Azure ADドメインに参加したWindows 10 Fall Creators Update(Build 1709)のPCではログイン画面からパスワードをリセットすることが出来るようになっています。
公式Blogでのアナウンス
Resetting passwords on Azure AD-joined devices is much easier with the latest Windows update
https://cloudblogs.microsoft.com/enterprisemobility/2017/11/20/resetting-passwords-on-azure-ad-joined-devices-is-much-easier-with-the-latest-windows-update/
ちょっと時間がたってしまいましたが、動かしてみました。
◆必要な物、準備事項
- デバイス
- Azure AD参加したWindows 10 Fall Creator Updateが動作しているPC
- ライセンス
- 該当ユーザにAzure AD Premium P1以上のライセンスが割り当たっていること(オンプレミスADへのパスワード書き戻しを行う場合)
- 該当ユーザにIntuneのライセンスが割り当たっていること(GPOやPowerShellで対象PCのレジストリを直接操作してもOKですが、Intuneがあると便利です。本ポストではIntuneを使ってポリシーを配布する方法を紹介します)
- 設定
- Intuneでパスワードリセット用のプロファイルを構成していること
- Azure AD上でパスワードリセットを有効化していること
早速やってみます。
◆Intuneでデバイス構成プロファイルを作成する
Azure PortalからIntune、Device ConfigurationからProfilesを開き、Create profileをより新規プロファイルを作成します。
プラットフォームにWindows 10 or later、プロファイルタイプにCustomを選択し、OMA-URIを追加していきます。
追加するOMA-URIの情報は以下の通りです。
- OMA-URI : ./Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
- Data type : Integer
- Value : 1
◆Azure ADでパスワードリセットを有効化する
次はAzure ADを開き、Password resetを構成します。具体的にはリセットさせたいユーザを含むセキュリティ・グループに対して割り当てを行います。
(デフォルトでSSPRSecurityGroupUsersというグループが出来ていると思うので、対象ユーザをこのグループに入れます)
◆リセットする
構成が上手くいくとWindows 10 PCのログイン画面にパスワードリセットのリンクが表示されます。(もちろんAzure AD参加、Intuneへのデバイス登録がされていることが前提です)
このリンクから以下の様にパスワードリセットを進めることが出来ます。
SMSへリセット用のワンタイムコードの送信
SMSで送られてきた確認コードを入力
場合によって2つ目の確認手段を求められるので、メールにも確認コードを送信
同じく確認コードを入力して、新しいパスワードを登録
リセットが完了するので、新しいパスワードでPCへログイン
オンプレだけで構成されている環境の場合はMIM(Microsoft Identity Manager)のパスワードリセットエージェントを配布~インストールする必要があったので、クラウドベースもしくはハイブリッド環境だとかなり楽に管理が出来ますね。
投稿
0 件のコメント:
コメントを投稿