設定ガイド: 積極的なパスワードリセット
はじめに
このワークフローを始める前に、すべての関連コンテンツが適切にインストールおよび構成されていることを確認してください。 このページでは、含まれているコンテンツとその設定方法についてのガイダンスを提供します。
これはあくまでガイドであり、推奨される設定を示していますのでご注意ください。 特定の環境に応じて、コンテンツを自由にカスタマイズおよび編集することができます。
前提条件
このライブラリパックには、次の拡張製品のコンテンツが含まれています
コンテンツと依存関係
このライブラリパックには次のコンテンツと依存関係が含まれています:
積極的なパスワードリセットのオーケストレーション
より強力なパスワードリセットプロセスをオーケストレートするワークフロー。
パスワードの有効期限警告 - ワークフロー呼び出し
ユーザーにパスワードが間もなく期限切れであることを警告し、パスワードを変更できるリンクを表示します。
パスワード期限警告
これは、Invoke Remote Actionによる積極的なパスワードリセットで開始されたリモートアクションキャンペーンです。 ユーザーにパスワードの期限が近づいていることを警告し、パスワードを変更できるリンクを表示します。
積極的なパスワードリセットを呼び出す
パスワードの有効期限を確認し、入力パラメータで提供された時間枠内にある場合、ユーザーに警告するキャンペーンを実行します(パスワードリセットのリンクを提供します)。
Entra IDエンドポイントのパスワード有効期限を取得する
このリモートアクションは、Entra IDに結合されているエンドポイント(完全なMicrosoft cloudシナリオ)での使用を目的としており、Nexthink Flowから実行する必要があります。
設定
ステップ 1) ライブラリパックコンテンツをインストール
Nexthink ライブラリ に移動し、必要なすべてのコンテンツをインストールします。
ステップ 2) 登録されたMicrosoft Entra IDアプリをセットアップし、Microsoft Graph API コネクタのクレデンシャルを設定
適切なコネクタ資格情報をNexthinkに設定するためのMicrosoft Entra IDアプリケーションを登録するには、次のドキュメントページを参照してください:ワークフローのためのEntra ID統合。
このワークフローには、次の権限を登録されたEntra IDアプリケーションに付与する必要があります。
委任された
User.Read.All
GroupMember.ReadWrite.All
Device.ReadWrite.All
Directory.Read.All
Mail.Send
Application
User.Read.All
GroupMember.ReadWrite.All
Device.ReadWrite.All
Directory.Read.All
Mail.Send
権限の詳細については、Graph API ドキュメントを参照してください。
手順 3) グローバルパラメータを構成する
このワークフローにはグローバルパラメータが3つあります:
3.1) パスワード有効期限ポリシー(days 単位) (password_expiration_policy_in_days)
このパラメータは、パスワードの有効期限ポリシーの日数を含んでいます。たとえば、何日ごとにパスワードを変更する必要があるか、またはそれが失効するかを決定します。 以下はこれらのパラメータのデフォルト値です:
パスワード有効期限ポリシー(days 単位)
90
ユーザーパスワードが失効するまでの日数を、組織によって定義されます。
リマインダしきい値
30
ユーザーパスワードが失効する前に、変更が必要なことを通知しなければならない日数。
3.2) リマインダしきい値 (reminder_threshold)
このパラメータには、パスワード有効期限が近づいたときにユーザーに通知する日数が含まれています。
ステップ 4) リモートアクションの構成
このワークフローでは以下のリモートアクションを使用します。 以下のように、最新バージョンをインストールし、設定を完了させてください。
プロアクティブなパスワードリセットの起動
API トリガーを有効にして、ワークフローからトリガーされるようにする必要があります
次の RA 入力パラメータはワークフローパラメータで上書きされ、ユーザーがカスタム値を入力できる許可オプションを有効にする必要があります:
DaysUntilExpiration
PasswordExpirationPolicyInDays
Entra ID エンドポイントのパスワード有効期限の取得
API トリガーを有効にして、ワークフローからトリガーされるようにする必要があります
次の RA 入力パラメータはワークフローパラメータで上書きされ、ユーザーがカスタム値を入力できる許可オプションを有効にする必要があります:
pw_reset_threshold
last_password_change_date_time
reminder_threshold
プロアクティブなパスワードリセットの起動 - 入力パラメータ
CampaignId
password_expiry_warning
パスワードがまもなく失効することをユーザーに通知し、リセットするための URL を提供するキャンペーンの ID
DaysUntilExpiration
この入力パラメータはワークフローパラメータで上書きされ、ユーザーがカスタム値を入力できる許可オプションを有効にする必要があります。
パスワードが失効するまでの日数。 有効期限がこの期間内にある場合、キャンペーンが実行されます
最大遅延秒数
60
ドメインコントローラーの過負荷を避けるために設定された最大ランダム遅延時間。 600未満の秒数を提供します
PasswordExpirationPolicyInDays
この入力パラメータはワークフローパラメータで上書きされ、ユーザーがカスタム値を入力できる許可オプションを有効にする必要があります。
設定されてからパスワードが失効するまでの日数。
Entra ID エンドポイントのパスワード有効期限の取得 - 入力パラメータ
pw_reset_threshold
この入力パラメータはワークフローパラメータで上書きされ、ユーザーがカスタム値を入力できる許可オプションを有効にする必要があります。
この値は、Entra ID に設定されたパスワードリセットポリシーの日数に一致する必要があります。 計算を実行するために提供される必要があります
last_password_change_date_time
この入力パラメータはワークフローパラメータで上書きされ、ユーザーがカスタム値を入力できる許可オプションを有効にする必要があります。
Nexthink Flow に含まれる API ウィジェットを使用して提供される、パスワードが最後にリセットされた日時
reminder_threshold
この入力パラメータはワークフローパラメータで上書きされ、ユーザーがカスタム値を入力できる許可オプションを有効にする必要があります。
この入力値は、有効期限カウントダウン(残りの日数)で、ユーザーがパスワードリセットを実行するよう促したい時点です。 しきい値がアクティブなときは、Flow 実行のたびにユーザーに通知されます
ステップ 5) キャンペーンの設定
このワークフローには4つのキャンペーンがあります:
パスワード有効期限の警告
password_expiry_warning
ユーザーにパスワードがまもなく失効することを警告し、パスワードを変更できるリンクを表示します。
このリモートアクションキャンペーンは、プロアクティブなパスワードリセットを伴うリモートアクションの起動によって開始されます。
パスワード有効期限警告 - ワークフロー起動
password_expiry_warning_workflow_invoke
ユーザーにパスワードがまもなく失効することを警告し、パスワードを変更できるリンクを表示します。
これらのキャンペーンは、使用前に企業のコミュニケーションガイドラインに合うように変更する必要があります。 キャンペーンの管理 管理ページに移動して、キャンペーンをレビューおよび編集します。
インストールされたキャンペーンごとに、次を行ってください:
送信者名と画像をカスタマイズします。
質問をレビューし、調整します。
キャンペーンの使用準備ができたら公開します。
ステップ 6) ワークフローのスケジュール設定
このワークフローは、Active Directory または Entra ID に接続されたデバイスを含む、すべての Windows デバイスで実行されるように設計されています。
スケジュールトリガーの推奨事項
ワークフローには、ユーザーがパスワードを変更するための 2 日間の遅れが含まれているため、ワークフローを 3 日ごとに 1 回実行するスケジュールを作成することをお勧めします。
以下の例は、Windows デバイスを選択したときのクエリがどのように見えるかを示しています。
NQL:
使用ガイド
あなたのコンテンツは設定され、使用する準備ができました。 使用概要と推奨事項については、使用ガイドをご覧ください。
関連トピック
Last updated
