ADFSからActive Directoryユーザーのパスワード変更

皆さんこんにちは。国井です。

以前、クラウドからActive Directoryのパスワードを変更する方法として、
Azure AD Premiumの機能を利用したパスワードリセットの機能を紹介しました。

しかし、この方法はパスワードリセットであって、変更ではない!というご指摘を色々といただきました。
そこで、今回はADFSサーバーを経由してActive Directoryユーザーのパスワードを変更する方法(リセットする方法じゃありませんよ)を紹介します。

ADFS-AzureADスライド集

この方法を利用して、ADFSサーバーをWebアプリケーションプロキシ経由で公開すれば、インターネット上からでもActive Directoryユーザーのパスワードが変更できるようになりますね。
では、早速見てみましょう!

■ ■ ■

ADFSサーバー経由でActive Directoryのパスワードを変更するときは、Workplace Joinの設定により、パスワード変更を行おうとするデバイスがActive Directoryに登録されていることが前提です。(ドメイン参加していることではなく、Workplace Joinでデバイス登録していることです。)

Workplace Joinによるデバイス登録方法については、こちらを参考にしてください。

※2015年9月2日追記
KB3035025で提供される更新プログラムの適用により、Workplace Joinでデバイス登録しなくてもパスワード変更ができるようになったそうです。

デバイス登録の設定が完了したら、
ADFSサーバーでADFS管理ツールを開き、
エンドポイントの/adfs/portal/updatepassword/を有効にして、ADFSサービスを再起動します。Webアプリケーションプロキシ経由で同じ機能を利用するなら、[プロキシに対して有効にする]も選択しておいてください。

image

設定はこれだけ。
あとは、https://<フェデレーションサービス名>/adfs/portal/updatepassword/にアクセスし、パスワードを変更するユーザーの名前と、前のパスワード、新しいパスワードをそれぞれ入力することで、

image

Active Directoryユーザーのパスワードが変更されます。

image

ちなみに、デバイス登録されていないデバイスからURLにアクセスし、パスワード変更しようとすると、

image

このようにエラーになります。

image

その他、有効期間に基づいてパスワード変更を促す設定もありますので、手順がまとまりましたら、改めて紹介したいと思います。

  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存

コメント

  1. KatsukiNakatani より:

    最近ADFSを勉強し始めて、こちらのページを参考に作っていたのですが、パスワードの変更ページにWorkplace Joinが必要なくなったようなので、一応書いておきます。
    KB3035025を適用すると特にWorkplaceJoinがなくてもパスワードの変更ができました。
    ADFSでパスワードの変更ページを公開したらAdministratorなどの管理者権限も変更できてしまうので、例えばあるOUのとかあるGroupに属するユーザだけ変更できるとかのTipsがあればまた教えていただけるとありがたいです。

  2. sophiakunii より:

    Nakataniさん、ご連絡ありがとうございます。ご指摘の通り、KB3035025の適用によって、Workplace Joinを実行することなくパスワードの変更ができるようになりましたね。
    また、ユーザー単位でパスワード変更ができるようにする仕組みはADFSだけで実現することは難しく、何かほかの仕組みとの連携が必要になると思います。また、お伝えできることがあれば、紹介させていただきます。

コメントをどうぞ

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください