Microsoft Entra ID で使用できる認証方法と検証方法

Microsoft では、Windows Hello や FIDO2 セキュリティ キー、Microsoft Authenticator アプリといった、非常に安全なサインイン イベントを提供できるパスワードレスの認証方法を推奨しています。 ユーザーはユーザー名やパスワードなど、他の一般的な方法を使用してサインインすることもできますが、パスワードはより安全な認証方法に置き換えるべきです。

Illustration of the strengths and preferred authentication methods in Microsoft Entra ID.

Microsoft Entra 多要素認証 (MFA) を使用すると、ユーザーのサインイン時について、単にパスワードのみを使用する以上のセキュリティを付加できます。 ユーザーに対して、プッシュ通知に応答する、ソフトウェアまたはハードウェア トークンのコードを入力する、またはテキスト メッセージや電話に応答するなど、追加の形式での認証を要求することができます。

ユーザーのオンボード エクスペリエンスを単純化し、MFA とセルフサービス パスワード リセット (SSPR) の両方に登録するには、統合されたセキュリティ情報の登録を有効にすることをお勧めします。 回復性を確保するために、ユーザーに複数の認証方法の登録を求めることをお勧めします。 サインインや SSPR の間にユーザーがある方法を使用できない場合、そのユーザーは別の方法で認証することを選択できます。 詳細については、「Microsoft Entra ID で回復性があるアクセス制御管理戦略を作成する」を参照してください。

ここでは、組織の安全を確保するために最適な認証方法を選択する際に役立つビデオをご紹介します。

認証方法の強度とセキュリティ

Azure Entra Multi-Factor Authentication のような機能を組織に導入する場合、利用可能な認証方法を確認します。 セキュリティ、ユーザビリティ、および可用性の要件を満たす、あるいは超える方法を選択します。 可能であれば、最高レベルのセキュリティを実現する認証方法を使用してください。

次の表は、使用可能な認証方法のセキュリティに関する考慮事項の概要を示しています。 ここでいう可用性は、ユーザーがその認証方法を利用できるかどうかを示すものであり、Microsoft Entra ID のサービスの可用性ではありません。

認証方法 セキュリティ 使いやすさ 可用性
Windows Hello for Business
Microsoft Authenticator
Authenticator Lite
FIDO2 セキュリティ キー
証明書ベースの認証
OATH ハードウェア トークン (プレビュー) Medium Medium
OATH ソフトウェア トークン Medium Medium
一時アクセス パス (TAP)
SMS Medium Medium
音声 Medium Medium Medium
Password

セキュリティに関する最新情報については、次のブログ記事をご覧ください。

ヒント

柔軟性と使いやすさを実現するために、Microsoft Authenticator アプリを使用することをお勧めします。 この認証方法は、パスワードレス、MFA のプッシュ通知、OATH コードなど、最適なユーザー エクスペリエンスと複数のモードを提供します。

各認証方法のしくみ

認証方法の中には、FIDO2 セキュリティ キーやパスワードの利用といった、アプリケーションやデバイスにサインインする際にプライマリ要素として利用できるものがあります。 Microsoft Entra 多要素認証または SSPR を使用する場合、他の認証方法はセカンダリ要素としてのみ使用できます。

次の表は、サインイン イベント時に各認証方法がどのタイミングで使用できるかの概要を示しています。

Method プライマリ認証 セカンダリ認証
Windows Hello for Business はい MFA*
Microsoft Authenticator (プッシュ) いいえ MFA と SSPR
Microsoft Authenticator (パスワードレス) はい いいえ*
Authenticator Lite いいえ MFA
FIDO2 セキュリティ キー はい MFA
証明書ベースの認証 はい MFA
OATH ハードウェア トークン (プレビュー) いいえ MFA と SSPR
OATH ソフトウェア トークン いいえ MFA と SSPR
一時アクセス パス (TAP) はい MFA
SMS はい MFA と SSPR
音声通話 いいえ MFA と SSPR
Password はい いいえ

* Windows Hello for Business 自体は、ステップアップ MFA 資格情報として機能しません。 たとえば、サインインの頻度からの MFA チャレンジや、forceAuthn=true を含む SAML 要求などです。 Windows Hello for Business は、FIDO2 認証で使用することで、ステップアップ MFA 資格情報として機能できます。 これには、 FIDO2 認証が正常に動作するようにユーザーを有効にする必要があります。

* プライマリ認証に証明書ベースの認証 (CBA) が使われている場合にのみ、パスワードレス サインインをセカンダリ認証に使用できます。 詳細については、「Microsoft Entra の証明書ベースの認証に関する技術的な詳細情報」を参照してください。

これらの認証方法は、すべて Microsoft Entra 管理センターで構成できます。また、Microsoft Graph REST API を使用して構成することが増えています。

各認証方法のしくみの詳細については、次の概念に関する個別の記事を参照してください。

Note

パスワードは、Microsoft Entra ID で多くの場合にプライマリとして使用される認証方法の 1 つです。 パスワード認証方法を無効にすることはできません。 パスワードをプライマリ認証要素として使用する場合は、Microsoft Entra 多要素認証でサインイン イベントのセキュリティを強化してください。

特定のシナリオでは、次の追加認証方法を使用できます。

使用可能な方法と使用できない方法

管理者は、Microsoft Entra 管理センターでユーザー認証方法を表示できます。 使用可能な方法が最初に一覧表示され、その後に使用できない方法が表示されます。

各認証方法は、さまざまな理由で使用できなくなる可能性があります。 たとえば、一時アクセス パスの有効期限が切れる場合や、FIDO2 セキュリティ キーが構成証明に失敗する場合があります。 ポータルが更新され、メソッドが使用できない理由が示されます。

[多要素認証の再登録が必要] によって使用できなくなった認証方法もここに表示されます。

Screenshot of non-usable authentication methods.

次のステップ

最初に、セルフサービス パスワード リセット (SSPR) のチュートリアルMicrosoft Entra 多要素認証に関するページを参照してください。

SSPR に関する概念の詳細については、Microsoft Entra のセルフサービス パスワード リセットのしくみに関するページを参照してください。

MFA の概念の詳細については、Microsoft Entra の多要素認証のしくみに関するページを参照してください。

Microsoft Graph REST API を使用した認証方法の構成の詳細を確認してください。

使用されている認証方法を確認するには、Microsoft Entra 多要素認証の認証方法を PowerShell を使用して分析する方法についての記事を参照してください。