Azure AD のセルフサービスパスワードリセットを試してみた！実施編

1.1 パスワードリセットの登録

登録は、２種類の画面から行います。

（１）携帯電話と電子メールの登録

以下のURLにアクセスして、セルフサービスパスワードリセットを有効にするユーザでサインインします。

https://aka.ms/ssprsetup

この画面で認証用電話番号と認証用電子メールが登録できます。以下は、認証用電話番号と認証用電子メールが登録された画面です。

（２）モバイルアプリの登録

以下のURLにアクセスして、セルフサービスパスワードリセットを有効にするユーザでサインインします。

https://aka.ms/mfasetup

この画面でモバイルアプリの登録ができます。

モバイルアプリ（Microsoft Authenticator）については、iPhone アプリを使いました。まずは、App Storeから、Microsoft Authenticatorをダウンロードします。ダウンロード後、Microsoft Authenticatorを起動します。iPhone でアプリ通知をオンにする必要があります。アプリ起動後、「アカウントを追加」－「職場または学校アカウント」をタップします。iPhone のカメラでQRコードを読み込みます。以下は、QRコードが表示されている画面です。

モバイルアプリ登録の過程で、iPhone 上に「サインインを承認しますか？」のメッセージが表示されますので、[承認]をタップします。以下は、モバイルアプリが登録された画面です。

1.2 パスワードのリセット

ここからがパスワードを忘れた状況での手順となります。まずは以下のURLにアクセスします。サインインは不要です。

https://aka.ms/sspr

もしくは、Webアプリのサインイン時のパスワード入力画面で、”パスワードを忘れた場合”のリンクをクリックします。

（１）パスワードリセットする対象のユーザアカウントと、CAPTCHAを入力します。

（２）認証方法の選択画面が表示されますので、管理者が指定した3つの認証方法から2つを選択します。

ここからは認証方法別の説明となります。

1.認証方法に「電子メール」を選択した場合

[電子メール]をクリックすると、事前設定されたメールアドレス宛に以下のようなメールが届きます。送信元のメールアドレスは、msonlineservicesteam@microsoftonline.com です。

メール件名の文字はUnicode文字の10進数コードになっていますので、文字化けしたようになります。メール本文にある確認コード（6桁の番号）を、Web画面に入力します。

2.認証方法に「SMS」を選択した場合

携帯電話番号※を入力し、[SMS送信]をクリックします。

※事前設定された携帯電話番号ではない場合は、エラーになります。

SMSで確認コード（6桁の番号）が届きます。SMSで受けた確認コードを、Web画面に入力します。

3.認証方法に「モバイルアプリコード」を選択した場合

iPhone のホーム画面にあるMicrosoft Authenticatorを起動します。

Microsoft Authenticator上に表示されている確認コード（6桁の番号）は、30秒に1回変わります。

確認コードをWeb画面に入力します。Microsoft Authenticator上で確認コードが変わっても、入力には多少猶予がありました。

2つの認証が成功すると、パスワードの変更画面が表示されますので、新しいパスワードを入力します。新しいパスワードについては、オンプレミスのADドメインのパスワードポリシーが適用されます。ちなみに、ADサーバ上のユーザアカウントで、”ユーザはパスワードを変更できない”がチェックされていると、パスワード変更でエラーが表示されました。

ポリシーに適合したパスワードを入力すると、以下のメッセージが出て、パスワードが無事リセットできました。

※タイミングによっては別のメッセージ内容もあるようです。

認証方法に「電子メール」が登録されている場合は、認証方法として「電子メール」を選択するしないに関わらず、パスワードリセット後に、登録されているメールアドレス宛に「パスワードリセットの通知」メールが届きました。

1.3 パスワードリセット後のログオン確認

リセットされたパスワードで、すぐにオンプレミスのADドメインにログオンおよびOffice 365ポータルへのシームレスSSOができました。きちんとパスワードライトバックが動作しています。セルフサービスパスワードリセットが完了すると、速やかにオンプレミスのADサーバに同期されるようです。

※数分かかるケースもありました。

念のため、オンプレミスのADサーバ上で、”net user <ユーザアカウント名>”を実行して、最終パスワード変更日時を確認しましたが、パスワードリセットした日時と合っていました。

2.実施編まとめ

パスワードを忘れたドメインユーザが、ユーザ自身で自分のパスワードを安全にリセットできるセルフサービスパスワードリセットは、企業の管理者やヘルプデスク負荷軽減の面では有効な手段になることが、検証を通じてあらためて確認できました。一方で、以下の2点については十分検討する必要があると思いました。

（１）セキュリティ

パスワードリセット用のURLは誰でもインターネット上のどの端末からでもアクセスできるようです。（もしかするとアクセス制限できるかもしれませんが、確認できていません）

そのため、第三者が勝手にパスワードを変更できないように、リセットできるまでの認証方法は２つとし、多要素の組み合わせが良いと思います。

また、パスワードリセットの認証データの登録をユーザ自身で行う場合は、ユーザのセキュリティに関する意識付けが必要です。

※確認したところ、認証データについてはActive Directory にすでに存在するデータと同期する方法や、管理者が「認証の連絡先情報」を手動で設定する方法もあるようです。

（２）費用対効果

セルフサービスパスワードリセットはAzure ADのPremiumライセンスが必要となりますが、この機能だけでAzure AD Premiumライセンスを購入するのは少し割高感があります。

Premiumライセンスで利用できる他の機能とあわせて、利用を検討することになると思います。

最後に、今回の検証では特に複雑な設定を行うことなく簡単にセルフサービスパスワードリセットの仕組みが構築できました。検証もスムーズに行えましたので、みなさんも機会があればぜひ試してください。

Azure ADについては他にも興味ある機能がありますので、時間をみつけていろいろ試してみたいと思います。次回以降もご覧ください。

それではまた！