Office 365では、以前より管理者アカウントに対してセルフパスワードリセットの機能が提供されていました。
これは、特に中小企業などで社内に全体管理者のユーザーが1名しかいない状況でも、パスワード忘れや退職等に対応できるようにするというのが主たる目的でした。
ただ、それ以外の一般ユーザーのパスワード忘れへの対応というのは、管理者の稼働の多くを必要とする物の一つであり、機能の一般ユーザーへの提供が望まれていました。Azure AD Premiumのサブスクリプションを購入すれば従来から利用はできていたのですが、今回、Office 365のサブスクリプションを有しているユーザーは、この機能が無償で提供されるようになりました。
この機能を有効化するには、Azure ADの管理画面にログインした後、[ユーザーパスワードのリセットポリシー][パスワードのリセットが有効になっているユーザー]を[はい]に変更します。
これで、管理者側の設定は完了です。
次に、機能の利用対象である全ユーザーに対して以下のURLを通知し、携帯電話やメールの情報を登録して貰います。
http://go.microsoft.com/fwlink/p/?LinkId=524980
ユーザーがこの画面にアクセスすると、このような画面が表示されて情報の入力を促されます。
電話番号の登録は、国番号と電話番号を入力してショートメールもしくは電話での認証となります。[電話する]ボタンを押すと、入力した電話番号に電話が掛かってきて、[確認を完了する為に#を押して下さい]と言われるので、[#]を押すと登録が完了します。
なお、前は+81の後に続けて入力する番号は先頭の0を除いた、例えば9012345678などの値を入力する必要がありましたが、この記事を書いている時点では09012345678と入力しても問題無く電話は掛かってきて認証できました。
続いて、メールアドレスの登録です。メールアドレスを入力した後に、[電子メールを送信する]をクリックするとメールが飛んできます。そのメールの値を入力します。
なお、勿論このメールはOffice 365のパスワードを忘れたときに送信されてくる物になりますので、Office 365のアドレスではなく、例えば携帯のアドレスやgma…、いや、Outlook.comのアドレスなどを設定する必要があります。
さて、実際の利用シーンです。セルフパスワードリセットを利用するには、サインイン画面の下に表示されている[アカウントにアクセスできない場合]をクリックします。
登録してある情報のどれを利用して本人確認をするかの画面がでますので、ここで利用する情報を選択します。今回は電子メールで認証をしています。
携帯電話は、登録したときと同じようにショートメールか電話を選択できます。電子メールと違うのは、登録してある電話番号を認証用に入力する必要があるということです。これは、実際に個人の携帯などに電話が掛かってくるので、間違い電話防止などの意味もあるのでしょうね。
認証が完了すると、リセットするパスワードの入力画面になりますので、新しいパスワードを入力します。上書きのリセットの扱いのようで、前回と同じパスワードを入力しても別にエラーにはなりませんでした。
今回は、まずデフォルト状態でのセルフサービスパスワードリセットを紹介させて頂きました。
Azure AD側では、もう少しこの操作の詳細を設定できるオプションが用意されていますので、そちらは次の機会に紹介させて頂きます。
Pingback: 一般ユーザーのセルフパスワードリセット(詳細) | 日々徒然