パスキーに関してよく寄せられる質問

この記事では、パスキーに関してよく寄せられる質問について説明します。 最新のコンテンツを常にチェックしてください。

Microsoft Entra のパスキーに関する FAQ

サインイン中にユーザーがパスキーの登録を求められるのはいつですか?

次の場合、ユーザーにパスキー登録プロンプトが表示される場合があります。

• パスキー登録キャンペーン (ナッジ) が有効になっているか、
• 管理者は、ポリシーを通じてパスキー登録を明示的に要求します。たとえば、条件付きアクセス認証の強度でフィッシングに強い MFA を適用します。

管理者はパスキーの使用状況を監視または監査するにはどうすればよいですか?

管理者は、監査ログ、サインイン ログ、ユーザー通知を使用して、パスキーの作成と使用状況を追跡できます。 現在、パスキーに自動有効期限は設定されていないため、監視およびライフサイクル管理の徹底が推奨されます。

Microsoft Entra のパスキーは、量子証明ですか?

現在、パスキーは完全には量子安全ではありませんが、Microsoft は、ポスト量子暗号化を通じて、パスキーを含めた Microsoft Entra 認証を量子安全にするためのロードマップを公開しており、2033 年までに完全な移行を目指しています。

同期されたパスキーに関する FAQ

パスキーを同期する利点は何ですか?

ユーザーのデバイスに既に存在するネイティブおよびサード パーティのパスキー プロバイダーに格納されている同期されたパスキーは、個別の認証デバイスに関連するハード発行と管理の問題の多くを解決します。 パスキーがユーザーのクライアント デバイスとクラウドの間で同期できるという事実により、デバイス バインドパスキーに関連する回復性と再発行のコストが大幅に削減されます。 この利点の組み合わせにより、同期されたパスキーがほとんどのユーザーと組織に最適なオプションになると予想されます。

同期済みのパスキーを段階的にロールアウトするにはどうすればよいですか?

パスキー プロファイルを使用して、同期されたパスキーのロールアウトのスコープを設定してユーザー グループを選択できます。 Microsoft では、管理者と高い特権を持つユーザーにはデバイス バインドパスキー、組織内の管理者以外のアクセス許可を持つすべてのユーザーには同期されたパスキーをお勧めします。

管理者として、パスキーの使用を取り消すことができますか?

Yes. 管理者は、ユーザーごとの認証方法 UX または API を使用して、ユーザーの Microsoft Entra ID アカウントからパスキーを削除できます。

同期されたパスキーを使用する場合、ユーザー アカウントとデバイスを保護するための保護は何ですか?

パスキー プロバイダーにパスキーを登録するには、ほとんどの場合、最初に 2 要素認証を設定する必要があります。 ほとんどのパスキー プロバイダーでは、パスキーをデバイスに格納する前に、デバイス ロックを構成する必要もあります。 このエクスペリエンスは、Google パスワード マネージャーと iCloud キーチェーン全体で一般的ですが、他のパスキー プロバイダーによって異なる場合があります。

管理者は、同期されたパスキーを使用できるデバイスを制御できますか。また、パスキーが共有されないようにすることはできますか?

現在、管理者は、同期されたパスキーのコピーを保持しているデバイスを正確に表示または制御することも、同期されたパスキーが同期された場所を照会することもできません。 これは、ユーザーの個人デバイス間で同期される資格情報の可視性に関する、業界全体にわたる広範な制限を反映しています。 業界は、FIDO アライアンスと共に、この分野の改善に積極的に取り組み、証明書利用者に対してより強力なシグナルと制御を提供しています。 このため、セキュリティとコンプライアンスの要件に基づいて適切なパスキー モデルを選択することが重要です。厳密なデバイス境界制御が困難な要件である場合は、デバイス バインドパスキーが推奨されるオプションです。 これらの資格情報は特定のデバイスに関連付けられており、他の場所では同期されません。 他のユーザー層には、同期されたパスキーが推奨されます。 同期されたパスキーは強力なフィッシング耐性を提供しますが、多くの従来の方法ではデバイスの可視性がなく、フィッシング攻撃の影響を受けやすくなります。

Authenticator passkey に関する FAQ

Microsoft Authenticator はデバイスにパスキーをどのように格納しますか?

Authenticator パスキーはハードウェアによってサポートされます。

iOS では、Authenticator は秘密キーを セキュリティで保護されたエンクレーブに格納します。

Android では、Authenticator は Android キーストア システム API を使用して、デバイス バインドパスキーを安全に格納します。 Android キーストア システムでは、次の順序で、Android デバイスのセキュリティで保護されたハードウェアへのキー マテリアルのバインドがサポートされています。

• セキュア・エレメント (SE)
• 信頼された実行環境 (TEE)

Android では、Android デバイスにこれら 2 つのセキュリティで保護されたハードウェア オプションのいずれかが含まれている場合にのみ、Authenticator によってパスキー (秘密キー) が格納されます。 どちらのハードウェア オプションも存在しない場合、構成証明が無効になっている場合でも、Authenticator のパスキーの登録は失敗します。

Authenticator パスキーを新しいデバイスに復元または同期できますか?

Authenticator のパスキーはデバイスにバインドされたものであり、同期できません。 詳細については、「 Microsoft Authenticator のデバイス バインド パスキー」を参照してください。

クロスデバイス認証を実行するには、Bluetoothを有効にする必要がありますか?

Authenticator でパスキーでクロスデバイス認証を使用するには、Bluetoothを有効にし、両方のデバイスでインターネット にアクセスできるようにする必要があります。

"デバイスが接続できませんでした" でデバイス間のサインインと登録が失敗する理由

両方のデバイスでインターネット にアクセスでき、Bluetoothが有効になっていることを確認します。 クロスデバイス登録と認証では、構成証明を有効にすると、クロスデバイスでの登録や認証を使用できなくなります。

Platform	URL
Android	cable.ua5v.com
iOS	cable.auth.com app-site-association.cdn-apple.com app-site-association.networking.apple

組織でBluetoothの使用が制限されている場合は、 passkey 対応 FIDO2 認証子と排他的にペアリングするBluetoothを許可 して、クロスデバイス サインインとパスキーの登録を許可できます。

Authenticator で複数のパスキーを使用できますか?

Authenticator のアカウントごとにパスキーを 1 つだけ持つことができます。 現時点では、Authenticator でサポートされているのは Microsoft Entra ID のパスキーのみです。

Authenticator アプリ のカメラを使用して、WebAuthn QR コードをスキャンして登録と認証を行うことができますか?

オーセンティケーターのカメラを使用して、パスキーの登録と認証を行うことができます。 このオプションは、組織がシステム カメラ アプリを Android の仕事用プロファイルにプッシュしていない場合に便利です。

インターネットに接続せずに Authenticator でパスキーを使用できますか?

インターネットに接続しないと、パスキーを使用することはできません。 同じデバイスのシナリオでは、パスキーを含むモバイル デバイスにインターネット アクセスが必要です。 クロスデバイスのシナリオでは、パスキーを持つデバイスとサインインするセカンダリ デバイスの両方にインターネット アクセスが必要です。

Microsoft Authenticator アプリにパスキーを登録しようとしましたが、"Passkey を追加できませんでした" または "不明なエラー" というエラーが表示されました。どうすればよいですか?

このエラーが発生した場合は、メイン メニューに移動し、[フィードバックの送信] → [問題が発生しました] を選択して、アプリからフィードバックを送信します。 送信されたら、認証アプリのログを確認できるようにフィードバック ID を指定します。

私はAndroid 14デバイスを使っており、すべての手順に従いました。 Authenticator アプリにパスキーを登録できないのはなぜですか?

Authenticator アプリは、Android 14 以降で Android API を使ってパスキーを利用します。 製造元は、作成するデバイスごとにこれらの API を実装するかどうかを選択します。 デバイスでこれらの API がサポートされていない場合は、Android 14 のデバイスで Authenticator アプリが機能しない可能性があります。 最適なエクスペリエンスを得るために、Android 15 にアップグレードすることをお勧めします。

Android 個人用プロファイルの Microsoft Authenticator アプリにパスキーを保存しましたが、仕事用プロファイルで使用できませんか?

この動作は、Microsoft Authenticator アプリに固有の動作ではありません。 Android Work Profile は、意図的に 2 つの分離された環境 (個人用と仕事用) を作成し、企業 ID とデバイス セキュリティに参加するアプリケーションは、仕事用プロファイル コンテナー内で実行する必要があります。 この分離モデルのため、アプリ (Microsoft Authenticator を含む) をプロファイル間で共有することはできません。また、仕事用プロファイルには個別のインスタンスが必要です。 これはプラットフォーム レベルのセキュリティ設計であり、アプリケーションの選択や制限ではありません。

Android デバイスで生体認証サインインではなく PIN の入力を求められるのはなぜですか?

Android デバイスで生体認証サインインが失敗した場合、Authenticator アプリは PIN の入力を求めるメッセージを表示します。 次にパスキーを使用してサインインすると、Authenticator は生体認証サインインではなく PIN を要求し続けます。 Authenticator は、生体認証サインインを定期的に再試行します。 生体認証サインインが成功した場合は、後続のサインインに使用されます。

Android デバイスで PIN または生体認証サインインを変更した後、パスキーはどうなりますか?

PIN を変更した場合、または生体認証サインインを拇印から顔に変更した場合、またはその逆の場合、パスキーは無効になります。 パスキーが無効になっている場合は、別の方法を使用してサインインし、新しいパスキーを作成する必要があります。

中国の Authenticator でパスキーを使用してサインインできますか?

パスキーは、21Vianet が運営する Microsoft Azure では使用できません。 iOS では、Authenticator のパスキーを使用して、旅行中など、他のグローバル組織にサインインできます。 詳細については、「 中国での Microsoft Authenticator のダウンロード」を参照してください。

関連するコンテンツ

• FIDO2 セキュリティ キー ベンダー向けの Microsoft Entra ID 認証

この記事では、パスキーに関してよく寄せられる質問について説明します。 最新のコンテンツを常にチェックしてください。

次の場合、ユーザーにパスキー登録プロンプトが表示される場合があります。

• パスキー登録キャンペーン (ナッジ) が有効になっているか、
• 管理者は、ポリシーを通じてパスキー登録を明示的に要求します。たとえば、条件付きアクセス認証の強度でフィッシングに強い MFA を適用します。

管理者は、監査ログ、サインイン ログ、ユーザー通知を使用して、パスキーの作成と使用状況を追跡できます。 現在、パスキーに自動有効期限は設定されていないため、監視およびライフサイクル管理の徹底が推奨されます。

現在、パスキーは完全には量子安全ではありませんが、Microsoft は、ポスト量子暗号化を通じて、パスキーを含めた Microsoft Entra 認証を量子安全にするためのロードマップを公開しており、2033 年までに完全な移行を目指しています。

ユーザーのデバイスに既に存在するネイティブおよびサード パーティのパスキー プロバイダーに格納されている同期されたパスキーは、個別の認証デバイスに関連するハード発行と管理の問題の多くを解決します。 パスキーがユーザーのクライアント デバイスとクラウドの間で同期できるという事実により、デバイス バインドパスキーに関連する回復性と再発行のコストが大幅に削減されます。 この利点の組み合わせにより、同期されたパスキーがほとんどのユーザーと組織に最適なオプションになると予想されます。

パスキー プロファイルを使用して、同期されたパスキーのロールアウトのスコープを設定してユーザー グループを選択できます。 Microsoft では、管理者と高い特権を持つユーザーにはデバイス バインドパスキー、組織内の管理者以外のアクセス許可を持つすべてのユーザーには同期されたパスキーをお勧めします。

Yes. 管理者は、ユーザーごとの認証方法 UX または API を使用して、ユーザーの Microsoft Entra ID アカウントからパスキーを削除できます。

パスキー プロバイダーにパスキーを登録するには、ほとんどの場合、最初に 2 要素認証を設定する必要があります。 ほとんどのパスキー プロバイダーでは、パスキーをデバイスに格納する前に、デバイス ロックを構成する必要もあります。 このエクスペリエンスは、Google パスワード マネージャーと iCloud キーチェーン全体で一般的ですが、他のパスキー プロバイダーによって異なる場合があります。

現在、管理者は、同期されたパスキーのコピーを保持しているデバイスを正確に表示または制御することも、同期されたパスキーが同期された場所を照会することもできません。 これは、ユーザーの個人デバイス間で同期される資格情報の可視性に関する、業界全体にわたる広範な制限を反映しています。 業界は、FIDO アライアンスと共に、この分野の改善に積極的に取り組み、証明書利用者に対してより強力なシグナルと制御を提供しています。 このため、セキュリティとコンプライアンスの要件に基づいて適切なパスキー モデルを選択することが重要です。厳密なデバイス境界制御が困難な要件である場合は、デバイス バインドパスキーが推奨されるオプションです。 これらの資格情報は特定のデバイスに関連付けられており、他の場所では同期されません。 他のユーザー層には、同期されたパスキーが推奨されます。 同期されたパスキーは強力なフィッシング耐性を提供しますが、多くの従来の方法ではデバイスの可視性がなく、フィッシング攻撃の影響を受けやすくなります。

Authenticator パスキーはハードウェアによってサポートされます。

iOS では、Authenticator は秘密キーを セキュリティで保護されたエンクレーブに格納します。

Android では、Authenticator は Android キーストア システム API を使用して、デバイス バインドパスキーを安全に格納します。 Android キーストア システムでは、次の順序で、Android デバイスのセキュリティで保護されたハードウェアへのキー マテリアルのバインドがサポートされています。

• セキュア・エレメント (SE)
• 信頼された実行環境 (TEE)

Android では、Android デバイスにこれら 2 つのセキュリティで保護されたハードウェア オプションのいずれかが含まれている場合にのみ、Authenticator によってパスキー (秘密キー) が格納されます。 どちらのハードウェア オプションも存在しない場合、構成証明が無効になっている場合でも、Authenticator のパスキーの登録は失敗します。

Authenticator のパスキーはデバイスにバインドされたものであり、同期できません。 詳細については、「 Microsoft Authenticator のデバイス バインド パスキー」を参照してください。

Authenticator でパスキーでクロスデバイス認証を使用するには、Bluetoothを有効にし、両方のデバイスでインターネット にアクセスできるようにする必要があります。

両方のデバイスでインターネット にアクセスでき、Bluetoothが有効になっていることを確認します。 クロスデバイス登録と認証では、構成証明を有効にすると、クロスデバイスでの登録や認証を使用できなくなります。

Platform	URL
Android	cable.ua5v.com
iOS	cable.auth.com app-site-association.cdn-apple.com app-site-association.networking.apple

組織でBluetoothの使用が制限されている場合は、 passkey 対応 FIDO2 認証子と排他的にペアリングするBluetoothを許可 して、クロスデバイス サインインとパスキーの登録を許可できます。

Authenticator のアカウントごとにパスキーを 1 つだけ持つことができます。 現時点では、Authenticator でサポートされているのは Microsoft Entra ID のパスキーのみです。

オーセンティケーターのカメラを使用して、パスキーの登録と認証を行うことができます。 このオプションは、組織がシステム カメラ アプリを Android の仕事用プロファイルにプッシュしていない場合に便利です。

インターネットに接続しないと、パスキーを使用することはできません。 同じデバイスのシナリオでは、パスキーを含むモバイル デバイスにインターネット アクセスが必要です。 クロスデバイスのシナリオでは、パスキーを持つデバイスとサインインするセカンダリ デバイスの両方にインターネット アクセスが必要です。

このエラーが発生した場合は、メイン メニューに移動し、[フィードバックの送信] → [問題が発生しました] を選択して、アプリからフィードバックを送信します。 送信されたら、認証アプリのログを確認できるようにフィードバック ID を指定します。

Authenticator アプリは、Android 14 以降で Android API を使ってパスキーを利用します。 製造元は、作成するデバイスごとにこれらの API を実装するかどうかを選択します。 デバイスでこれらの API がサポートされていない場合は、Android 14 のデバイスで Authenticator アプリが機能しない可能性があります。 最適なエクスペリエンスを得るために、Android 15 にアップグレードすることをお勧めします。

この動作は、Microsoft Authenticator アプリに固有の動作ではありません。 Android Work Profile は、意図的に 2 つの分離された環境 (個人用と仕事用) を作成し、企業 ID とデバイス セキュリティに参加するアプリケーションは、仕事用プロファイル コンテナー内で実行する必要があります。 この分離モデルのため、アプリ (Microsoft Authenticator を含む) をプロファイル間で共有することはできません。また、仕事用プロファイルには個別のインスタンスが必要です。 これはプラットフォーム レベルのセキュリティ設計であり、アプリケーションの選択や制限ではありません。

Android デバイスで生体認証サインインが失敗した場合、Authenticator アプリは PIN の入力を求めるメッセージを表示します。 次にパスキーを使用してサインインすると、Authenticator は生体認証サインインではなく PIN を要求し続けます。 Authenticator は、生体認証サインインを定期的に再試行します。 生体認証サインインが成功した場合は、後続のサインインに使用されます。

PIN を変更した場合、または生体認証サインインを拇印から顔に変更した場合、またはその逆の場合、パスキーは無効になります。 パスキーが無効になっている場合は、別の方法を使用してサインインし、新しいパスキーを作成する必要があります。

パスキーは、21Vianet が運営する Microsoft Azure では使用できません。 iOS では、Authenticator のパスキーを使用して、旅行中など、他のグローバル組織にサインインできます。 詳細については、「 中国での Microsoft Authenticator のダウンロード」を参照してください。

関連するコンテンツ

• FIDO2 セキュリティ キー ベンダー向けの Microsoft Entra ID 認証