Microsoft Entra ID を使用した FIDO2 認証のサポート

[アーティクル]
04/14/2024

Microsoft Entra ID を使用すると、パスワードレス認証にパスキーを使用できます。この記事では、Microsoft Entra ID とパスキーを使用したパスワードレス認証をサポートしているネイティブアプリ、Web ブラウザー、オペレーティングシステムについて説明します。

Note

Microsoft Entra ID は現在、FIDO2 セキュリティキーおよび Microsoft Authenticator に格納されているデバイスバインドパスキーをサポートしています。 Microsoft は、パスキーを使用した顧客とユーザーの保護に取り組んでいます。弊社では、職場アカウント用の同期パスキーとデバイスバインドパスキーの両方に投資しています。

Microsoft アプリのサポート (プレビュー)

Microsoft アプリケーションは、オペレーティングシステム用に認証ブローカーがインストールされているすべてのユーザーに対して、プレビュー段階の FIDO2 認証のネイティブサポートを提供します。次の表に、オペレーティングシステムごとにサポートされている認証ブローカーを示します。

オペレーティングシステム	認証ブローカー	FIDO2 をサポートしています
iOS	Microsoft Authenticator	✅
macOS	Microsoft Intune ポータルサイトl ¹	✅
Android²	Authenticator またはポータルサイト	❌

¹macOS でポータルサイトを認証ブローカーとして有効にするには、Microsoft エンタープライズシングルサインオン (SSO) プラグインが必要です。 macOS を実行するデバイスは、モバイルデバイス管理への登録を含む SSO プラグインの要件を満たしている必要があります。 FIDO2 認証の場合は、最新バージョンのネイティブアプリケーションを実行していることを確認します。

² Android での FIDO2 に対するネイティブアプリサポートが開発中です。

ユーザーが認証ブローカーをインストールしている場合、Outlook などのアプリケーションにアクセスするときにセキュリティキーを使ってサインインすることを選択できます。 FIDO2 でサインインするようにリダイレクトされ、認証が成功した後、サインインユーザーとして Outlook にリダイレクトされます。

ユーザーが認証ブローカーをまだインストールしていない場合でも、FIDO2 認証のサポートに記載されている要件を満たす MSAL 対応アプリケーションにアクセスする際は、セキュリティキーを使用してサインインできます。

Web ブラウザーサポート

次の表は、FIDO 2 による Microsoft Entra ID と Microsoft アカウント認証のブラウザーサポートを示しています。コンシューマーは、Xbox、Skype、Outlook.com などのサービスの Microsoft アカウントを作成します。

OS	Chrome	Edge	Firefox	Safari
Windows	✅	✅	✅	N/A
macOS	✅	✅	✅	✅
ChromeOS	✅	該当なし	該当なし	該当なし
Linux	✅	❌	❌	該当なし
iOS	✅	✅	✅	✅
Android	✅	✅	❌	該当なし

Note

Android デバイスでは、Google Chrome や Microsoft Edge などのブラウザーからパスキーを作成または認証することはできません。ブラウザーからのパスキーの作成と認証のサポートは、プラットフォームで使用可能になる API の更新に依存します。

各プラットフォームの Web ブラウザーサポート

次の表は、各プラットフォームでサポートされている転送を示しています。サポートされているデバイスの種類には、USB、近距離無線通信 (NFC)、Bluetooth Low Energy (BLE) などがあります。

Windows

ブラウザー	USB	NFC	BLE
Edge	✅	✅	✅
Chrome	✅	✅	✅
Firefox	✅	✅	✅

ブラウザーの最小バージョン

Windows でのブラウザーの最小バージョン要件は次のとおりです。

Browser	最小バージョン
Chrome	76
Edge	Windows 10 バージョン 1903¹
Firefox	66

¹Chromium ベースの新しい Microsoft Edge では、すべてのバージョンが FIDO2 をサポートしています。 Microsoft Edge レガシでのサポートは 1903 で追加されました。

macOS

ブラウザー	USB	NFC¹	BLE¹
Edge	✅	該当なし	該当なし
Chrome	✅	該当なし	該当なし
Firefox²	✅	該当なし	該当なし
Safari²	✅	該当なし	該当なし

¹NFC と BLE のセキュリティキーは、Apple の macOS ではサポートされていません。

²これらの macOS ブラウザーでは、生体認証や PIN の設定を求めるメッセージが表示されないため、新しいセキュリティキーの登録は機能しません。

ChromeOS

ブラウザー¹	USB	NFC	BLE
Chrome	✅	❌	❌

¹ChromeOS または Chrome ブラウザーでは、セキュリティキーの登録はサポートされていません。

Linux

ブラウザー	USB	NFC	BLE
Edge	❌	❌	❌
Chrome	✅	❌	❌
Firefox	❌	❌	❌

iOS

ブラウザー¹	Lightning	NFC	BLE²
Edge	✅	✅	該当なし
Chrome	✅	✅	該当なし
Firefox	✅	✅	該当なし
Safari	✅	✅	該当なし

¹iOS ブラウザーでは、生体認証や PIN の設定を求めるメッセージが表示されないため、新しいセキュリティキーの登録は機能しません。

²BLE セキュリティキーは、iOS by Apple ではサポートされていません。

Android

ブラウザー¹	USB	NFC	BLE²
Edge	✅	❌	❌
Chrome	✅	❌	❌
Firefox	❌	❌	❌

¹Microsoft Entra ID を使用したセキュリティキーの登録は、Android ではまだサポートされていません。

²BLE セキュリティキーは、Google の Android ではサポートされていません。

既知の問題

モバイルデバイスがセキュリティキーよりも優先される可能性がある

Chrome または Edge を使用している場合、ブラウザーは、セキュリティキーに格納されているパスキーよりも、モバイルデバイスに格納されているパスキーを優先して使用する場合があります。

Windows 11 バージョン 23H2 以降では、サインイン時にオペレーティングシステムに次のプロンプトが表示されます。 [その他の選択肢] の下で、[セキュリティキー] を選択し、[次へ] を選択します。
以前のバージョンの Windows では、モバイルデバイスに格納されているパスキーの使用を続行するための QR ペアリング画面がブラウザーに表示される場合があります。その代わりにセキュリティキーに格納されているパスキーを使用するには、セキュリティキーを挿入し、それにタッチして続行します。

PowerShell のサポート

Microsoft Graph PowerShell は FIDO2 をサポートします。 Edge の代わりに Internet Explorer を使用する一部の PowerShell モジュールでは、FIDO2 認証を実行できません。たとえば、SharePoint Online または Teams 用の PowerShell モジュールや、管理者の資格情報を必要とする PowerShell スクリプトでは、FIDO2 に対するダイアログは表示されません。

回避策として、ほとんどのベンダーは FIDO2 セキュリティキーに証明書を配置できます。証明書ベースの認証 (CBA) は、すべてのブラウザーで機能します。これらの管理者アカウントに対して CBA を有効にできる場合は、一時的に FIDO2 ではなく CBA を要求できます。

次のステップ

パスワードなしのセキュリティキーサインインを有効にする