ラボ: Microsoft Entra セルフサービス パスワード リセット

このラボは、次の Learn コンテンツに対応しています。

  • ラーニング パス: Microsoft Entra の機能について説明する
  • モジュール: Microsoft Entra ID の認証機能について説明する
  • ユニット: セルフサービス パスワード リセットについて説明する

ラボのシナリオ

このラボでは、管理者として、Microsoft 365 テナントで既にセットアップされている SSPR セキュリティ グループにユーザーを追加するプロセスについて説明します。 SSPR を有効にしてから、ユーザーのロールとして、SSPR のために登録を行い、またパスワードをリセットします。 最後に、管理者は、SSPR の監査ログと使用状況データと分析情報を表示できます。

推定時間:30 分

タスク 1

このタスクでは、管理者として、SSPR で使用可能な構成設定の一部について説明します。

  1. Microsoft Edge ブラウザーを開きます。 アドレス バーに「https://entra.microsoft.com」と入力し、認可されたラボ ホスト (ALH) から提供された Microsoft 365 管理者資格情報を使ってサインインします。
    1. [サインイン] ウィンドウで「admin@WWLxZZZZZZ.onmicrosoft.com」 (この ZZZZZZ はお使いの ALH から提供された一意のテナント ID です) と入力し、[次へ] を選びます。
    2. ラボ ホスティング プロバイダーから提供されている管理者パスワードを入力します。 [サインイン] を選択します。
    3. 以前に管理者としてログインしたことがある場合は、MFA の一部として、セカンダリ認証を完了するように求められます。 以前に管理者としてログインしたことがない場合は、MFA 登録プロセスを完了するように求められます。画面の指示に従って MFA をセットアップします。
    4. サインインしたままにするかどうかを尋ねられたら、[はい] を選択します。

  2. 左側のナビゲーション ウィンドウで [保護] のオプションを展開し、[パスワード リセット] を選びます。

  3. セルフサービス パスワード リセットのプロパティが表示されます。 [セルフ サービスパスワードリセットが有効] と表示されている場所の横にある情報アイコンを選択して、説明を表示します。 [選択済み] が青で強調表示されていることを確認します。 次に、「グループの選択」と表示されている場所の横にある情報アイコンにカーソルを置くと、”自分のパスワードをリセットできるユーザーのグループを定義します” と表示されていることに注目してください。 グループにユーザーを含める必要があります。ユーザーを個別に選択することはできません。 SSPRSecurityGroupUsers (このグループは Microsoft 365 テナントの一部として事前構成されています) というグループが既に一覧表示されていることに注意してください。 最後に、青色の情報ボックスに、”これらの設定は、組織内のエンド ユーザーにのみ適用されます。 管理者はいつでもセルフサービス パスワード リセットが有効であり、パスワードをリセットするために 2 つの認証方法を使用することが必要です。” と表示されることに注意してください。

  4. [パスワードのリセット] の左ナビゲーション パネルで、[認証方法] を選択します。

  5. [リセットのために必要な方法の数] で、[1] を選択します。 画面の情報ボックスに注意してください。

  6. ユーザーが使用できるさまざまな方法に注目してください。 [メール][携帯電話] が既にオンになっているはずです。そうでない場合は、それらをオンにします。

  7. [パスワードのリセット] の左ナビゲーション パネルで、[登録] を選択します。

  8. 設定 [サインイン時にユーザーに登録を求めますか?] が [はい] に設定されていることを確認します。 ユーザーが認証情報を再確認するように求められるまでの日数を、既定の 180 のままにします。 ページの情報ボックスに注意してください。

  9. [パスワードのリセット] の左ナビゲーション パネルで、[通知] を選択します。

  10. パスワードのリセット時にユーザーに通知する設定が、[はい] に設定されていることを確認します。 設定 [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] を [いいえ] のままにします。

  11. [パスワードのリセット] ナビゲーション ウィンドウに監査ログおよび利用状況と分析情報を表示するオプションも含まれることに注意してください。

  12. ウィンドウの右上隅の [X] を選択して、パスワードのリセット ウィンドウを閉じます。 これにより、Microsoft Entra 管理センターに戻ります。

  13. この Microsoft Entra ウィンドウを開いたままにします。

タスク 2

このタスクでは、管理者として、前のラボ演習で作成したユーザーを SSPR セキュリティ グループに追加します。

  1. Microsoft Entra 管理センター (entra.microsoft.com) のホームページのブラウザー タブを開きます。 必要に応じて、[ID] を展開します。

  2. 左側のナビゲーション パネルの “ID” で、[グループ] を展開し、[すべてのグループ] を選択します。

  3. 既存のグループの一覧が表示されます。 [グループの検索] フィールドに「SSPR」と入力し、検索結果から SSPRSecurityGroupUsers を選択します。 このグループの構成オプションが表示されます。

  4. 左ナビゲーション ウィンドウで、[メンバー] を選択します。

  5. ページの上部で、[+ メンバーの追加] を選択します。

  6. 検索ボックスに「Sara Perez」と入力します。 検索ボックスの下にユーザー Sara Perez が表示されたら、それを選択してから、ページの下部にある [選択] を選びます。 [メンバー] ページに戻ります。 ページの上部で [最新の情報に更新] を選択します。 これで、SSPR セキュリティ グループのメンバーとして Sara Perez が表示されます。

  7. 画面の右上隅のメールアドレスの横にある [ユーザー] アイコンをクリックして、すべてのブラウザー タブからサインアウトします。 次に、すべてのブラウザー ウィンドウを閉じます。

タスク 3

このタスクでは、ユーザー Sara Perez として、セルフ サービス パスワード リセットの登録プロセスを行います。

  1. Microsoft Edge を開き、アドレス バーに「https://login.microsoft.com」と入力します。

  2. Sara Perez としてサインインします。 サインイン プロセスには MFA が必要な場合があります。

  3. 詳細情報が必要であることを示すポップアップが表示されます。 これは、SSPRSecurityGroupUsers グループのメンバーとして、そのメンバーがサインイン時に登録することがその構成で求められるためです。 [次へ] ボタンを選択します。 注: ユーザー自身が登録を行う代わりに、管理者がユーザーを追加するときに認証方法を直接構成することもできます。 これには、ユーザーがセルフ サービス パスワード リセットを実行するために使用する電話番号とメール アドレスを管理者が把握して設定し、ユーザーのパスワードをリセットする必要があります。

  4. [アカウントのセキュリティ保護] ページが開きます。 表示されるウィンドウとその後の手順は、Microsoft Authenticator アプリのメソッド用です。 代わりにメールアドレスを使用する場合は、[別の方法を設定する] を選択し、手順に従います。
    1. モバイル デバイスに Microsoft Authenticator アプリが既にインストールされている場合は、[次へ] を選択します。 それ以外の場合は、[今すぐダウンロード] を選択し、手順に従います。
    2. アカウントのセットアップを開始することになります。 [次へ] を選択します。
    3. モバイル デバイスで Microsoft Authenticator アプリを使用して、[+] を選択してアカウントを追加し、[職場または学校アカウント] を選択します。
    4. QRコードをスキャンするオプションを選択し、モバイル デバイスを使用して PC 画面上の QR コードをスキャンします。
    5. PC とモバイル デバイスの手順に従い、[次へ] を選択します。
    6. セキュリティ情報を設定すると、[成功] ウィンドウが表示されます。 完了 を選択します。

  5. これでサインインを完了できるようになりました。 サインイン時間が過ぎたことが表示された場合は、パスワードを再度入力します。

  6. 画面の右上隅のメールアドレスの横にある [ユーザー] アイコンをクリックして、すべてのブラウザー タブからサインアウトします。 次に、すべてのブラウザー ウィンドウを閉じます。

タスク 4 (省略可能)

このタスクでは、ユーザー Sara Perez としてパスワードのリセット プロセスを進めます

  1. Microsoft Edge を開きます。

  2. アドレス バーに「https://login.microsoft.com」と入力します。

  3. メール アドレス「sara@WWLxZZZZ.onmicrosoft.com」を入力し (ZZZZZZ はラボ ホスティング プロバイダーから支給された固有のテナント ID)、Sara Perez としてサインインして、[次へ] ボタンを選択します。 代わりに、[アカウントの選択] ウィンドウが表示される場合があります。その場合は、Sara Perez のアカウントを選択します。

  4. [パスワードの入力] ウィンドウで、[パスワードを忘れた場合] を選択します。

  5. [アカウントを回復する] ウィンドウが表示されます。 Sara Perez のメール アドレス sara@WWLxZZZZ.onmicrosoft.com が [メール アドレス] ボックスまたは [ユーザー名] ボックスに表示されていることを確認します。 そうでない場合は、入力します。

  6. 空のボックスに、画像に表示されている文字または音声からの単語を入力します。 それらを入力したら、[次へ] を選択します。

  7. 画面に [アカウントを回復する] と表示され、[確認ステップ 1 > 新しいパスワードの選択] と表示されます。 オプション [認証アプリで通知を承認する] を選択し、[通知の送信] を選択します。

  8. PC の番号をメモし、指示に従ってモバイル デバイスの Microsoft Authenticator アプリによりサインインを承認します。

  9. 次の画面で、新しいパスワードの入力と新しいパスワードの確認入力を求められます。 それらを入力して、[完了] ボタンを選択します。

  10. パスワードがリセットされたことを示すメッセージが画面に表示されます。 [ここをクリック] を選択して、新しいパスワードでサインインします。

  11. [アカウント情報の選択] ボックスで、[sara@WWLxZZZZZZ.onmicrosoft.com] を選択し、新しいパスワードを入力してから、[サインイン] ボタンを選択します。 サインインしたままにするかどうかを尋ねられた場合。 [いいえ] を選択します。

  12. これで、Sara の Microsoft アカウントにログインします。

  13. 画面右上隅のメール アドレスの隣のユーザー アイコンを選択し、[サインアウト] を選択してサインアウトします。次に、すべてのブラウザー ウィンドウを閉じます

タスク 5 (省略可能)

このタスクでは、管理者として、パスワードのリセットに関連する監査ログと利用状況と洞察を簡単に確認します

  1. Microsoft Edge を開きます。

  2. アドレス バーに「https://entra.microsoft.com」と入力し、認可されたラボ ホスト (ALH) から提供された Microsoft 365 管理者資格情報を使ってサインインします。

  3. Microsoft Entra 管理センターに移動します。 左側のナビゲーション ウィンドウで [保護] のオプションを展開し、[パスワード リセット] を選びます。

  4. 左ナビゲーション ウィンドウで、[監査ログ] を選択します。 使用可能な情報と使用可能なフィルターに注目してください。 ログはダウンロードすることもできます。

  5. [ダウンロード] を選択します。 ダウンロードは CSV または JSON として書式設定できます。 画面右上隅の [X] を選択して、ウィンドウを閉じます。

  6. 左ナビゲーション ウィンドウで、[使用状況と分析情報] を選択します。

  7. 登録に関連する利用可能な情報に注目してください。 更新を行った後でも、このデータの更新に時間がかかる場合があるため、前のタスクの登録または使用状況データがまだ反映されていない可能性があることに注意してください。

  8. ページの上部から [使用状況] を選択して、方法別のセルフサービス パスワード リセットとアカウントのロック解除の回数を表示します。 更新を行った後でも、このデータの更新に時間がかかる場合があるため、前のタスクの使用状況データがまだ反映されていない可能性があることに注意してください。

  9. 開いているブラウザー タブを閉じます。

確認

このラボでは、管理者として、セルフサービス パスワード リセットを有効にするプロセスを実行しました。 SSPR を有効にしてから、ユーザーのロールとして、SSPR のために登録を行い、またパスワードをリセットします。 最後に、管理者として、SSPR の監査ログと使用状況と分析情報データにアクセスする場所について学習しました。