ある企業が Entra ID で社内全体の SSPR(セルフサービスパスワードリセット)を段階的に展開したい。まず IT 部門の 30 名だけを対象に試験運用し、問題がなければ全社展開に切り替える計画だ。最も適切な SSPR の有効化方法はどれか。
- A. SSPR は全社一括でのみ有効化できるため、試験運用は不可能である
- B. SSPR の有効化対象を「なし」のまま保ち、IT 部門ユーザーには個別にパスワードリセット権限を Azure RBAC で付与する
- C. SSPR の有効化対象を「すべて」に設定し、IT 部門以外は条件付きアクセスポリシーで SSPR ページへのアクセスをブロックする
- D. SSPR の有効化対象を「選択済み」に設定し、IT 部門ユーザーを含む Entra ID セキュリティグループを指定する
解答と解説を見る
正解: D
Entra ID の SSPR 有効化設定には「なし(無効)」「選択済み(Selected)」「すべて(All)」の 3 つのオプションがある。「選択済み」を選ぶと特定のセキュリティグループに所属するユーザーだけを対象にできるため、IT 部門グループを指定すれば段階的な試験運用が可能。全社展開時は「すべて」に切り替えるだけでよい。選択肢Cは SSPR を全社有効にしてから条件付きアクセスで制限する方法は複雑で、SSPR ページへの条件付きアクセスは想定された使い方ではない。選択肢Aは誤りで、グループ単位の段階展開は標準機能としてサポートされている。選択肢Bの Azure RBAC は Azure リソースへのアクセス管理であり、Entra ID のパスワードリセット機能の制御には使用しない。
📚 関連サービスの解説: Microsoft Entra ID