• セルフサービス プロセス：ユーザーは、サポートされている任意のインターフェイス (モバイル デバイスなど) でブラウザを使用して、インターネット経由で自分のパスワードをリセットします。パスワードリセット アプリケーションとオーケストレーションをすべてのユーザーに公開して利用できるようにするには、専用の新しいパスワードリセット プロセスを作成し、[パブリックアクセス] プロパティを設定してすべてのユーザーがプロセスにアクセスできるようにします。「」を参照してください。 例:デフォルトのセルフサービス パスワードリセット process.
• サービスデスク支援プロセス：ユーザーはパスワードをリセットするために、電話または対面でサービスデスク担当者の支援を要求します。password_reset_service_desk ロールを持つサービスデスク担当者のみがユーザーのパスワードをリセットできます。「ユーザーのパスワードのリセット (ビデオ) 」および「サービスデスクの支援によるパスワードリセットプロセスの設定方法 (ビデオ) 」をご覧ください。

組織の各グループのメンバーがシステムにどのようにアクセスしているかを分析し評価します。たとえば、営業グループのメンバーが主にリモートでシステムにアクセスしている場合は、各ユーザーの本人確認を行うために、より強力な方法または複数の方法を使用することを検討します。

重要な情報やリソースへのアクセス権を持たせるユーザー ロールを明らかにします。たとえば、従業員データ、会計情報、ネットワーク構成へのアクセス権を持つロールの場合は、より強力な検証を義務付けることが考えられます。

グループとロールの分析結果に基づいて、さまざまなパスワードリセット プロセスに必要な検証の数と種類を決定します。

使用するディレクトリー サービスのタイプまたはその他の認証情報ストアで、シングルサインオンを有効にするかどうかを判断します。ディレクトリー サービスをシングルサインオン用に設定する場合は、セキュリティを強化するために複数の方法を使用してユーザーの本人確認を行うことを検討します。シングル サインオン環境でユーザー名とパスワードが侵害されると、関連するシステムへのアクセスを簡単に許可してしまう可能性があります。

たとえば、登録をオプションにするか必須にするか？ユーザーを自動登録するか？プログラムへの登録をユーザーにどのように通知するか？これらの質問への答えは、使用する適切な検証タイプを決定するのに役立ちます。

• 組織でシングルサインオンを使用している場合、ユーザーがログオンできない場合にどのようにパスワードをリセットするか？
• オフサイトで作業しているユーザーはどのようなオプションを利用できるか？