パスキー (FIDO2) などのパスワードなしの認証方法を使用すると、ユーザーはパスワードなしで安全にサインインできます。 ユーザーは、次の 2 つの方法のいずれかでパスワードレスの方法をブートストラップできます。
- 既存の Microsoft Entra 多要素認証方法を使う
- 一時アクセス パスを使用する
一時アクセス パス (TAP) は、1 回の使用または複数のサインイン用に構成できる時間制限付きパスコードです。ユーザーは TAP を使用してサインインして、他のパスワードレス認証方法をオンボードできます。 TAP を使用すると、ユーザーが強力な認証方法を失ったり忘れたりした場合の回復も容易になります。
この記事では、 Microsoft Entra 管理センターを使用して TAP を有効にして使用する方法について説明します。 REST API を使ってこれらのアクションを実行することもできます。
一時アクセス パス ポリシーを有効にする
TAP ポリシーでは、テナントに作成されたパスの有効期間や、TAP を使用してサインインできるユーザーとグループなどの設定を定義します。
ユーザーが TAP を使用してサインインできるようにするには、認証方法ポリシーでこの方法を有効にし、TAP を使用してサインインできるユーザーとグループを選択する必要があります。
任意のユーザー用の TAP を作成できますが、それを使ってサインインできるのは、ポリシーに含まれているユーザーのみです。 TAP 認証方法ポリシーを更新するには、 認証ポリシー管理者 ロールが必要です。
認証方法ポリシーで TAP を構成するには:
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
Entra ID>認証メソッド>ポリシー に移動します。
使用可能な認証方法の一覧から、[ 一時アクセス パス] を選択します。
[有効にする] を選択し、ポリシーに含めるユーザーまたはポリシーから除外するユーザーを選択します。
(省略可能)[ 構成] を 選択して、最大有効期間や長さの設定など、一時アクセス パスの既定の設定を変更し、[ 更新] を選択します。
[ 保存] を 選択してポリシーを適用します。
次の表では、既定値と許可される値の範囲について説明します。
設定 既定値 使用できる値 説明 最短有効期間 1 時間 10 – 43,200 分 (30 日) TAP が有効である最短時間 (分)。 最長有効期間 8 時間 10 – 43,200 分 (30 日) TAP が有効である最長時間 (分)。 既定の有効期間 1 時間 10 – 43,200 分 (30 日) 既定値は、ポリシーによって構成された最小および最大有効期間内の個々のパスによってオーバーライドできます。 1 回限りの使用 いいえ 真/偽 ポリシーが false に設定されている場合、テナントのパスは、その有効期間 (最大有効期間) 中に 1 回または複数回使用できます。 TAP ポリシーで 1 回限りの使用を適用すると、テナントで作成されたすべてのパスが 1 回限りの使用になります。 長さ 8 8 ~ 48 文字 パスコードの長さを定義します。
一時アクセス パスを作成する
TAP ポリシーを有効にすると、Microsoft Entra ID のユーザーに対して TAP ポリシーを作成できます。 次のロールは、TAP に関連するさまざまなアクションを実行できます。
- 特権認証管理者 は、管理者とメンバー (それ自体を除く) の TAP を作成、削除、および表示できます。
- 認証管理者は 、メンバー (それ自体を除く) の TAP を作成、削除、および表示できます。
- 認証ポリシー管理者は 、TAP を有効にしたり、グループを含めたり除外したり、認証方法ポリシーを編集したりできます。
- グローバル閲覧者 は、(コード自体を読まずに) ユーザーの TAP の詳細を表示できます。
少なくとも認証管理者として Microsoft Entra 管理センターにサインインします。
Entra ID>Users に移動します。
TAP を作成するユーザーを選びます。
[ 認証方法 ] を選択し、[ 認証方法の追加] を選択します。
[ 一時アクセス パス] を選択します。
カスタムのアクティブ化時間または期間を定義し、[ 追加] を選択します。
追加されると、TAP の詳細が表示されます。
重要
ユーザーにこの値を指定するため、実際の TAP 値を書き留めます。 [OK] を選択した後は、この値を表示できません。
完了したら、[ OK] を選択します 。
次のコマンドは、PowerShell を使って TAP を作成および取得する方法を示しています。
# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json
New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM TAPRocks!
# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM
詳細については、「 New-MgUserAuthenticationTemporaryAccessPassMethod 」および 「Get-MgUserAuthenticationTemporaryAccessPassMethod」を参照してください。
一時アクセス パスを使用する
TAP の最も一般的な用途は、ユーザーが最初のサインインまたはデバイスのセットアップ時に、追加のセキュリティ プロンプトを完了する必要なく、認証の詳細を登録することです。 認証方法は https://aka.ms/mysecurityinfo に登録されています。 ユーザーは、ここで既存の認証方法を更新することもできます。
Web ブラウザーを開いて https://aka.ms/mysecurityinfo にアクセスします。
TAP を作成したアカウントの UPN を入力します (tapuser@contoso.com など)。
ユーザーが TAP ポリシーに含まれている場合、TAP を入力する画面が表示されます。
Microsoft Entra 管理センターに表示された TAP を入力します。
注
フェデレーション ドメインの場合は、フェデレーションよりも TAP を使用することをお勧めします。 TAP を使っているユーザーは Microsoft Entra ID で認証が完了して、フェデレーション ID プロバイダー (IdP) にはリダイレクトされません。
これでユーザーがサインインし、FIDO2 セキュリティ キーなどの方法を更新または登録できるようになりました。 資格情報やデバイスを紛失したために認証方法を更新するユーザーは、古い認証方法を必ず削除する必要があります。 また、ユーザーは、引き続き自分のパスワードを使用してサインインできます。TAP はユーザーのパスワードに代わるものではありません。
一時アクセス パスのユーザー管理
https://aka.ms/mysecurityinfo でセキュリティ情報を管理しているユーザーには一時アクセス パスのエントリが表示されます。 ユーザーが他の登録メソッドを持っていない場合は、新しいサインイン 方法を追加することを示すバナーが画面の上部に表示されます。 また、ユーザーは TAP の有効期限を表示したり、不要になった TAP を削除したりできます。
Windows デバイスのセットアップ
TAP を使っているユーザーは、Windows 10 および 11 のセットアップ プロセスに移動して、デバイスの参加操作を実行し、Windows Hello for Business を構成できます。 Windows Hello for Business をセットアップするための TAP の使用方法は、デバイスの参加状態によって異なります。
Microsoft Entra ID に参加しているデバイスの場合:
- ドメイン参加のセットアップ プロセス中に、ユーザーは TAP を使用して認証し (パスワードは必要ありません)、デバイスに参加し、Windows Hello for Business を登録できます。
- 既に参加しているデバイスでは、TAP を使用して Windows Hello for Business を設定する前に、パスワード、スマートカード、FIDO2 キーなどの別の方法でユーザーを認証する必要があります。
- Windows の Web サインイン 機能も有効になっている場合、ユーザーは TAP を使用してデバイスにサインインできます。 これは、デバイスの初期セットアップの完了、またはユーザーがパスワードを知らない場合やパスワードを持っていない場合の回復のみを目的としています。
ハイブリッド参加済みのデバイスでは、TAP を使用して Windows Hello for Business をセットアップする前に、ユーザーがまずパスワード、スマートカード、FIDO2 キーなどの別の方法で認証を行う必要があります。
Microsoft Authenticator での TAP の使用
ユーザーは TAP を使用して、Microsoft Authenticator を自分のアカウントに登録することもできます。 職場または学校のアカウントを追加し、TAP を使用してサインインすることで、ユーザーは Authenticator アプリから直接パスキーとパスワードレス電話サインインの両方を登録できます。
詳細については、「 Microsoft Authenticator アプリに職場または学校アカウントを追加する」を参照してください。
ゲスト アクセス
TAP をサインイン方法として内部ゲストに追加できますが、他の種類のゲストには追加できません。 内部ゲストには、ユーザー オブジェクト UserType が Guest に設定されています。 Microsoft Entra ID に登録されている認証方法があります。 内部ゲストとその他のゲスト アカウントの詳細については、「 B2B ゲスト ユーザーのプロパティ」を参照してください。
Microsoft Entra 管理センターまたは Microsoft Graph で外部ゲスト アカウントに TAP を追加しようとすると、外部ゲスト ユーザーに一時アクセス パスを追加できないことを示すエラーが表示されます。
外部ゲスト ユーザーは、TAP がホーム テナント認証要件を満たし、クロステナント アクセス ポリシーがユーザーのホーム テナントから MFA を信頼するように構成されている場合、ホーム テナントによって発行された TAP を使用してリソース テナントにサインインできます。「 B2B コラボレーションのテナント間アクセス設定の管理」を参照してください。
[有効期限]
有効期限切れまたは削除された TAP は、対話型認証または非対話型認証に使用することはできません。
TAP の有効期限が切れたか削除された後、ユーザーは別の認証方法で再認証する必要があります。
TAP サインインを使用して取得したトークンの有効期間 (セッション トークン、更新トークン、アクセス トークンなど) は、TAP の有効期間に制限されます。 TAP の有効期限が切れると、関連付けられたトークンの有効期限が切れます。
期限切れの一時アクセス パスを削除する
ユーザーの 認証方法の 下の [詳細] 列には、TAP の有効期限が切れた日時が表示されます。 以下の手順を使って、有効期限切れの TAP を削除できます。
- 少なくとも認証管理者として Microsoft Entra 管理センターにサインインします。
- Entra ID>Users に移動し、ユーザータップなどのユーザーを選択してから、[認証方法] を選択します。
- 一覧に表示されている 一時アクセス パス 認証方法の右側で、[削除] を選択 します。
PowerShell を使用することもできます。
# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
詳細については、「 Remove-MgUserAuthenticationTemporaryAccessPassMethod」を参照してください。
一時アクセス パスを置き換える
- ユーザーは、1 つの TAP しか持つことができません。 パスコードは、TAP の開始時から終了時にかけて使用できます。
- ユーザーが新しい TAP を必要とする場合は、次のようになります。
- 既存の TAP が有効な場合、管理者は新しい TAP を作成して、既存の有効な TAP をオーバーライドできます。
- 既存の TAP の有効期限が切れている場合は、新しい TAP によって既存の TAP がオーバーライドされます。
オンボードと復旧のための NIST 標準の詳細については、「 NIST Special Publication 800-63A」を参照してください。
制限事項
以下の制限事項に留意してください。
- 1 回限りの TAP を使用して FIDO2 セキュリティ キーや電話によるサインインなどのパスワードレスの方法を登録する場合、ユーザーは 1 回限りの TAP を使って 10 分以内に登録を完了する必要があります。 この制限は、複数回使用できる TAP には適用されません。
- セルフサービス パスワード リセット (SSPR) 登録ポリシー またはMicrosoft Entra ID Protection 多要素認証登録ポリシー のスコープ内のユーザーは、ブラウザーを使用して TAP でサインインした後、認証方法を登録する必要があります。 これらのポリシーの対象となるユーザーは、統合登録の割り込みモードにリダイレクトされます。 現在、このエクスペリエンスでは、FIDO2 と電話によるサインインの登録はサポートされていません。
- TAP は、ネットワーク ポリシー サーバー (NPS) 拡張機能と Active Directory フェデレーション サービス (AD FS) アダプターでは使用できません。
- 変更がレプリケートされるまで数分かかる場合があります。 このため、TAP がアカウントに追加された後、プロンプトが表示されるまでに時間がかかることがあります。 同じ理由で、TAP の有効期限が切れた後も、ユーザーには TAP のプロンプトが表示されることがあります。
トラブルシューティング
- サインイン中に TAP がユーザーに提供されない場合:
- ユーザーが認証方法ポリシーで TAP 使用のスコープ内にあることを確認します。
- ユーザーが有効な TAP を持っており、1 回限りの使用の場合はまだ使用されていないことを確認します。
- TAP を使用した サインイン時にユーザー資格情報ポリシーが表示されるために一時アクセス パス のサインインがブロックされた場合:
- ユーザーが TAP ポリシーのスコープ内にあることを確認する
- 認証方法ポリシーで 1 回限りの TAP が必要な場合は、ユーザーが複数使用するための TAP を持っていないことを確認します。
- 1 回限りの TAP が既に使われているかどうかを確認します。
- アカウントに認証方法として TAP を追加しようとした際に、「一時アクセスパスを外部ゲストユーザーに追加できません」というエラーメッセージが表示された場合、そのアカウントは外部ゲストであることを示しています。 内部ゲスト アカウントと外部ゲスト アカウントの両方に、Microsoft Entra 管理センターと Microsoft Graph API でサインインするための TAP を追加するオプションがあります。 ただし、TAP を発行できるのは内部ゲスト アカウントのみです。