure AD Premiumのサブスクリプションが必要になります。

想定していないパスワードリセットを検知するために、通知機能がデフォルトで有効化されています。複数管理者がいる場合など、対応依頼が来たメールに対して対応済みかどうかを知るために、他の管理者にパスワードリセットするオプションも設定できます。

 

うまく使いこなせば、セキュリティレベルをそれほど下げないで管理者の負荷を軽減できる物になりますので、是非、色々と使い方を研究してみてください。

一般ユーザーのセルフパスワードリセット

Office 365では、以前より管理者アカウントに対してセルフパスワードリセットの機能が提供されていました。

これは、特に中小企業などで社内に全体管理者のユーザーが1名しかいない状況でも、パスワード忘れや退職等に対応できるようにするというのが主たる目的でした。

ただ、それ以外の一般ユーザーのパスワード忘れへの対応というのは、管理者の稼働の多くを必要とする物の一つであり、機能の一般ユーザーへの提供が望まれていました。Azure AD Premiumのサブスクリプションを購入すれば従来から利用はできていたのですが、今回、Office 365のサブスクリプションを有しているユーザーは、この機能が無償で提供されるようになりました。

この機能を有効化するには、Azure ADの管理画面にログインした後、[ユーザーパスワードのリセットポリシー][パスワードのリセットが有効になっているユーザー]を[はい]に変更します。
 

これで、管理者側の設定は完了です。

次に、機能の利用対象である全ユーザーに対して以下のURLを通知し、携帯電話やメールの情報を登録して貰います。

http://go.microsoft.com/fwlink/p/?LinkId=524980

ユーザーがこの画面にアクセスすると、このような画面が表示されて情報の入力を促されます。

電話番号の登録は、国番号と電話番号を入力してショートメールもしくは電話での認証となります。[電話する]ボタンを押すと、入力した電話番号に電話が掛かってきて、[確認を完了する為に#を押して下さい]と言われるので、[#]を押すと登録が完了します。

 なお、前は+81の後に続けて入力する番号は先頭の0を除いた、例えば9012345678などの値を入力する必要がありましたが、この記事を書いている時点では09012345678と入力しても問題無く電話は掛かってきて認証できました。

続いて、メールアドレスの登録です。メールアドレスを入力した後に、[電子メールを送信する]をクリックするとメールが飛んできます。そのメールの値を入力します。

なお、勿論このメールはOffice 365のパスワードを忘れたときに送信されてくる物になりますので、Office 365のアドレスではなく、例えば携帯のアドレスやgma…、いや、Outlook.comのアドレスなどを設定する必要があります。
 

これでクライアント側の設定は完了です。

さて、実際の利用シーンです。セルフパスワードリセットを利用するには、サインイン画面の下に表示されている[アカウントにアクセスできない場合]をクリックします。

登録してある情報のどれを利用して本人確認をするかの画面がでますので、ここで利用する情報を選択します。今回は電子メールで認証をしています。

携帯電話は、登録したときと同じようにショートメールか電話を選択できます。電子メールと違うのは、登録してある電話番号を認証用に入力する必要があるということです。これは、実際に個人の携帯などに電話が掛かってくるので、間違い電話防止などの意味もあるのでしょうね。

認証が完了すると、リセットするパスワードの入力画面になりますので、新しいパスワードを入力します。上書きのリセットの扱いのようで、前回と同じパスワードを入力しても別にエラーにはなりませんでした。

今回は、まずデフォルト状態でのセルフサービスパスワードリセットを紹介させて頂きました。

Azure AD側では、もう少しこの操作の詳細を設定できるオプションが用意されていますので、そちらは次の機会に紹介させて頂きます。

Office 365 サインイン画面のカスタマイズ

Azure Active Directory Premiumで利用可能であった一部のオプションが、Office 365を利用しているユーザー向けに利用できるようになりましたので紹介します。

今回紹介するのは、サインイン画面のカスタマイズです。

設定するには、Office 365管理センターではなく、Microsoft Azureのポータルから設定をする必要があります。[サービス設定] – [パスワード]の下の方や、左のナビゲーションバーの管理者メニューの一番下の[Azure AD]にもリンクがありますが、Azure AD管理センターにアクセスします。

まだAzureにサインアップしていない場合、携帯の番号やクレジットカード番号を入力して無料評価版としてサインアップします。無料評価版のままでも試せますが、30日間の期限がありますので、期限が切れる前に従量課金制にアップグレードして利用しましょう。あくまで従量課金なので、有償のサービスを利用しないままであれば0円課金のまま継続利用できます。

ポータルのを開くと、最初は唯一利用中であるディレクトリ（Active Directory)のみ表示されます。ここの[構成]メニューを選択します。

 

[ブランドのカスタマイズ]を選択します。

 

バナー（画面右上部に表示される物）やサインインページの図（左側に表示される画像）やテキスト（画面下部に表示される）などを設定します。

下のチェックボタンを押してしばらく待つと完成です。ちなみに、サインインページの図は、最大サイズが500KBに制限されていますので、保存中にエラーが発生した場合はまずファイルサイズを確認してみて下さい。

いつものサインイン画面ですが、IDを入力すると…

先ほど指定した画面に飛ぶようになります。

コーポレートカラーや会社のロゴなどを表示したり、下の部分にカスタマイズしたテキストを表示させることができますので、未ログインの状態のユーザーに対して提示したい情報、例えばID/パスワードを忘れた場合の対応方法や利用開始の申請方法など入れておくと便利です。

ただし、こちらはIDや会社のメールドメインなどを入れただけでも他のユーザーにも表示されますので、社内向けヘルプデスクの電話番号などあまりオープンにすべきでない情報は載せない方が良いかもしれません。

無期限のパスワードポリシー

Office 365では、パスワード有効期限（14日～730日）や、その期限切れ通知を行う期間（1日～30日前）について、テナント単位で設定を行う事ができます。

この画面、最近ちょっと新しくなりました。

まず、パスワードセルフリセットに関する案内が記載されました。これは別の投稿で紹介させて頂きます。また、一番上に「パスワードの有効期限が切れることはありません」という項目が追加されました。

以前は、パスワードの無期限化を設定しようとした場合は、ユーザー単位でPowerShellを利用して設定しなければいけなかったのが、これを利用するとテナント全体でパスワードの無期限化を設定することができます。

勿論、パスワードは定期的に変えるのが運用上良いのですが、どうしても組織の運用と合わない場合などは利用すると良いと思います。

 

ちなみに、この設定は今のところGUIからしかできないようです。

PowerShellから見ると、2147483647（2^31-1）日と表示されますが、実際にPowerShellから同じ値で設定を入れてもGUIの表示でチェックは付かないので…。