パスワードリセットの依頼は、ヘルプデスクやIT管理者にとって日常的に発生する業務の一つです。しかし、適切な本人確認を行わずにパスワードを変更してしまうと、意図しないアカウント乗っ取りや情報漏洩につながる重大なリスクがあります。また、監査ログに記録を残さないと、後から誰がどのような理由でリセットしたのか追跡できなくなり、コンプライアンス違反となる可能性もあります。本記事では、Microsoft 365環境において管理者がパスワードリセットを依頼された際の本人確認手順と、監査ログへの記録方法について、実務的な観点から詳しく解説します。
【要点】この記事で確認すること
- 最初に見る場所: Microsoft 365管理センターの「ユーザー」管理画面、Microsoft Entra管理センターの「監査ログ」、またはExchange管理センターの「監査ログ」を確認してください。
- 切り分けの軸: 本人確認の方法(電話・メール・対面など)、リセットの実行方法(管理センター・PowerShell・セルフサービス)、監査ログの記録レベル(標準・詳細)の3軸で状況を整理します。
- 注意点: 会社PCで勝手に監査ログの設定を変更したり、本人確認を省略しないでください。必ず所属組織のセキュリティポリシーに従い、必要に応じて上位の管理者やコンプライアンス部門に確認してください。
ADVERTISEMENT
目次
1. パスワードリセット依頼時の基本フロー
パスワードリセットの依頼を受けたら、まずは以下のフローに沿って対応します。このフローを踏むことで、セキュリティリスクを最小限に抑えつつ、迅速な復旧が可能になります。
- 依頼内容の受付: 依頼者の氏名、所属、連絡先、リセット対象アカウント(ユーザープリンシパル名など)を正確に聞き取ります。
- 本人確認: 組織で定められた方法(後述)で本人であることを確認します。確認が取れない場合はリセットを実施せず、上位の管理者にエスカレーションします。
- パスワードリセットの実行: Microsoft 365管理センター、Microsoft Entra管理センター、またはPowerShellを使用してパスワードをリセットします。一時パスワードを発行するか、ユーザーに新しいパスワードを設定させるかを選択します。
- 結果の連絡と確認: リセット完了後、依頼者に新しいパスワード(または一時パスワード)を安全な方法で伝えます。可能であれば、本人がサインインできることを確認します。
- 監査ログの記録: 操作が正しく監査ログに記録されたことを確認します。必要に応じて、ログのスクリーンショットやレポートを保存します。
このフローの中で特に重要なのが「本人確認」と「監査ログの記録」です。以下でそれぞれの詳細を説明します。
2. 本人確認の具体的な方法と注意点
本人確認は、パスワードリセットの成否を左右するだけでなく、組織全体のセキュリティレベルに直結します。Microsoft 365では標準的な本人確認機能は提供されていませんが、組織のルールとして以下の方法を組み合わせることが一般的です。
2-1. 電話による確認
最も一般的な方法です。事前に登録された内線番号や携帯電話番号にかけ直し、本人が応答したことを確認します。このとき、相手が名乗った名前だけでなく、部署名やプロジェクト名など追加情報を質問するとより確実です。ただし、なりすましのリスクがあるため、電話番号が正しいかどうかは事前に人事システムなどで確認しておく必要があります。
2-2. メールによる確認
会社のメールアドレス(特にパスワードリセット対象外の別アカウント)に確認メールを送り、返信をもらう方法です。ただし、メールは偽造や転送のリスクがあるため、単独での確認は推奨できません。電話と併用することで信頼性が高まります。
2-3. 対面による確認
同じフロアや拠点内であれば、直接本人の元を訪れて顔を確認する方法が最も確実です。社員証の提示を求める、または Teamsのビデオ通話で顔を確認する方法も有効です。
2-4. その他の確認手段
組織によっては、チャットツール(Teams)での一声確認や、セキュリティ質問(生年月日や入社日など)を利用する場合もあります。ただし、これらの情報は漏洩しやすいため、単独では不十分です。複数の要素を組み合わせた多要素確認が理想です。
| 方法 | 信頼性 | 手間 | リスク |
|---|---|---|---|
| 電話(内線) | 中 | 小 | 番号のなりすまし |
| 電話(携帯) | 高 | 小 | 端末の紛失・盗難 |
| メール(別アカウント) | 低 | 小 | メール偽装・転送 |
| 対面(社員証確認) | 最高 | 大 | 偽造ID |
| ビデオ通話 | 高 | 中 | 映像のなりすまし |
組織のセキュリティポリシーに応じて、これらの方法を適切に組み合わせてください。例えば、電話確認を基本とし、不明な点があればビデオ通話や対面に切り替えるといったルールを定めておくとよいでしょう。
3. 監査ログの記録と確認手順
パスワードリセットの操作は、Microsoft 365の監査ログに自動的に記録されます。管理者はこのログを定期的に確認し、不正なリセットがないかを監視する責任があります。以下では、監査ログを確認する手順を説明します。
3-1. 監査ログを確認する前提条件
監査ログを参照するには、以下のいずれかの管理者ロールが必要です。
- グローバル管理者
- 監査ログ管理者
- セキュリティ管理者
- コンプライアンス管理者
これらのロールが割り当てられていない場合は、上位の管理者に依頼してください。
3-2. Microsoft Entra管理センターで監査ログを確認する手順
- ブラウザで Microsoft Entra管理センター にアクセスし、管理者アカウントでサインインします。
- 左側のメニューから「ID」→「監査ログ」を選択します。
- 画面上部のフィルターで「アクティビティ」を「Reset user password」に設定します。必要に応じて日付範囲やユーザーを指定します。
- 一覧に表示されたイベントの「日付」「ターゲット」「アクティビティ」を確認します。詳細を表示するには、任意の行をクリックします。
- 詳細ペインで「変更のプロパティ」を展開すると、リセットを実行した管理者やIPアドレスなどが確認できます。
- ログをエクスポートしたい場合は、画面上部の「ダウンロード」からCSV形式で出力可能です。
3-3. Exchange管理センターでの監査ログ(メールボックス関連)
パスワードリセットは主にEntra IDの監査ログに記録されますが、Exchange Onlineのメールボックスパスワード変更などはExchange管理センターの監査ログにも記録される場合があります。必要に応じて、両方のログを確認することをお勧めします。
ADVERTISEMENT
4. 失敗パターンとトラブルシューティング
パスワードリセット対応でよくある失敗とその対策をまとめます。
4-1. 本人確認が不十分でなりすまし被害
最も重大な失敗です。電話一本で確認を済ませてしまい、実際は他人がなりすましていたケースがあります。対策として、必ず二要素以上の確認を実施し、疑わしい場合は上位者に相談するルールを徹底してください。
4-2. 監査ログに記録が残らない
Microsoft 365では、既定で監査ログが有効になっていますが、組織によっては無効化されている場合があります。また、PowerShellを使用してリセットした場合もログは残りますが、適切な権限がないと参照できないことがあります。定期的にログが記録されているか確認し、不備があれば設定を見直してください。
4-3. パスワードリセット後ユーザーがサインインできない
新しいパスワードが複雑すぎる、またはユーザーがパスワード変更を強制されている場合などに発生します。リセット時には「初回サインイン時にパスワード変更を要求する」オプションを適切に設定し、ユーザーにわかりやすく伝えることが重要です。
4-4. 管理者アカウントの誤操作
間違えて別のユーザーのパスワードをリセットしてしまうケースです。操作時は必ずユーザー名をダブルチェックし、可能であれば確認のポップアップを出すカスタムスクリプトを導入するなどの対策が考えられます。
5. 管理者が知っておくべきベストプラクティス
パスワードリセットの対応を円滑かつセキュアに行うために、以下のベストプラクティスを推奨します。
- 本人確認ポリシーの文書化: 組織としての本人確認手順を明確に文書化し、全管理者に周知します。確認方法の優先順位や、確認が取れなかった場合のエスカレーション先を明記してください。
- 監査ログの定期レビュー: 少なくとも週に一度は監査ログを確認し、不審なリセット操作がないかチェックします。アラートルールを設定して、特定の条件(例:管理者以外のアカウントが大量にリセットされた)で通知を受け取ることも有効です。
- 最小権限の原則: パスワードリセットを実行できる管理者を必要最小限に制限します。ヘルプデスク担当者には「ヘルプデスク管理者」ロールを割り当て、グローバル管理者は緊急時のみ使用するなど、役割を明確にします。
- セルフサービスパスワードリセット(SSPR)の活用: 可能であれば、ユーザーが自分でパスワードをリセットできるSSPRを導入します。管理者の負担軽減とセキュリティ向上の両面で効果的ですが、導入には多要素認証の登録が必要です。
- トレーニングの実施: 管理者向けに定期的なトレーニングを実施し、最新の脅威や対応方法を共有します。特に新人管理者には、実際のケーススタディを用いた研修が有効です。
6. よくある質問(FAQ)
Q1. 緊急時(例:アカウントロック解除)で本人確認が間に合わない場合はどうすればよいですか?
緊急時であっても、本人確認を完全に省略することは避けてください。最低限、電話で本人と思われる相手と会話し、後日対面で確認を取るという手順を踏みます。どうしても確認できない場合は、上位管理者の承認を得た上でリセットし、その旨を監査ログに注釈として残す方法を検討します。
Q2. 監査ログを確認する権限がありません。誰に依頼すればよいですか?
組織のグローバル管理者または監査ログ管理者に連絡してください。多くの場合、IT部門の責任者が該当します。もし不明な場合は、所属部署のマネージャーに相談して適切な窓口を紹介してもらいましょう。
Q3. PowerShellを使ってパスワードリセットした場合も監査ログに記録されますか?
はい、記録されます。PowerShellでSet-MgUserPassword などのコマンドを実行すると、Entra IDの監査ログに「Reset user password」アクティビティとして記録されます。ただし、コマンド実行時に使用したアカウントの権限や、操作内容によっては詳細が不足する場合があるため、可能であれば管理センターからの操作も併用してください。
Q4. 外部委託先の管理者がパスワードリセットを行う場合、本人確認はどうすればよいですか?
外部委託先の管理者には、組織のポリシーに従った本人確認を義務付ける契約を結びましょう。また、監査ログを定期的に共有させ、不正な操作が行われていないか確認する仕組みを構築します。可能であれば、委託先には最小限の権限のみ付与し、リセット可能なユーザーを制限することをお勧めします。
まとめ
パスワードリセットは簡単な操作ですが、本人確認と監査ログの記録を怠ると大きなセキュリティインシデントにつながります。本記事で紹介したフローやベストプラクティスを参考に、組織のルールを整備し、定期的な見直しを行ってください。特に、本人確認は電話だけでなく複数の手段を組み合わせ、監査ログは毎週確認する習慣を身につけることが重要です。また、セルフサービスパスワードリセットの導入を検討することで、管理者の負担を減らしつつ、ユーザーの利便性とセキュリティを両立できるでしょう。これらの対策を継続的に実施することで、安心してMicrosoft 365を運用できる環境を維持してください。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】メール本文が「文字化け」して読めない!エンコード設定の変更と修復手順