2018年1月10日水曜日

[Azure AD/Intune]PCのログイン画面からパスワードをリセットする

こんにちは、富士榮です。

Azure ADドメインに参加したWindows 10 Fall Creators Update(Build 1709)のPCではログイン画面からパスワードをリセットすることが出来るようになっています。

公式Blogでのアナウンス
 Resetting passwords on Azure AD-joined devices is much easier with the latest Windows update
 https://cloudblogs.microsoft.com/enterprisemobility/2017/11/20/resetting-passwords-on-azure-ad-joined-devices-is-much-easier-with-the-latest-windows-update/

ちょっと時間がたってしまいましたが、動かしてみました。

◆必要な物、準備事項

  • デバイス
    • Azure AD参加したWindows 10 Fall Creator Updateが動作しているPC
  • ライセンス
    • 該当ユーザにAzure AD Premium P1以上のライセンスが割り当たっていること(オンプレミスADへのパスワード書き戻しを行う場合)
    • 該当ユーザにIntuneのライセンスが割り当たっていること(GPOやPowerShellで対象PCのレジストリを直接操作してもOKですが、Intuneがあると便利です。本ポストではIntuneを使ってポリシーを配布する方法を紹介します)
  • 設定
    • Intuneでパスワードリセット用のプロファイルを構成していること
    • Azure AD上でパスワードリセットを有効化していること

早速やってみます。

◆Intuneでデバイス構成プロファイルを作成する

Azure PortalからIntune、Device ConfigurationからProfilesを開き、Create profileをより新規プロファイルを作成します。

プラットフォームにWindows 10 or later、プロファイルタイプにCustomを選択し、OMA-URIを追加していきます。

追加するOMA-URIの情報は以下の通りです。
  • OMA-URI : ./Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
  • Data type : Integer
  • Value : 1

◆Azure ADでパスワードリセットを有効化する

次はAzure ADを開き、Password resetを構成します。具体的にはリセットさせたいユーザを含むセキュリティ・グループに対して割り当てを行います。
(デフォルトでSSPRSecurityGroupUsersというグループが出来ていると思うので、対象ユーザをこのグループに入れます)


◆リセットする

構成が上手くいくとWindows 10 PCのログイン画面にパスワードリセットのリンクが表示されます。(もちろんAzure AD参加、Intuneへのデバイス登録がされていることが前提です)

このリンクから以下の様にパスワードリセットを進めることが出来ます。

SMSへリセット用のワンタイムコードの送信

SMSで送られてきた確認コードを入力

場合によって2つ目の確認手段を求められるので、メールにも確認コードを送信

同じく確認コードを入力して、新しいパスワードを登録

リセットが完了するので、新しいパスワードでPCへログイン


オンプレだけで構成されている環境の場合はMIM(Microsoft Identity Manager)のパスワードリセットエージェントを配布~インストールする必要があったので、クラウドベースもしくはハイブリッド環境だとかなり楽に管理が出来ますね。

0 件のコメント: