Microsoft Entra ID を使用したパスキー (FIDO2) 認証マトリックス

この記事では、Microsoft Entra ID でのパスキー (FIDO2) 認証サポートの包括的な概要について説明します。 Web ブラウザー、ネイティブ アプリ、オペレーティング システム間の互換性について概説し、パスワードレス多要素認証を有効にします。 また、プラットフォーム固有の考慮事項、既知の問題、およびサード パーティのアプリと ID プロバイダー (IdP) のサポートに関するガイダンスも確認できます。 この情報を使用して、環境内のパスキーとのシームレスな統合と最適なユーザー エクスペリエンスを確保します。

Windows デバイスで FIDO2 セキュリティ キーを使用してサインインする方法の詳細については、「 Microsoft Entra ID を使用して Windows 10 および 11 デバイスへの FIDO2 セキュリティ キーサインインを有効にする」を参照してください。

注

現在、Microsoft Entra ID では、FIDO2 セキュリティ キーまたは Microsoft Authenticator に格納されているデバイス バインドパスキーのみがサポートされています。 Microsoft は、パスキーを使用して顧客とユーザーを保護することに取り組んでおり、Microsoft Entra ID の同期されたパスキーをサポートすることを計画しています。

ウェブブラウザ

次のセクションでは、Microsoft Entra ID を使用した Web ブラウザーでのパスキー (FIDO2) 認証のサポートについて説明します。

オペレーティングシステム (OS)	クロム	エッジ	Firefox	サファリ
ウィンドウズ	✅	✅	✅	なし
macOS	✅	✅	✅	✅
ChromeOS	✅	なし	なし	なし
リナックス	✅	✅	✅	なし
iOS	✅	✅	✅	✅
アンドロイド	✅	✅	❌	なし

各プラットフォームに関する考慮事項

ウィンドウズ

• セキュリティ キーを使用したサインインには、次のいずれかの項目が必要です。
  • Windows 10 バージョン 1903 以降
  • Chromium ベースの Microsoft Edge
  • Chrome 76 以降
  • Firefox 66 以降

macOS

• Passkey を使用したサインインには、MacOS Catalina 11.1 以降と Safari 14 以降が必要です。Microsoft Entra ID では多要素認証にユーザー検証が必要であるためです。
• macOS では、Apple が近距離通信 (NFC) と Bluetooth Low Energy (BLE) セキュリティキーをサポートしていません。
• これらの macOS ブラウザーでは、生体認証または PIN の設定を求めないため、新しいセキュリティ キーの登録は機能しません。
• macOS 上の Safari については、「3 つより多くのパスキーが登録されているときにサインインする」をご覧ください。

ChromeOS

• Google による ChromeOS では、NFC と BLE のセキュリティ キーはサポートされていません。
• ChromeOS または Chrome ブラウザーでは、セキュリティ キーの登録はサポートされていません。

Linux

• Microsoft Authenticator のパスキーを使用したサインインは、Linux 上の Firefox ではサポートされていません。

iOS

• Microsoft Entra ID では多要素認証にユーザー検証が必要であるため、passkey を使用したサインインには iOS 14.3 以降が必要です。
• Apple では、iOS では BLE セキュリティ キーはサポートされていません。
• FIPS 140-3 認定セキュリティ キーを使用した NFC は、Apple の iOS ではサポートされていません。
• 新しいセキュリティ キーの登録は、生体認証または PIN の設定を求めないため、iOS ブラウザーでは機能しません。
• 「3 つより多くのパスキーが登録されているときにサインインする」をご覧ください。

アンドロイド

• Microsoft Entra ID では多要素認証にユーザー検証が必要なため、パスキーを使用したサインインには Google Play Services 21 以降が必要です。
• Google では、Android では BLE セキュリティ キーはサポートされていません。
• Microsoft Entra ID でのセキュリティ キーの登録は、Android ではまだサポートされていません。
• Android 上の Firefox では、パスキーを使用したサインインはサポートされていません。

既知の問題

3 つより多くのパスキーが登録されているときにサインインする

3 つ以上のパスキーを登録した場合、パスキーを使用してサインインすると、iOS または macOS の Safari では機能しない可能性があります。 パスキーが 3 つより多い場合は、回避策として、[サインイン オプション] をクリックしてユーザー名を入力せずにサインインします。

ネイティブ アプリ

次のセクションでは、次の Microsoft Entra ID でのパスキー (FIDO2) 認証のサポートについて説明します。

• 認証ブローカーでの Microsoft アプリのサポート
• 認証ブローカーを使用しない Microsoft アプリのサポート
• 認証ブローカーを使用しないサード パーティ製アプリのサポート
• サード パーティ ID プロバイダー (IdP) のサポート

認証ブローカーでの Microsoft アプリのサポート

Microsoft アプリは、オペレーティング システム用に認証ブローカーがインストールされているすべてのユーザーに対して、パスキー認証のネイティブ サポートを提供します。 Passkey 認証は、認証ブローカーを使用するサード パーティ製アプリでもサポートされています。

ユーザーが認証ブローカーをインストールした場合、Outlook などのアプリにアクセスするときに、パスキーを使用してサインインすることを選択できます。 パスキーを使用してサインインするようにリダイレクトされ、認証が成功した後、サインインユーザーとして Outlook にリダイレクトされます。

次の表に、オペレーティング システムごとにサポートされている認証ブローカーを示します。

オペレーティングシステム (OS)	認証ブローカー
iOS	Microsoft Authenticator
macOS	Microsoft Intune 会社ポータル
アンドロイド	Authenticator、ポータル サイト、または Windows にリンクのアプリ

認証ブローカーを使用しない Microsoft アプリのサポート

次の表に、認証ブローカーを使用しないパスキー (FIDO2) に対する Microsoft アプリのサポートを示します。 アプリを最新バージョンに更新して、パスキーで動作するようにします。

アプリ	macOS	iOS	アンドロイド
リモート デスクトップ	✅	✅	✅
Windows アプリ	✅	✅	✅
Microsoft 365 Copilot (Office)	なし	✅	❌
ワード	✅	✅	❌
PowerPoint	✅	✅	❌
エクセル	✅	✅	❌
OneNote	✅	✅	❌
ループ	なし	✅	❌
OneDrive	✅	✅	❌
前途	✅	✅	❌
チーム	✅	✅	❌
エッジ	✅	✅	❌

認証ブローカーを使用しないサード パーティ製アプリのサポート

ユーザーがまだ認証ブローカーをインストールしていない場合でも、MSAL 対応アプリにアクセスするときにパスキーを使用してサインインできます。 MSAL 対応アプリの要件の詳細については、「開発するアプリ で FIDO2 キーを使用したパスワードレス認証をサポートする」を参照してください。

サード パーティ IdP のサポート

注

サード パーティの IdP を使用したパスキー認証は、認証ブローカーを使用するサード パーティ製アプリや、Android、iOS、または macOS 上の Microsoft アプリでは、現時点ではサポートされていません。

Microsoft Entra ID は、iOS/macOS 上のサードパーティ IdP によるパスキー認証をサポートしていません。 回避策として、サードパーティの IdP は、モバイル デバイス管理 (MDM) によって管理されている場合、iOS/macOS デバイスに独自のシングル サインオン (SSO) 拡張機能を実装できます。

MDM で管理されるデバイス上の Apple の拡張可能な SSO フレームワークを使用すると、ID プロバイダーは URL に送信されたネットワーク要求をインターセプトできます。 ID プロバイダーの SSO 拡張機能がネットワーク要求をインターセプトすると、カスタム認証ハンドシェイクを実装できます。 これにより、Microsoft アプリケーションに変更を加えることなく、パスキー認証にシステム ブラウザーまたはネイティブ Apple API を使用できます。

詳細については、次の Apple ドキュメントを参照してください。

• ExtensibleSingleSignOn デバイス管理プロファイル
• エンタープライズ シングル サインオン (SSO) API コレクション

各プラットフォームに関する考慮事項

ウィンドウズ

• ネイティブ アプリへの FIDO2 セキュリティ キーを使用したサインインには、Windows 10 バージョン 1903 以降が必要です。
• Microsoft Authenticator でネイティブ アプリにパスキーを使用してサインインするには、Windows 11 バージョン 22H2 以降が必要です。
• Microsoft Graph PowerShell では、パスキー (FIDO2) がサポートされます。 Edge の代わりに Internet Explorer を使用する一部の PowerShell モジュールでは、FIDO2 認証を実行できません。 たとえば、SharePoint Online または Teams 用の PowerShell モジュールや、管理者の資格情報を必要とする PowerShell スクリプトでは、FIDO2 に対するダイアログは表示されません。
  • 回避策として、ほとんどのベンダーは FIDO2 セキュリティ キーに証明書を配置できます。 証明書ベースの認証 (CBA) は、すべてのブラウザーで機能します。 これらの管理者アカウントに対して CBA を有効にできる場合は、一時的に FIDO2 ではなく CBA を要求できます。

iOS

• Microsoft Enterprise シングル サインオン (SSO) プラグインなしでネイティブ アプリでパスキーを使用してサインインするには、iOS 16.0 以降が必要です。
• SSO プラグインを使用してネイティブ アプリでパスキーを使用してサインインするには、iOS 17.1 以降が必要です。

macOS

• macOS では、ポータル サイトを認証ブローカーとして有効にするには、Microsoft Enterprise シングル サインオン (SSO) プラグイン が必要です。 macOS を実行するデバイスは、モバイル デバイス管理への登録を含む SSO プラグインの要件を満たしている必要があります。
• SSO プラグインを使用してネイティブ アプリでパスキーを使用してサインインするには、macOS 14.0 以降が必要です。

アンドロイド

• ネイティブ アプリへの FIDO2 セキュリティ キーを使用したサインインには、Android 13 以降が必要です。
• Microsoft Authenticator でネイティブ アプリにパスキーを使用してサインインするには、Android 14 以降が必要です。
• YubiOTP が有効になっている Yubico 製の FIDO2 セキュリティ キーを使用したサインインは、Samsung Galaxy デバイスでは機能しない可能性があります。 回避策として、ユーザーは YubiOTP を無効にして、もう一度サインインを試みることができます。 詳細については、 Samsung デバイスでの FIDO の問題に関する情報を参照してください。

次のステップ

パスワードなしのセキュリティ キー サインインを有効にする