Microsoft Entra ID の認証方法 - Microsoft Authenticator アプリ

  • [アーティクル]

Microsoft Authenticator アプリは、Microsoft Entra の職場または学校アカウント、または Microsoft アカウントを追加レベルのセキュリティとして保護し、AndroidiOS で使用できます。 Microsoft Authenticator アプリを使用すると、ユーザーはサインイン時にパスワードなしの方法で認証したり、セルフサービス パスワード リセット (SSPR) または多要素認証イベントの際に追加の検証オプションとして認証したりすることができます。

ユーザーは、モバイル アプリから通知を受け取って承認または拒否することも、Authenticator アプリを使用してサインイン インターフェイスに入力できる OATH 確認コードを生成することもできます。 通知コードと確認コードの両方を有効にすると、Authenticator アプリを登録したユーザーはいずれかの方法を使用して本人確認を行うことができます。

ユーザー名とパスワードの組み合わせではなく、サインイン プロンプトで Authenticator アプリを使用する方法については、「Microsoft Authenticator でパスワードレスのサインインを有効にする」を参照してください。

Note

  • SSPR を有効にしたときに、ユーザーにモバイル アプリを登録するオプションはありません。 代わりに、ユーザーは、https://aka.ms/mfasetup で、または統合されたセキュリティ情報の登録の一環として https://aka.ms/setupsecurityinfo で、モバイル アプリを登録できます。
  • Authenticator アプリは、iOS および Android のベータ版ではサポートされない場合があります。 さらに、2023 年 10 月 20 日以降、Android 上の認証アプリで Android ポータル サイトの古いバージョンはサポートされなくなります。 ポータル サイト バージョンが 2111 (5.0.5333.0) 未満の Android ユーザーは、ポータル サイト アプリケーションを新しいバージョンに更新するまで、認証アプリの新しいインスタンスを再登録または登録できません。

パスワードなしのサインイン

Authenticator アプリから電話によるサインインを有効にしたユーザーには、ユーザー名の入力後にパスワードの入力を求めるプロンプトは表示されず、代わりにアプリに番号を入力するよう求めるメッセージが表示されます。 正しい番号を選択すると、サインイン プロセスは完了です。

Example of a browser sign-in asking for user to approve the sign-in.

この認証方法によって高レベルのセキュリティが実現し、ユーザーがサインイン時にパスワードを入力する必要がなくなります。

パスワードレスのサインインを開始するには、「Microsoft Authenticator でパスワードレスのサインインを有効にする」を参照してください。

モバイル アプリでの通知

Authenticator アプリは、スマートフォンまたはタブレットに通知をプッシュして、アカウントへの不正アクセスを防止したり、不正なトランザクションを停止させたりするのに役立ちます。 ユーザーは通知を確認し、適切であった場合は、 [確認] を選択します。 適切でない場合は、 [拒否] を選択します。

Note

2023 年 8 月以降、未知の場所からのサインインで通知が生成されないのと同様に、異常なサインインでは通知は生成されません。 異常なサインインを承認するには、ユーザーは、Microsoft Authenticator を開くか、Outlook などの関連するコンパニオン アプリで Authenticator Lite を開くことができます。 次に、プルダウンして更新するか、[更新] をタップして、要求を承認できます。

Screenshot of example web browser prompt for Authenticator app notification to complete sign-in process.

中国では、Android デバイスの "モバイル アプリによる通知" の方法は機能しません。これは、Google Play のサービス (プッシュ通知など) がその地域でブロックされているためです。 ただし、iOS の通知は機能します。 Android デバイスの場合、それらのユーザーが代替の認証方法を利用できるようにする必要があります。

モバイル アプリからの確認コード

Authenticator アプリをソフトウェア トークンとして使用して、OATH 確認コードを生成できます。 ユーザー名とパスワードを入力したら、Authenticator アプリから提供されたコードをサインイン インターフェイスに入力します。 検証コードにより、2 番目の形式の認証が行われます。

注意

Authenticator によって生成された OATH 検証コードは、証明書ベースの認証ではサポートされていません。

ユーザーは、最大 5 つの OATH ハードウェア トークンまたはいつでも使用されるように構成された認証アプリケーション (Authenticator アプリなど) を組み合わせることもできます。

Microsoft Entra 認証に準拠した FIPS 140

バージョン 6.6.8 以降、iOS 用の Microsoft Authenticator では、プッシュ多要素認証 (MFA)、パスワードレスの電話によるサインイン (PSI)、および時間ベースのワンタイム パスコード (TOTP) を使用するすべての Microsoft Entra 認証で Federal Information Processing Standard (FIPS) 140 に準拠しています。  

NIST SP 800-63B に概説されているガイドラインに従って、認証システムには FIPS 140 検証済み暗号化を使用することが求められています。 これにより、連邦政府機関では、行政命令 (EO) 14028 と、規制薬物の電子処方箋 (EPCS) を扱う医療機関の要件を満たすことができます。 

Federal Information Processing Standards (FIPS) 140 は、情報技術の製品やシステムに含まれる暗号化モジュールに関して最低限のセキュリティ要件を規定する米国政府の規格です。 FIPS 140 規格に対するテストは、暗号化モジュール検証プログラム (CMVP) によって管理されています。

FIPS 140 準拠を有効にするために、Microsoft Authenticator または Microsoft Entra 管理センターで構成を変更する必要はありません。 iOS 用の Microsoft Authenticator バージョン 6.6.8 以降、Microsoft Entra 認証は既定で FIPS 140 準拠になります。

Authenticator では、Microsoft Authenticator バージョン 6.6.8 以降、ネイティブの Apple 暗号化を利用して Apple iOS デバイスで FIPS 140 セキュリティ レベル 1 コンプライアンスを実現しています。 使用されている認定資格の詳細については、Apple CoreCrypto モジュールに関するページを参照してください。 

Android 上の Microsoft Authenticator に対する FIPS 140 コンプライアンスは進行中であり、近日中に対応されます。

自分のセキュリティ情報での Microsoft Authenticator 登録の種類の決定

Microsoft Authenticator 登録の管理と追加は、ユーザーが https://aka.ms/mysecurityinfo にアクセスするか、[マイ アカウント] から [セキュリティ情報] を選択して実行できます。 Microsoft Authenticator 登録でパスワードレスの電話によるサインインと MFA のどちらを使用できるかを区別するために、専用のアイコンが使用されます。

Authenticator 登録の種類 アイコン
Microsoft Authenticator: パスワードレスの電話によるサインイン Microsoft Authenticator passwordless sign-in Capable
Microsoft Authenticator: MFA 対応 Microsoft Authenticator MFA Capable

次のステップ