Azure Active Directory の認証方法 - Microsoft Authenticator アプリ

  • [アーティクル]

Microsoft Authenticator アプリは、Azure AD の職場または学校アカウント、または Microsoft アカウントに対する追加のセキュリティ レベルとして機能し、AndroidiOS で使用できます。 Microsoft Authenticator アプリを使用すると、ユーザーはサインイン時にパスワードなしの方法で認証を行うことや、セルフサービス パスワード リセット (SSPR) または多要素認証イベント時に追加の検証オプションとして認証を行うことができます。

ユーザーは、モバイル アプリから通知を受け取って承認または拒否することも、Authenticator アプリを使用してサインイン インターフェイスに入力できる OATH 確認コードを生成することもできます。 通知コードと確認コードの両方を有効にすると、Authenticator アプリを登録したユーザーはいずれかの方法を使用して本人確認を行うことができます。

ユーザー名とパスワードの組み合わせではなく、サインイン プロンプトで Authenticator アプリを使用する方法については、「Microsoft Authenticator でパスワードレスのサインインを有効にする」を参照してください。

Note

SSPR を有効にしたときに、ユーザーにモバイル アプリを登録するオプションはありません。 代わりに、ユーザーは、https://aka.ms/mfasetup で、または統合されたセキュリティ情報の登録の一環として https://aka.ms/setupsecurityinfo で、モバイル アプリを登録できます。

パスワードなしのサインイン

Authenticator アプリから電話によるサインインを有効にしたユーザーには、ユーザー名の入力後にパスワードの入力を求めるプロンプトは表示されず、代わりにアプリに番号を入力するよう求めるメッセージが表示されます。 正しい番号を選択すると、サインイン プロセスは完了です。

サインインを承認するようユーザーに求めている、ブラウザーでのサインインの例。

この認証方法によって高レベルのセキュリティが実現し、ユーザーがサインイン時にパスワードを入力する必要がなくなります。

パスワードレスのサインインを開始するには、「Microsoft Authenticator でパスワードレスのサインインを有効にする」を参照してください。

モバイル アプリでの通知

Authenticator アプリは、スマートフォンまたはタブレットに通知をプッシュして、アカウントへの不正アクセスを防止したり、不正なトランザクションを停止させたりするのに役立ちます。 ユーザーは通知を確認し、適切であった場合は、 [確認] を選択します。 適切でない場合は、 [拒否] を選択します。

サインイン プロセスを完了するために、Web ブラウザーで Authenticator アプリの通知を求める例のスクリーンショット。

Note

中国勤務または出張中のスタッフが組織にいる場合、その国/地域では、Android デバイスの "モバイル アプリによる通知" 方法は機能しません。これは、Google Play のサービス (プッシュ通知など) がその地域でブロックされているためです。 ただし、iOS の通知は機能します。 Android デバイスの場合、それらのユーザーが代替の認証方法を利用できるようにする必要があります。

モバイル アプリからの確認コード

Authenticator アプリをソフトウェア トークンとして使用して、OATH 確認コードを生成できます。 ユーザー名とパスワードを入力したら、Authenticator アプリから提供されたコードをサインイン インターフェイスに入力します。 検証コードにより、2 番目の形式の認証が行われます。

ユーザーは、最大 5 つの OATH ハードウェア トークンまたはいつでも使用されるように構成された認証アプリケーション (Authenticator アプリなど) を組み合わせることもできます。

警告

セルフサービス パスワード リセットで、リセットに必要な方法が 1 つのみのときに最高レベルのセキュリティを確保する場合、ユーザーが使用できるオプションは確認コードのみです。

2 つの方法が必要な場合、ユーザーは、通知または確認コードのいずれかと、他の有効な方法を使用して、リセットを行うことができます。

Azure AD 認証での FIPS 140 準拠

バージョン 6.6.8 以降、iOS 用の Microsoft Authenticator では、プッシュ多要素認証 (MFA)、パスワードレスの電話によるサインイン (PSI)、および時間ベースのワンタイム パスコード (TOTP) を使用するすべての Azure AD 認証で Federal Information Processing Standard (FIPS) 140 に準拠しています。  

NIST SP 800-63B に概説されているガイドラインに従って、認証システムには FIPS 140 検証済み暗号化を使用することが求められています。 これにより、連邦政府機関では、行政命令 (EO) 14028 と、規制薬物の電子処方箋 (EPCS) を扱う医療機関の要件を満たすことができます。 

Federal Information Processing Standards (FIPS) 140 は、情報技術の製品やシステムに含まれる暗号化モジュールに関して最低限のセキュリティ要件を規定する米国政府の規格です。 FIPS 140 規格に対するテストは、暗号化モジュール検証プログラム (CMVP) によって管理されています。

FIPS 140 準拠を有効にするために、Microsoft Authenticator またはAzure portal で構成を変更する必要はありません。 iOS 用の Microsoft Authenticator バージョン 6.6.8 以降、Azure AD 認証は既定で FIPS 140 準拠になります。

Authenticator では、Microsoft Authenticator バージョン 6.6.8 以降、ネイティブの Apple 暗号化を利用して Apple iOS デバイスで FIPS 140 セキュリティ レベル 1 コンプライアンスを実現しています。 使用されている認定資格の詳細については、Apple CoreCrypto モジュールに関するページを参照してください。 

Android 上の Microsoft Authenticator に対する FIPS 140 コンプライアンスは進行中であり、近日中に対応されます。

次の手順