皆さんこんにちは。国井です。
以前、クラウドからActive Directoryのパスワードを変更する方法として、
Azure AD Premiumの機能を利用したパスワードリセットの機能を紹介しました。
しかし、この方法はパスワードリセットであって、変更ではない!というご指摘を色々といただきました。
そこで、今回はADFSサーバーを経由してActive Directoryユーザーのパスワードを変更する方法(リセットする方法じゃありませんよ)を紹介します。
この方法を利用して、ADFSサーバーをWebアプリケーションプロキシ経由で公開すれば、インターネット上からでもActive Directoryユーザーのパスワードが変更できるようになりますね。
では、早速見てみましょう!
■ ■ ■
ADFSサーバー経由でActive Directoryのパスワードを変更するときは、Workplace Joinの設定により、パスワード変更を行おうとするデバイスがActive Directoryに登録されていることが前提です。(ドメイン参加していることではなく、Workplace Joinでデバイス登録していることです。)
Workplace Joinによるデバイス登録方法については、こちらを参考にしてください。
※2015年9月2日追記
KB3035025で提供される更新プログラムの適用により、Workplace Joinでデバイス登録しなくてもパスワード変更ができるようになったそうです。
デバイス登録の設定が完了したら、
ADFSサーバーでADFS管理ツールを開き、
エンドポイントの/adfs/portal/updatepassword/を有効にして、ADFSサービスを再起動します。Webアプリケーションプロキシ経由で同じ機能を利用するなら、[プロキシに対して有効にする]も選択しておいてください。
設定はこれだけ。
あとは、https://<フェデレーションサービス名>/adfs/portal/updatepassword/にアクセスし、パスワードを変更するユーザーの名前と、前のパスワード、新しいパスワードをそれぞれ入力することで、
Active Directoryユーザーのパスワードが変更されます。
ちなみに、デバイス登録されていないデバイスからURLにアクセスし、パスワード変更しようとすると、
このようにエラーになります。
その他、有効期間に基づいてパスワード変更を促す設定もありますので、手順がまとまりましたら、改めて紹介したいと思います。
コメント
最近ADFSを勉強し始めて、こちらのページを参考に作っていたのですが、パスワードの変更ページにWorkplace Joinが必要なくなったようなので、一応書いておきます。
KB3035025を適用すると特にWorkplaceJoinがなくてもパスワードの変更ができました。
ADFSでパスワードの変更ページを公開したらAdministratorなどの管理者権限も変更できてしまうので、例えばあるOUのとかあるGroupに属するユーザだけ変更できるとかのTipsがあればまた教えていただけるとありがたいです。
Nakataniさん、ご連絡ありがとうございます。ご指摘の通り、KB3035025の適用によって、Workplace Joinを実行することなくパスワードの変更ができるようになりましたね。
また、ユーザー単位でパスワード変更ができるようにする仕組みはADFSだけで実現することは難しく、何かほかの仕組みとの連携が必要になると思います。また、お伝えできることがあれば、紹介させていただきます。