Microsoft Entra ID で使用できる認証方法と検証方法
Microsoft では、Windows Hello や FIDO2 セキュリティ キー、Microsoft Authenticator アプリといった、非常に安全なサインイン イベントを提供できるパスワードレスの認証方法を推奨しています。 ユーザーはユーザー名やパスワードなど、他の一般的な方法を使用してサインインすることもできますが、パスワードはより安全な認証方法に置き換えるべきです。
Microsoft Entra 多要素認証 (MFA) を使用すると、ユーザーのサインイン時について、単にパスワードのみを使用する以上のセキュリティを付加できます。 ユーザーに対して、プッシュ通知に応答する、ソフトウェアまたはハードウェア トークンのコードを入力する、またはテキスト メッセージや電話に応答するなど、追加の形式での認証を要求することができます。
ユーザーのオンボード エクスペリエンスを単純化し、MFA とセルフサービス パスワード リセット (SSPR) の両方に登録するには、統合されたセキュリティ情報の登録を有効にすることをお勧めします。 回復性を確保するために、ユーザーに複数の認証方法の登録を求めることをお勧めします。 サインインや SSPR の間にユーザーがある方法を使用できない場合、そのユーザーは別の方法で認証することを選択できます。 詳細については、「Microsoft Entra ID で回復性があるアクセス制御管理戦略を作成する」を参照してください。
ここでは、組織の安全を確保するために最適な認証方法を選択する際に役立つビデオをご紹介します。
認証方法の強度とセキュリティ
Azure Entra Multi-Factor Authentication のような機能を組織に導入する場合、利用可能な認証方法を確認します。 セキュリティ、ユーザビリティ、および可用性の要件を満たす、あるいは超える方法を選択します。 可能であれば、最高レベルのセキュリティを実現する認証方法を使用してください。
次の表は、使用可能な認証方法のセキュリティに関する考慮事項の概要を示しています。 ここでいう可用性は、ユーザーがその認証方法を利用できるかどうかを示すものであり、Microsoft Entra ID のサービスの可用性ではありません。
| 認証方法 | セキュリティ | 使いやすさ | 可用性 |
|---|---|---|---|
| Windows Hello for Business | 高 | 高 | 高 |
| Microsoft Authenticator | 高 | 高 | 高 |
| Authenticator Lite | 高 | 高 | 高 |
| FIDO2 セキュリティ キー | 高 | 高 | 高 |
| 証明書ベースの認証 | 高 | 高 | 高 |
| OATH ハードウェア トークン (プレビュー) | Medium | Medium | 高 |
| OATH ソフトウェア トークン | Medium | Medium | 高 |
| 一時アクセス パス (TAP) | 中 | 高 | 高 |
| SMS | Medium | 高 | Medium |
| 音声 | Medium | Medium | Medium |
| Password | 低 | 高 | 高 |
セキュリティに関する最新情報については、次のブログ記事をご覧ください。
ヒント
柔軟性と使いやすさを実現するために、Microsoft Authenticator アプリを使用することをお勧めします。 この認証方法は、パスワードレス、MFA のプッシュ通知、OATH コードなど、最適なユーザー エクスペリエンスと複数のモードを提供します。
各認証方法のしくみ
認証方法の中には、FIDO2 セキュリティ キーやパスワードの利用といった、アプリケーションやデバイスにサインインする際にプライマリ要素として利用できるものがあります。 Microsoft Entra 多要素認証または SSPR を使用する場合、他の認証方法はセカンダリ要素としてのみ使用できます。
次の表は、サインイン イベント時に各認証方法がどのタイミングで使用できるかの概要を示しています。
| Method | プライマリ認証 | セカンダリ認証 |
|---|---|---|
| Windows Hello for Business | はい | MFA* |
| Microsoft Authenticator (プッシュ) | いいえ | MFA と SSPR |
| Microsoft Authenticator (パスワードレス) | はい | いいえ |
| Authenticator Lite | いいえ | MFA |
| FIDO2 セキュリティ キー | はい | MFA |
| 証明書ベースの認証 | はい | MFA |
| OATH ハードウェア トークン (プレビュー) | いいえ | MFA と SSPR |
| OATH ソフトウェア トークン | いいえ | MFA と SSPR |
| 一時アクセス パス (TAP) | はい | MFA |
| SMS | はい | MFA と SSPR |
| 音声通話 | いいえ | MFA と SSPR |
| Password | はい | いいえ |
* Windows Hello for Business 自体は、ステップアップ MFA 資格情報として機能しません。 たとえば、サインインの頻度からの MFA チャレンジや、forceAuthn=true を含む SAML 要求などです。 Windows Hello for Business は、FIDO2 認証で使用することで、ステップアップ MFA 資格情報として機能できます。 これには、 FIDO2 認証が正常に動作するようにユーザーを有効にする必要があります。
これらの認証方法は、すべて Microsoft Entra 管理センターで構成できます。また、Microsoft Graph REST API を使用して構成することが増えています。
各認証方法のしくみの詳細については、次の概念に関する個別の記事を参照してください。
- Windows Hello for Business
- Microsoft Authenticator アプリ
- FIDO2 セキュリティ キー
- 証明書ベースの認証
- OATH ハードウェア トークン (プレビュー)
- OATH ソフトウェア トークン
- 一時アクセス パス (TAP)
- SMS サインインおよび検証
- 音声通話の確認
- Password
Note
パスワードは、Microsoft Entra ID で多くの場合にプライマリとして使用される認証方法の 1 つです。 パスワード認証方法を無効にすることはできません。 パスワードをプライマリ認証要素として使用する場合は、Microsoft Entra 多要素認証でサインイン イベントのセキュリティを強化してください。
特定のシナリオでは、次の追加認証方法を使用できます。
- アプリ パスワード - 最新式の認証に対応していない旧型アプリケーションで使用されます。ユーザーごとの Microsoft Entra 多要素認証向けに構成可能です。
- セキュリティの質問 - SSPR でのみ使用されます
- メールアドレス - SSPR にのみ使用されます
使用可能な方法と使用できない方法
管理者は、Microsoft Entra 管理センターでユーザー認証方法を表示できます。 使用可能な方法が最初に一覧表示され、その後に使用できない方法が表示されます。
各認証方法は、さまざまな理由で使用できなくなる可能性があります。 たとえば、一時アクセス パスの有効期限が切れる場合や、FIDO2 セキュリティ キーが構成証明に失敗する場合があります。 ポータルが更新され、メソッドが使用できない理由が示されます。
[多要素認証の再登録が必要] によって使用できなくなった認証方法もここに表示されます。
次のステップ
最初に、セルフサービス パスワード リセット (SSPR) のチュートリアルと Microsoft Entra 多要素認証に関するページを参照してください。
SSPR に関する概念の詳細については、Microsoft Entra のセルフサービス パスワード リセットのしくみに関するページを参照してください。
MFA の概念の詳細については、Microsoft Entra の多要素認証のしくみに関するページを参照してください。
Microsoft Graph REST API を使用した認証方法の構成の詳細を確認してください。
使用されている認証方法を確認するには、Microsoft Entra 多要素認証の認証方法を PowerShell を使用して分析する方法についての記事を参照してください。