ADFSからActive Directoryユーザーのパスワード変更

皆さんこんにちは。国井です。

以前、クラウドからActive Directoryのパスワードを変更する方法として、
Azure AD Premiumの機能を利用したパスワードリセットの機能を紹介しました。

しかし、この方法はパスワードリセットであって、変更ではない!というご指摘を色々といただきました。
そこで、今回はADFSサーバーを経由してActive Directoryユーザーのパスワードを変更する方法(リセットする方法じゃありませんよ)を紹介します。

ADFS-AzureADスライド集

この方法を利用して、ADFSサーバーをWebアプリケーションプロキシ経由で公開すれば、インターネット上からでもActive Directoryユーザーのパスワードが変更できるようになりますね。
では、早速見てみましょう!

■ ■ ■

ADFSサーバー経由でActive Directoryのパスワードを変更するときは、Workplace Joinの設定により、パスワード変更を行おうとするデバイスがActive Directoryに登録されていることが前提です。(ドメイン参加していることではなく、Workplace Joinでデバイス登録していることです。)

Workplace Joinによるデバイス登録方法については、こちらを参考にしてください。

※2015年9月2日追記
KB3035025で提供される更新プログラムの適用により、Workplace Joinでデバイス登録しなくてもパスワード変更ができるようになったそうです。

デバイス登録の設定が完了したら、
ADFSサーバーでADFS管理ツールを開き、
エンドポイントの/adfs/portal/updatepassword/を有効にして、ADFSサービスを再起動します。Webアプリケーションプロキシ経由で同じ機能を利用するなら、[プロキシに対して有効にする]も選択しておいてください。

image

設定はこれだけ。
あとは、https://<フェデレーションサービス名>/adfs/portal/updatepassword/にアクセスし、パスワードを変更するユーザーの名前と、前のパスワード、新しいパスワードをそれぞれ入力することで、

image

Active Directoryユーザーのパスワードが変更されます。

image

ちなみに、デバイス登録されていないデバイスからURLにアクセスし、パスワード変更しようとすると、

image

このようにエラーになります。

image

その他、有効期間に基づいてパスワード変更を促す設定もありますので、手順がまとまりましたら、改めて紹介したいと思います。