認証は、リソース、アプリケーション、サービス、デバイス、またはネットワークへのアクセスを許可する前に、ユーザーの ID を確認するプロセスです。 システムが、ユーザーがサインインする際に、自分が主張している本人であることを確認する方法です。
Microsoft Entra ID でサポートされる認証方法
次の表は、Microsoft Entra 多要素認証 (MFA) とセルフサービス パスワード リセット (SSPR) を使用する場合に、プライマリまたは第 1 要素認証、セカンダリ要素認証に認証方法を使用できる場合の概要を示しています。
| メソッド | プライマリ認証 | セカンダリ認証 |
|---|---|---|
| Windows Hello for Business | イエス | MFA1 |
| macOS のプラットフォーム資格情報 | イエス | MFA |
| Passkey (FIDO2) | イエス | MFA |
| Microsoft Authenticator のパスキー | イエス | MFA |
| 同期されたパスキー (プレビュー) | イエス | MFA |
| 証明書ベースの認証 | イエス | MFA |
| Microsoft Authenticator のパスワードレス | イエス | いいえ |
| Microsoft Authenticator プッシュ通知 | イエス | MFA と SSPR |
| オーセンティケーター・ライト | いいえ | MFA |
| ハードウェア OATH トークン (プレビュー) | いいえ | MFA と SSPR |
| ソフトウェア OATH トークン | いいえ | MFA と SSPR |
| 外部認証方法 (プレビュー) | いいえ | MFA |
| 一時アクセス パス (TAP) | イエス | MFA |
| ショート メッセージ サービス (SMS) サインイン | イエス | MFA と SSPR |
| 音声通話 | いいえ | MFA と SSPR |
| QRコード | イエス | いいえ |
| パスワード | イエス | いいえ |
1Windows Hello for Business は、ユーザーがパスキー (FIDO2) を有効にしていて、パスキーが登録されている場合に、ステップアップ MFA 資格情報として機能できます。
フィッシングに強い認証方法
従来の MFA と SMS、電子メール OTP、または認証アプリを使用すると、パスワードのみのシステムよりもセキュリティが大幅に向上しますが、これらのオプションでは、コードの入力、プッシュ通知の承認、認証アプリの使用など、ユーザーに追加の手順が必要な摩擦が生じます。 さらに、MFA のこれらのオプションは、リモート フィッシング攻撃を受けやすくなります。 リモート フィッシングとは、攻撃者がソーシャル エンジニアリングおよび AI 駆動型ツールを使用して、ユーザーのデバイスに物理的にアクセスすることなく、パスワードやワンタイム コードなどの ID 資格情報を盗む場所です。
Microsoft では、Windows Hello for Business、パスキー (FIDO2)、FIDO2 セキュリティ キー、証明書ベースの認証 (CBA) などのフィッシングに強い認証方法を使用することをお勧めします。これは、最も安全なサインイン エクスペリエンスを提供するためです。
Microsoft Entra ID では、次のフィッシングに対する耐性のある認証方法を使用できます。
- Windows Hello for Business
- macOS のプラットフォーム資格情報
- 同期されたパスキー (FIDO2) (プレビュー)
- FIDO2 セキュリティキー
- Microsoft Authenticator のパスキー
- 証明書ベースの認証 (CBA)
高保証アカウントの回復
アカウントの回復は、ユーザーが自分のすべての資格情報を失い、アカウントにアクセスできなくなったプロセスです。 ユーザーが自分の資格情報を回復できるようにする従来の方法には、ヘルプデスクに問い合わせて ID を確認するための質問に回答するユーザーが含まれます。これにより、ヘルプデスクは資格情報をリセットできます。 Microsoft Entra ID では、政府発行の ID と生体認証検証がサポートされるようになりました。これにより、高保証アカウントの回復のために、政府が発行した ID に対して AI を利用した生体認証照合が提供されます。
組織は、 Microsoft セキュリティ ストア (Idemia、Lexis Nexis、Au10tix) を介して、主要な ID 検証プロバイダー (IDV) の中から選択できます。 これらのパートナーは、192 の国/地域全体でカバレッジを提供し、運転免許証やパスポートを含む政府発行のほとんどの ID (Gov ID) ドキュメントのリモート検証を提供しています。 Azure AI サービスを利用した Entra Verified ID Face Check は、ユーザーのリアルタイムの自撮りと自分の ID ドキュメントからの写真を照合することで、信頼の重要な層を追加します。 Face Check では、重要な ID データではなく、一致結果のみを共有することで、ユーザーのプライバシーが向上し、企業は ID を主張するユーザーが実際にユーザーであることを確認できます。
この機能を有効にすると、ネイティブに統合されたエンド ツー エンド フローを使用して、ユーザーは自分のアカウントへのアクセスを簡単かつ安全に回復できます。 詳細については、「 Microsoft Entra ID Account Recovery の概要」を参照してください。