学ぶ (英語版)
ドキュメント (英語版)
サポート (英語のみ)
コミュニティ (英語版)

使用ガイド: 積極的なパスワードリセット

このページでは、パックのさまざまな使用方法とユースケースの例を示しています。 管理者は構成ガイドを参照して、インストールされたコンテンツを設定およびカスタマイズできます。

ワークフロー: プロアクティブなパスワードリセットライブラリパックは、EUC チームに以下のことを可能にします:

  • 迅速なパスワード変更を通じて、企業システムと機密情報への不正アクセスのリスクを軽減します。

  • パスワードの有効期限について従業員に積極的に通知し、複数の通信チャンネルでのサポートを提供することで、従業員全体のエクスペリエンスを向上し、フラストレーションを緩和できます。

ライブラリパックの使用

このページのユースケースにジャンプして、関連するシナリオのアプリケーションを確認してください。

ライブラリパックのコンテンツを以下の目的で使用してください。

可視性

このライブラリパックは、ワークフロー「プロアクティブなパスワードリセット」に焦点を当てています。 このワークフローは、キャンペーンやメールを介して、マルチレベルのチェックとリマインダーを通じて従業員へのパスワード有効期限リマインダーの送信を自動化するために設計されています。 オンプレミスのActive DirectoryドメインとEntra ID環境の両方をサポートし、このワークフローは有効期限が切れるパスワードによる混乱やこの問題に関連するITサポートの作業負荷を軽減する普遍的な方法を提供します。

ワークフロートリガー

このワークフローは、オンプレミスActive DirectoryやEntra IDに接続されているデバイスを含む、すべてのWindowsデバイスで実行するように設計されています。

スケジュールトリガーの推奨

パスワードを変更するための2日間の遅延があるため、3日に1回実行されるワークフロースケジュールを作成することをお勧めします。

以下の例は、Windowsデバイスを選択する場合にクエリがどのように見えるかを示しています。

NQL:

devices
| where operating_system.platform == windows and device.license_type != server
| list name, operating_system.name, operating_system.build, last_seen

事前定義されたワークフローの構造と手順

プロアクティブなパスワードリセット - Microsoft Teams ワークフローは次の主な手順で構成されています:

  1. ワークフローは、従業員のアカウントがMicrosoft Active Directory (AD) または Microsoft Entra ID の一部であることを確認します。

  2. アカウントがADまたはEntra IDにリンクされているかどうかに応じて、ワークフローはパスワードの有効期限までの日数とリマインダー閾値が到達したかどうかを確認します

    1. 以下のワークフローパラメーターを定義する必要があります:

      1. パスワード失効ポリシー(日数)、最後のパスワード変更からパスワードが失効するまでの日数を定義します。 この数値は、組織のパスワード管理ポリシーから取得する必要があります。

      2. リマインダー閾値、パスワードの有効期限の日数を定義し、従業員がパスワードの有効期限を通知され、パスワードの変更を求められる必要があります。

  3. 指定された「リマインダー閾値」に達すると、ワークフローはキャンペーンを通じて従業員にパスワードの有効期限について通知します

  4. キャンペーンを通じてユーザーに通知してから48時間経過後、ワークフローは従業員のパスワード有効期限日を再確認し、パスワードが変更されていない場合はマネージャーに代わって変更を促します

ワークフローは、従業員のアカウントがMicrosoft Active Directory (AD) または Microsoft Entra IDの一部であることを確認します

最初の条件ブロック(一つがもう一つの上にあります)は、オンプレミスとハイブリッド環境(オンプレミスADとEntra IDハイブリッド)の両方をカバーするために必要です。 これは、デバイスがローカルActive Directoryに参加しているか、Entra IDのメンバーであるかを判断します。 これらの条件は、メンバーシップタイプのプロパティとデバイスの識別名の存在を評価します。 メンバーシップタイプがドメインであり、識別名が存在する場合、そのデバイスはローカルADメンバーであると判断されます。 それ以外の場合、それはEntra IDメンバーと見なされます。

ワークフローがパスワードの有効期限までの日数とリマインダー閾値に達したかどうかを確認します

アカウントがADまたはEntra IDにリンクされているかどうかに応じて、ワークフローは適切な方法を使用して、最後のパスワード変更日を特定し、パスワードの有効期限までの日数とリマインダー閾値が到達したかどうかを決定します。

  • オンプレミスAD: リモートアクションを使用して最後のパスワード変更日を取得し、結果を定義された失効ポリシーとリマインダー閾値と比較します。 パスワードの有効期限までの日数が閾値に達した場合、Teamsメッセージを使用して従業員に通知します。 従業員に「パスワードは期限切れにならない」フラグが設定されている場合、ワークフローは適切な終了コードで終了します。

  • Entra ID: これは上記と同じで、ただしGraphAPI呼び出し(LastPasswordChangeDateTime)を使用して最後のパスワード変更日を取得します。 パスワードの有効期限までの日数が閾値に達した場合、Teamsメッセージを使用して従業員に通知します。

ワークフローがキャンペーンを使用して従業員にパスワードを変更するように通知します

計算された従業員のパスワードの有効期限までの日数が定義された「リマインダー閾値」に達した場合、従業員はキャンペーンを受け取り、パスワードを変更するように促されます。

Active Directoryユーザー向けのキャンペーンの例
Entra IDユーザー向けのキャンペーンの例

ワークフローがマネージャーに代わって従業員にパスワードを変更するように伝えます

それ以外の場合、ワークフローはEntra IDから従業員のマネージャーを特定し、マネージャーに代わって従業員にパスワード変更を促すメールを送信します。 以下はそのようなメールリマインダーの例です:

関連トピック

Last updated

Was this helpful?