Azure Active Directory のパスワードレス認証オプション

多要素認証 (MFA) のような機能は、組織をセキュリティで保護する優れた方法ですが、多くの場合、ユーザーはパスワードを覚えておく必要があるのに加え、セキュリティ層が増えることに不満を感じます。 パスワードレス認証がより便利なのは、パスワードの代わりに、ユーザー自身が持っているものだけでなく、持っているものや既知のもので認証する方法であるためです。

認証 ユーザーが持っているもの ユーザー自身またはユーザーが知っているもの
パスワードレス Windows 10 デバイス、電話、またはセキュリティ キー 生体認証または PIN

認証については、組織ごとにさまざまなニーズがあります。 Microsoft グローバル Azure および Azure Government には、Azure Active Directory (Azure AD) と統合する次の 3 つのパスワードレス認証オプションが用意されています。

  • Windows Hello for Business
  • Microsoft Authenticator
  • FIDO2 セキュリティ キー

認証: セキュリティと利便性

Windows Hello for Business

Windows Hello for Business は、指定された自分用の Windows PC を持っているインフォメーション ワーカーに最適です。 生体認証や PIN 資格情報はユーザーの PC に直接関連付けられるため、所有者以外のユーザーからのアクセスが防止されます。 公開キー基盤 (PKI) 統合およびシングル サインオン (SSO) の組み込みサポートにより、Windows Hello for Business では、オンプレミスおよびクラウドの会社のリソースにシームレスにアクセスできる便利な方法を提供します。

Windows Hello for Business を使用したユーザー サインインの例

以下の手順で、Azure AD を使用したサインイン プロセスがどのように機能するかを示します。

Windows Hello for Business を使用したユーザー サインインに関連する手順の概要を示す図

  1. ユーザーは、生体認証または PIN のジェスチャを使用して Windows にサインインします。 このジェスチャによって、Windows Hello for Business の秘密キーのロックが解除され、クラウド AP プロバイダーというクラウド認証セキュリティ サポート プロバイダーに送信されます。
  2. クラウド AP プロバイダーにより、Azure AD に nonce (1 回だけ使用できるランダムな任意の数) が要求されます。
  3. Azure AD からは 5 分間有効な nonce が返されます。
  4. クラウド AP プロバイダーでは、ユーザーの秘密キーを使用して nonce に署名され、署名済みの nonce が Azure AD に返されます。
  5. Azure AD では、ユーザーの安全に登録された公開キーを使用して、署名済みの nonce が nonce の署名に対して検証されます。 Azure AD によってその署名が検証された後、返された署名済み nonce が検証されます。 nonce が検証されると、Azure AD ではデバイスのトランスポート キーに暗号化されたセッション キーを使用してプライマリ更新トークン (PRT) が作成され、それがクラウド AP プロバイダーに返されます。
  6. クラウド AP プロバイダーは、セッション キーと共に暗号化された PRT を受け取ります。 クラウド AP プロバイダーは、デバイスのプライベート トランスポート キーを使用してセッション キーの暗号化を解除し、デバイスのトラステッド プラットフォーム モジュール (TPM) を使用してセッション キーを保護します。
  7. クラウド AP プロバイダーから Windows に成功した認証応答が返されます。 その後、ユーザーは再度認証を行う必要なく (SSO)、Windows とクラウドおよびオンプレミスのアプリケーションにアクセスできるようになります。

Windows Hello for Business の計画ガイドはを使用すると、Windows Hello for Business のデプロイの種類と、検討する 必要のあるオプションを決定するのに役立ちます。

Microsoft Authenticator

従業員の電話を、パスワードレスの認証手段とすることも可能です。 パスワードに加え、便利な多要素認証オプションとして Authenticator アプリを既に使用されているかもしれません。 Authenticator アプリをパスワードレスのオプションとして使用することもできます。

Microsoft Authenticator を使用して Microsoft Edge にサインインする

Authenticator アプリは、あらゆる iOS や Android フォンを、強力なパスワードレスの資格情報に変えます。 ユーザーは、自分の電話で通知を受け取り、画面に表示される番号と電話の番号を照合してから、生体認証 (指紋または顔) あるいは PIN を使用して確認できます。 インストールの詳細については、「Microsoft Authenticator のダウンロードとインストール」を参照してください。

Authenticator アプリを使用したパスワードレス認証では、Windows Hello for Business と同じ基本的なパターンに従います。 これは、Azure AD によって使用されている Authenticator アプリのバージョンを見つけられるように、ユーザーを識別する必要があるため、少し複雑になります。

Microsoft Authenticator アプリでのユーザー サインインに関連する手順の概要を示す図

  1. ユーザーは自分のユーザー名を入力します。
  2. Azure AD では、ユーザーが強力な資格情報を持っていることが検出され、強力な資格情報フローが開始されます。
  3. iOS デバイス上では Apple Push Notification Service (APNS) を介して、Android デバイス上では Firebase Cloud Messaging (FCM) を介して、通知がアプリに送信されます。
  4. ユーザーはプッシュ通知を受け取り、アプリを開きます。
  5. アプリでは Azure AD が呼び出され、プレゼンス証明のチャレンジと nonce を受け取ります。
  6. ユーザーは、自分の生体認証または PIN を入力して秘密キーのロックを解除することでチャレンジを完了します。
  7. nonce は秘密キーで署名され、Azure AD に返送されます。
  8. Azure AD では公開キーと秘密キーの検証が実行され、トークンが返されます。

パスワードなしのサインインを開始するには、次の手順に従って完了してください。

FIDO2 セキュリティ キー

FIDO (Fast IDentity Online) Alliance は、オープン認証標準を促進し、認証形式としてパスワードを使用することを減らすのに役立ちます。 FIDO2 は、Web 認証 (WebAuthn) 標準が組み込まれている最新の標準です。

FIDO2 セキュリティキーは、フィッシング不可能な標準ベースのパスワードレスの認証方法であり、どのような形式でも使用できます。 Fast Identity Online (FIDO) は、パスワードレス認証のオープン標準です。 FIDO は、ユーザーおよび組織が標準を利用し、外部のセキュリティ キーまたはデバイスに組み込まれているプラットフォーム キーを使用して、ユーザー名やパスワードレスでリソースにサインインできるようにします。

ユーザーは、FIDO2 セキュリティ キーを登録してから、サインイン インターフェイスで認証の主な手段として選択することができます。 これらの FIDO2 セキュリティ キーは通常、USB デバイスですが、Bluetooth または NFC を使用することもできます。 認証を処理するハードウェア デバイスでは公開または推測が可能なパスワードがないため、アカウントのセキュリティが向上します。

FIDO2 セキュリティ キーを使用して、Azure AD またはハイブリッド Azure AD に参加済みの Windows 10 デバイスにサインインし、クラウドおよびオンプレミス リソースへのシングル サインオンを実現できます。 ユーザーは、サポートされているブラウザーにサインインすることもできます。 FIDO2 セキュリティ キーは、セキュリティを重視する企業、またはそのシナリオを持つ企業や、電話を 2 番目の要素として使用したくないか、使用できない従業員が存在する企業などに最適なオプションです。

Azure AD による FIDO2 認証をサポートするブラウザーと、開発するアプリケーションで FIDO2 認証をサポートしようとしている開発者向けのベスト プラクティスについてのリファレンス ドキュメントが用意されています。

セキュリティ キーを使用して Microsoft Edge にサインインする

次のプロセスは、ユーザーが FIDO2 セキュリティ キーを使用してサインインするときに使用されます。

FIDO2 セキュリティ キーを使用したユーザー サインインに関連する手順の概要を示す図

  1. ユーザーは、FIDO2 セキュリティ キーをコンピューターにプラグインします。
  2. Windows で FIDO2 セキュリティ キーが検出されます。
  3. Windows から認証要求が送信されます。
  4. Azure AD から nonce が返送されます。
  5. ユーザーはジェスチャを完了して、FIDO2 セキュリティ キーのセキュリティで保護されたエンクレーブに保存されている秘密キーのロックを解除します。
  6. FIDO2 セキュリティ キーでは、秘密キーを使用して nonce に署名されます。
  7. 署名された nonce を含むプライマリ更新トークン (PRT) トークン要求が Azure AD に送信されます。
  8. Azure AD で、FIDO2 公開キーを使用して署名済みの nonce が検証されます。
  9. Azure AD から PRT が返され、オンプレミスのリソースにアクセスできるようになります。

FIDO2 セキュリティ キーのプロバイダー

以下のプロバイダーでは、パスワードレスのエクスペリエンスと互換性があると認識されている、さまざまなフォーム ファクターの FIDO2 セキュリティ キーが提供されます。 Microsoft では、お客様に対し、これらのキーのセキュリティ プロパティを評価するために、FIDO Alliance だけでなく、ベンダーにも連絡するようお勧めしています。

プロバイダー 生体認証 USB NFC BLE FIPS 認定 Contact
AuthenTrend ○ y y y n https://authentrend.com/about-us/#pg-35-3
Ciright n n y n n https://www.cyberonecard.com/
Ensurity ○ ○ n n n https://www.ensurity.com/contact
Excelsecu ○ ○ ○ y n https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitian ○ ○ ○ y ○ https://shop.ftsafe.us/pages/microsoft
Fortinet n ○ n n n https://www.fortinet.com/
Giesecke + Devrient (G + D) y y y y n https://www.gi-de.com/en/identities/enterprise-security/hardware-based-authentication
GoTrustID Inc. n ○ y y n https://www.gotrustid.com/idem-key
HID n ○ ○ n n https://www.hidglobal.com/contact-us
Hypersecu n ○ n n n https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. ○ y ○ y n https://www.idmelon.com/#idmelon
Kensington ○ y n n n https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I ○ n y y n https://konai.com/business/security/fido
NeoWave n y y n n https://neowave.fr/en/products/fido-range/
Nymi ○ n y n n https://www.nymi.com/nymi-band
Octatco ○ ○ n n n https://octatco.com/
OneSpan Inc. n y n ○ n https://www.onespan.com/products/fido
Swissbit n y y n n https://www.swissbit.com/en/products/ishield-fido2/
Thales Group n y y n y https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis ○ y ○ y n https://thetis.io/collections/fido2
Token2 スイス ○ y y n n https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
TrustKey Solutions ○ y n n n https://www.trustkeysolutions.com/security-keys/
VinCSS n y n n n https://passwordless.vincss.net
Yubico ○ y y n ○ https://www.yubico.com/solutions/passwordless/

注意

NFC ベースのセキュリティ キーを購入して使用する予定の場合は、セキュリティ キーとしてサポートされている NFC リーダーが必要になります。 NFC リーダーは、Azure の要件でも制限事項でもありません。 使用している NFC ベースのセキュリティ キーでサポートされている NFC リーダーの一覧については、ベンダーにご確認ください。

ベンダーであり、このサポートされているデバイスの一覧にデバイスを掲載したい場合は、Microsoft と互換性のある FIDO2 セキュリティ キー ベンダーになる方法に関するガイダンス を確認してください。

FIDO2 セキュリティ キーの使用を開始するには、方法に関する次の手順を完了してください。

サポートされるシナリオ

次の考慮事項が適用されます。

  • 管理者は、テナントに対してパスワードレス認証方法を有効にできます。

  • 管理者は、すべてのユーザーを対象にすることも、方法ごとにテナント内のユーザーまたはグループを選択することもできます。

  • ユーザーは、アカウント ポータルでこれらのパスワードレス認証方法を登録して管理できます。

  • ユーザーは、これらのパスワードレス認証方法を使用してサインインできます。

    • Authenticator アプリ: すべてのブラウザーとの間で、Windows 10 のセットアップ時に、また、オペレーティング システム上の統合されたモバイル アプリでなど、Azure AD Authentication が使用されるシナリオで動作します。
    • セキュリティ キー:Windows 10 のロック画面、および Microsoft Edge (従来のものと新しい Edge の両方) などのサポートされているブラウザーの Web で動作します。
  • ユーザーはパスワードレス資格情報を使用して、自分がゲストであるテナント内のリソースにアクセスできますが、そのリソース テナント内で MFA の実行を要求される場合があります。 詳細については、「多要素認証重複の可能性」を参照してください。

  • ユーザーは、自分がゲストであるテナント内でパスワードレス資格情報を登録できません。これは、そのテナント内で管理されているパスワードを持っていないことと同様です。

パスワードレスの方法を選択する

これら 3 つのパスワードレス オプションのいずれを選択するかは、会社のセキュリティ、プラットフォーム、アプリの要件によって変わります。

Microsoft のパスワードレス テクノロジを選択する際には、考慮する必要がある要素がいくつかあります。

Windows Hello for Business Authenticator アプリでのパスワードレスのサインイン FIDO2 セキュリティ キー
前提条件 Windows 10 バージョン 1809 以降
Azure Active Directory
Authenticator アプリ
電話 (iOS および Android デバイス)
Windows 10 バージョン 1903 以降
Azure Active Directory
モード プラットフォーム ソフトウェア ハードウェア
システムとデバイス トラステッド プラットフォーム モジュール (TPM) が組み込まれた PC
PIN と生体認証の認識
電話での PIN と生体認証の認識 Microsoft 互換の FIDO2 セキュリティ デバイス
ユーザー エクスペリエンス Windows デバイスで PIN または生体認証の認識 (顔、虹彩、または指紋) を使用してサインインします。
Windows Hello の認証はデバイスに関連付けられています。ユーザーが会社のリソースにアクセスするには、デバイスと、PIN や生体認証要素などのサインイン コンポーネントの両方が必要です。
指紋スキャン、顔または虹彩の認識、または PIN を使用して携帯電話を使用してサインインします。
ユーザーは自分の PC または携帯電話から職場または個人用のアカウントにサインインします。
FIDO2 セキュリティ デバイス (生体認証、PIN、および NFC) を使用してサインインします
ユーザーは組織の管理に基づいてデバイスにアクセスし、PIN、USB セキュリティ キーや NFC 対応のスマート カードなどのデバイスを使用した生体認証、キー、またはウェアラブル デバイスに基づいて認証できます。
有効なシナリオ Windows デバイスでのパスワードレスのエクスペリエンス。
デバイスやアプリケーションへのシングル サインオン機能を使用する専用の作業用 PC に適用できます。
携帯電話を使用するパスワードレスの任意の場所のソリューション。
任意のデバイスから Web 上の仕事用または個人用アプリケーションにアクセスするために適しています。
生体認証、PIN、および NFC を使用するワーカー向けのパスワードレスのエクスペリエンス。
共有の PC や携帯電話が実行可能な選択肢ではない場合 (ヘルプ デスク担当者、公共のキオスク、病院のチームなど) に適用できます

次の表を使用して、お客様の要件とユーザーをサポートする方法を選択します。

ペルソナ シナリオ 環境 パスワードレスのテクノロジ
管理者 管理タスク用デバイスへのセキュリティで保護されたアクセス 割り当てられた Windows 10 デバイス Windows Hello for Business、FIDO2 セキュリティ キー、またはその両方
管理者 Windows 以外のデバイスでの管理タスク モバイルまたは Windows 以外のデバイス Authenticator アプリでのパスワードレスのサインイン
インフォメーション ワーカー 業務効率化作業 割り当てられた Windows 10 デバイス Windows Hello for Business、FIDO2 セキュリティ キー、またはその両方
インフォメーション ワーカー 業務効率化作業 モバイルまたは Windows 以外のデバイス Authenticator アプリでのパスワードレスのサインイン
現場のワーカー 工場、プラント、小売店、またはデータ入力でのキオスク 共有 Windows 10 デバイス FIDO2 セキュリティ キー

次のステップ

Azure AD でパスワードなしの利用を開始するには、方法に関する以下の手順を完了してください。