パスワード定期変更のためにユーザと管理者が辛くならないよう、スマートな仕組みを考えてみた

弊社、PCI DSSの要件のためにパスワード定期変更が必要です。パスワード定期変更を行うとパスワード変更方法がわからないとか、アカウントがロックされたなど、問い合わせが増加する未来が見えます。

まぁ、それってユーザ（社員）の問題なんじゃないの？とも思いますが、ここではユーザに寄り添い、できるだけ双方負担のない仕組みをつくりたい、と思い、この課題に取り組みました。

課題はなんなのか

課題はJumpCloud（macOSアカウント管理の仕組み）から、ユーザが迷うことなく、期限内にパスワードを変更する仕組みを作る、ということです。

ここで重要なのが、

macOSユーザが迷うことなく、期限内にパスワードを変更できる仕組み

というところです。

単にパスワードの定期変更をやるだけなら、その設定がJumpCloudに備わっているので、シュッと設定するだけです。

今回のポイントは3つで、これを満たす仕組みを考えていきます

1. ユーザが迷うことなく　→　手順がわかる
2. 期限内に　→　期限が近づいたことがわかる
3. 期限がきれても　→　ロックではなく、強制的にパスワード変更できる

※ロックではなく、強制パスワード変更だとリスクが存在しますが、いったんここは許容することにします。

なぜ、JumpCloud?（構成説明）

本筋からは外れますが、なぜ、JumpCloudからパスワード変更するのか、について説明しておきます。

一言でいうとmacOSユーザはJumpCloudからAzureADにパスワード同期しているからです。そしてJumpCloudはmacOSの特権アカウント管理およびパスワードポリシー制御のために使用しています。

Jamf Connectに切り替えることも検討しましが、結果として現構成（JumpCloud使用）のままの方針としました。

足りない機能はなにか

JumpCloudのパスワード変更周りの機能を細かく検証していきました。
結果として、足りない機能はこの2つ

1. ユーザが迷うことなく　→　手順がわかる
2. 期限内に　→　期限が近づいたことがわかる

ポイント2は期限が近くなるとメール通知は来ますが、弊社の場合、かなりの割合でユーザは気づきません。

よって、この2つを満たす機能を作っていくことにしました。

このあたりの技術的な説明は、一緒に機能を作ったhikkyさんのブログを見てください

JumpCloudでパスワード有効期限が迫っているMacローカルユーザーに通知を表示する方法

こんなフローになった

パスワード変更を拒否っても、最終的に行くつく先はパスワード変更ｗ

結果として

現状としては、ここまで上手くすすめることができました。
つい先日、ユーザアナウンスしたので、実際のパスワード変更はもう少し先になります。

その際にユーザアンケートでも取って、最終結果を追記しようと思います。