Windowsにセルフサービスによるパスワードリセットを有効にする
セルフサービスによるパスワードリセット(SSPR)を使用すると、ユーザーがコンピューターからロックアウトされている場合にパスワードリセットを開始できます。
パスワードリセットを開始するには、ユーザーのインターネット接続がアクティブでなければなりません。
セルフサービスによるパスワードリセット機能は次のユーザー向けに設計されています。
-
Oktaで作成されたユーザー
-
代理認証を使用するActive Directoryユーザー
-
Microsoft Entra IDユーザー(OktaがIDプロバイダーで、パスワードはOktaで設定)
-
Oktaソースのユーザー
Oktaユーザー名がMicrosoftユーザープリンシパル名(UPN)に一致しない場合は、ユーザープロファイルポリシーで複数の識別子を構成できます。これにより、ユーザーをUPN属性で識別できるようになります。この回避策を実装する手順は、このナレッジベースの記事を参照してください。
ユーザーがセルフサービスによるパスワードリセット機能を使用してパスワードを変更する場合は、Oktaパスワードを変更します。その後、このパスワードはActive DirectoryまたはMicrosoft Entra IDと同期されます。
手順
SSPR機能を有効にする前に、OktaのパスワードポリシーとActive Directoryエージェントのパスワードポリシーが一致することを確認してください。
ポリシーを確認したら、SSPRレジストリキーを編集して機能をアクティベートできます。
パスワードポリシーの一致を確認する
まだ行っていない場合、Okta Admin Consoleのの下にあるIDP MyAccount APIパスワード(IDP MyAccount API Password)機能を有効にします。
-
Admin Consoleで、に移動します。
-
パスワード(Password)行で、をクリックします。
-
ルールを追加(Add rule)ボタンがあるセクションまでスクロールします。鉛筆アイコンをクリックして、変更するポリシーのルールを編集します。
-
任意。委任権限付与を使用する場合は、ポリシーがActive Directoryに適用されることを確認してください。認証プロバイダー(Authentication Providers)見出しの下で、ドロップダウンメニューを使用してActive Directoryを選択します。
-
ユーザーは次をセルフサービスで実行可能(Users can perform self-service)の横にあるパスワードリセット(Password reset)オプションを有効にします。
-
復旧Authenticator(Recovery Authenticator)セクションで、Okta Verifyが選択されていることを確認します。
-
追加の検証(Additional verification)を任意(Not required)に設定します。追加の検証要件を設定すると、パスワードリセットオプションが失敗します。
-
保存(Save)またはルールを更新(Update rule)をクリックして、変更を確定します。
セルフサービスによるパスワードリセットを有効にする
この機能はデフォルトでは無効(0)になっています。セルフサービスによるパスワードリセット機能を有効にするは、 SelfServicePasswordResetEnabledレジストリキーを1に設定します。
Okta Verifyアプリをデプロイした後、セルフサービスによるパスワード機能を使用するためにDesktop MFAポリシーを構成する必要があります。
-
デバイスのレジストリ設定で、
HKLM\Software\Policies\Okta\Okta Device Accessに移動します。 -
SelfServicePasswordResetEnabledレジストリキーを1に設定します。
デバイスでセルフサービスによるパスワードリセットオプションを有効にすると、ユーザーはパスワードを忘れた場合にパスワードリセットを開始できます。ユーザーエクスペリエンスについては、セルフサービスによるパスワードリセットを参照してください。