パスワードレスの認証方法を登録するように Azure AD で一時アクセス パスを構成する
パスワードレスの認証方法 (FIDO2 や Microsoft Authenticator アプリを使用したパスワードレスの電話によるサインインなど) は、ユーザーがパスワードを使用せずに安全にサインインできるようにします。 ユーザーは、次の 2 つの方法のいずれかでパスワードレスの方法をブートストラップできます。
- 既存の Azure AD 多要素認証方法を使用する
- 一時アクセス パス (TAP) を使用する
一時アクセス パスは、ユーザーが Microsoft Authenticator、FIDO2、Windows Hello for Business などのパスワードレスの方法を含む他の認証方法をオンボードできるように、複数回または 1 回の使用に構成できる期間限定のパスコードです。
また、一時アクセス パスを使用すると、ユーザーが FIDO2 セキュリティ キーや Microsoft Authenticator アプリなどの強力な認証要素を紛失したり忘れたりした場合でも簡単に回復することができます。しかし、新しい強力な認証方法を登録するには、サインインする必要があります。
この記事では、Azure portal を使用して Azure AD で一時アクセス パスを有効にして使用する方法を示します。 これらのアクションは、REST API を使用して実行することもできます。
一時アクセス パス ポリシーを有効にする
一時アクセス パス ポリシーでは、テナントに作成されたパスの有効期間や、一時アクセス パスを使用してサインインできるユーザーとグループなどの設定を定義します。 一時アクセス パスを使用してサインインできるようにするには、まず認証方法ポリシーで一時アクセス パスを有効にし、一時アクセス パスを使用してサインインできるユーザーとグループを選択する必要があります。 任意のユーザー用の一時アクセス パスを作成できますが、それを使用してサインインできるのは、ポリシーに含まれているユーザーだけです。
グローバル管理者と認証ポリシー管理者の役割所有者は、一時アクセス パス認証方法ポリシーを更新できます。 一時アクセス パス認証方法ポリシーを構成するには、次のようにします。
"グローバル管理者" のアクセス許可を持つアカウントを使用して、Azure portal にサインインします。
Azure Active Directory を検索して選択し、左側のメニューから [セキュリティ] を選択します。
[管理] メニュー ヘッダーで、[認証方法]>[ポリシー] を選択します。
利用可能な認証方法の一覧から、[一時アクセス パス] を選択します。
[有効] に対して [はい] を選択し、ポリシーを有効にします。 次に、[ターゲット] ユーザーを選択します。
(省略可能) [構成] を選択して、最大有効期間や長さの設定など、[一時アクセス パス] の既定の設定を変更します。
[保存] を選択してポリシーを適用します。
次の表では、既定値と許可される値の範囲について説明します。
設定 既定値 使用できる値 説明 最短有効期間 1 時間 10 – 43,200 分 (30 日) 一時アクセス パスが有効である最短時間 (分)。 最長有効期間 8 時間 10 – 43,200 分 (30 日) 一時アクセス パスが有効である最長時間 (分)。 既定の有効期間 1 時間 10 – 43,200 分 (30 日) 既定値は、ポリシーによって構成される最短と最長の有効期間内で、個々のパスによってオーバーライドできます。 1 回限りの使用 False True/False ポリシーが false に設定されている場合、テナントのパスは、その有効期間 (最大有効期間) 中に 1 回または複数回使用できます。 一時アクセス パス ポリシーで 1 回限りの使用を強制することで、テナントに作成されたすべてのパスが 1 回限りの使用として作成されます。 長さ 8 8 ~ 48 文字 パスコードの長さを定義します。
一時アクセス パスを作成する
ポリシーを有効にした後、Azure AD でユーザー用の一時アクセス パスを作成できます。 これらの役割で一時アクセス パスに関する次の操作を行うことができます。
- グローバル管理者は、任意のユーザー (自分以外) の一時アクセス パスを作成、削除、表示することができます
- 特権認証管理者は、管理者とメンバー (自分以外) の一時アクセス パスを作成、削除、表示することができます
- 認証管理者は、メンバー (自分以外) の一時アクセス パスを作成、削除、表示することができます
- グローバル閲覧者は (コード自体を読み取ることなく) ユーザーの一時アクセス パスの詳細を表示できます。
グローバル管理者、特権認証管理者、または認証管理者のいずれかとして Azure portal にサインインします。
[Azure Active Directory] を選択し、[ユーザー] を参照して、[Chris Green] などのユーザーを選択してから、[認証方法] を選択します。
必要に応じて、 [新しいユーザー認証方法のエクスペリエンスを試す] ためのオプションを選択します。
[認証方法の追加] のオプションを選択します。
[方法の選択] で、[一時アクセス パス] を選択します。
カスタムのアクティベーション時間または期間を定義し、[追加] を選択します。
追加されると、一時アクセス パスの詳細が表示されます。 実際の一時アクセス パスの値をメモしておきます。 この値を、ユーザーに伝えます。 [OK] を選択した後は、この値は表示できません。
次のコマンドは、PowerShell を使用して一時アクセス パスを作成して取得する方法を示しています。
# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json
New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM TAPRocks!
# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM
詳細については、New-MgUserAuthenticationTemporaryAccessPassMethod および Get-MgUserAuthenticationTemporaryAccessPassMethod に関するページを参照してください。
一時アクセス パスを使用する
一時アクセス パスは、ユーザーが最初のサインインやデバイスのセットアップの際に認証の詳細を登録する場合に最もよく使用されます。その場合、追加のセキュリティ プロンプトを完了する必要はありません。 認証方法は https://aka.ms/mysecurityinfo に登録されています。 ユーザーは、ここで既存の認証方法を更新することもできます。
Web ブラウザーを開いて https://aka.ms/mysecurityinfo にアクセスします。
一時アクセス パスを作成したアカウントの UPN を入力します ( tapuser@contoso.com など)。
ユーザーが一時アクセス パス ポリシーに含まれている場合は、その一時アクセス パスを入力するための画面が表示されます。
Azure portal に表示された一時アクセス パスを入力します。
注意
フェデレーション ドメインの場合は、フェデレーションよりも一時アクセス パスが優先されます。 一時アクセス パスを使用しているユーザーは Azure AD で認証を完了するため、フェデレーション ID プロバイダー (IDP) にリダイレクトされません。
これでユーザーがサインインし、FIDO2 セキュリティ キーなどの方法を更新または登録できるようになりました。 資格情報やデバイスを紛失したために認証方法を更新するユーザーは、古い認証方法を必ず削除する必要があります。 また、ユーザーは、引き続き自分のパスワードを使用してサインインできます。TAP はユーザーのパスワードに代わるものではありません。
一時アクセス パスのユーザー管理
https://aka.ms/mysecurityinfo でセキュリティ情報を管理しているユーザーには一時アクセス パスのエントリが表示されます。 ユーザーに他の方法が登録されていない場合は、画面の上部にバナーが表示され、新しいサインイン方法を追加するように要求されます。 また、ユーザーは TAP の有効期限を表示したり、不要になった TAP を削除したりできます。
Windows デバイスのセットアップ
一時アクセス パスを使用しているユーザーは、Windows 10 と 11 でセットアップ プロセスを進めて、デバイスの参加操作を実行し、Windows Hello for Business を構成できます。 Windows Hello for Business のセットアップに一時アクセス パスを使用できるかどうかは、デバイスの参加状態によって異なります。
Azure AD Join を使用したデバイスの場合:
- Azure AD Join のセットアップ プロセス中に、ユーザーは TAP を使用して認証し (パスワードは必要ありません)、デバイスに参加し、Windows Hello for Business を登録できます。
- 既に参加済みのデバイスでは、TAP を使用して Windows Hello for Business をセットアップする前に、ユーザーがまずパスワード、スマートカード、FIDO2 キーなどの別の方法で認証を行う必要があります。
- Windows の Web サインイン機能も有効になっている場合、ユーザーは TAP を使用してデバイスにサインインできます。 これは、デバイスの初期セットアップの完了、またはユーザーがパスワードを知らない場合やパスワードを持っていない場合の回復のみを目的としています。
Hybrid Azure AD Join を使用したデバイスの場合:
- TAP を使用して Windows Hello for Business をセットアップする前に、ユーザーがまずパスワード、スマートカード、FIDO2 キーなどの別の方法で認証を行う必要があります。
パスワードレスの電話によるサインイン
ユーザーは一時アクセス パスを使用して、Authenticator アプリから直接パスワードレスの電話によるサインインに登録することもできます。 詳細については、「Microsoft Authenticator アプリに職場または学校アカウントを追加する」を参照してください。
ゲスト アクセス
ゲスト ユーザーはホーム テナントによって発行された一時アクセス パスを使用してリソース テナントにサインインできますが、そのためにはこの一時アクセス パスがホーム テナントの認証要件を満たしていることが必要です。 リソース テナントに MFA が必要な場合、ゲスト ユーザーはリソースにアクセスするために MFA を実行する必要があります。
有効期限
有効期限が切れたか、または削除された一時アクセス パスを、対話型または非対話型認証に使用することはできません。 一時アクセス パスの有効期限が切れたか、または削除された後、ユーザーは別の認証方法で再認証する必要があります。
一時アクセス パス ログインを介して取得されたトークンの有効期間 (セッション トークン、更新トークン、アクセス トークンなど) は、一時アクセス パスの有効期間内に制限されます。 その結果、一時アクセス パスの有効期限が切れると、関連付けられているトークンの有効期限が切れます。
期限切れの一時アクセス パスを削除する
ユーザーの [認証方法] の [詳細] 列に、一時アクセス パスがいつ期限切れになったかが表示されます。 次の手順を使用して、期限切れの一時アクセス パスを削除することができます。
- Azure portal で、[ユーザー] を参照し、[TAP ユーザー] などのユーザーを選択してから、[認証方法] を選択します。
- 一覧に表示されている [一時アクセス パス] の認証方法の右側で、[削除] を選択します。
PowerShell を使用することもできます。
# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38
詳細については、Remove-MgUserAuthenticationTemporaryAccessPassMethod に関するページを参照してください。
一時アクセス パスを置き換える
- ユーザーは一時アクセス パスを 1 つだけ持つことができます。 パスコードは一時アクセス パスの開始時から終了時にかけて使用できます。
- ユーザーが新しい一時アクセス パスを必要とする場合:
- 既存の一時アクセス パスが有効な場合、管理者は、既存の有効な一時アクセス パスをオーバーライドする新しい一時アクセス パスを作成できます。
- 既存の一時アクセス パスの有効期限が切れている場合、新しい一時アクセス パスにより既存の一時アクセス パスがオーバーライドされます。
オンボードと復旧の NIST 標準の詳細については、「Nist Special Publication 800-63」を参照してください。
制限事項
以下の制限事項に留意してください。
- 1 回限りの一時アクセス パスを使用して FIDO2 や電話によるサインインなどのパスワードレスの方法を登録する場合、ユーザーは 1 回限りの一時アクセス パスでのサインインの登録を 10 分以内に完了する必要があります。 この制限は、複数回使用できる一時アクセス パスには適用されません。
- セルフサービス パスワード リセット (SSPR) 登録ポリシー またはIdentity Protection の多要素認証登録ポリシーの対象ユーザーは、一時アクセス パスを使用してサインインした後、認証方法を登録する必要があります。 これらのポリシーの対象ユーザーは、統合された登録の中断モードにリダイレクトされます。 現在、このエクスペリエンスでは、FIDO2 と電話によるサインインの登録はサポートされていません。
- 一時アクセス パスは、ネットワーク ポリシー サーバー (NPS) 拡張機能と Active Directory フェデレーション サービス (AD FS) アダプターでは使用できません。
- 変更がレプリケートされるまで数分かかる場合があります。 このため、一時アクセス パスがアカウントに追加された後、プロンプトが表示されるまでにしばらく時間がかかることがあります。 同じ理由から、一時アクセス パスの有効期限が切れた後も、ユーザーに一時アクセス パスのプロンプトが表示される場合があります。
トラブルシューティング
- サインイン時にユーザーに一時アクセス パスが提供されない場合は、次のことを確認してください。
- ユーザーが一時アクセス パス認証方法ポリシーの対象である。
- ユーザーが有効な一時アクセス パスを持っていて、1 回限りの使用の場合はまだ使用されていない。
- 一時アクセス パスを使用してサインインする際に [ユーザー資格情報ポリシーにより、一時アクセス パスでのサインインはブロックされました] が表示される場合は、次のことを確認してください。
- ユーザーは複数回使用できる一時アクセス パスを持っているが、認証方法ポリシーでは 1 回限りの一時アクセス パスが必要とされている。
- 1 回限りの一時アクセス パスが既に使用されている。
- 一時アクセス パスでのサインインが、ユーザー資格情報ポリシーのためにブロックされる場合は、ユーザーが TAP ポリシーのスコープ内であることを確認してください。