Microsoft Intuneを使用したパスワードレス認証

パスワードレス認証では、パスワードを、Windows Hello、FIDO2 セキュリティ キー、パスキー、証明書、Microsoft Authenticator 電話サインイン、一時アクセス パスなどのより強力なサインイン方法に置き換えることで、フィッシングと資格情報の盗難を軽減します。

Microsoft Intuneでは、パスワードレス資格情報は発行されません。 代わりに、デバイス、アプリ、ユーザー エクスペリエンスを準備して、これらのパスワードレスメソッドが大規模に確実に機能するようにします。 Microsoft Entra IDは、資格情報を検証し、認証と条件付きアクセス ポリシーを適用する ID 機関ですが、Microsoft Intuneはデバイス設定の構成、コンプライアンスの適用、およびこれらのメソッドが依存するプラットフォーム機能を有効にします。 Microsoft Entra IDとMicrosoft Intuneを組み合わせることで、さまざまなプラットフォームとフォーム ファクターでパスワードレス認証を採用するために必要な ID 基盤とデバイスの準備が提供されます。

パスワードレス エクスペリエンスはプラットフォームによって異なります。 Windows では、通常、SSO を使用してデバイスサインインとアプリ アクセスの両方にまたがっています。 macOS では、ディープ デバイス バインド ID ではなく、プラットフォーム認証とアプリへの SSO を中心としています。 iOS/iPadOS と Android では、多くの場合、デバイスのサインインよりも、アプリのサインイン、ブローカー認証、およびパスキーの動作に焦点を当てます。 プラットフォームの要件を評価し、デプロイを計画する場合は、これらの違いを念頭に置いておきます。

この記事では、Microsoft Intuneが管理者の観点からパスワードレス戦略をサポートする方法について説明します。 デプロイの詳細については、各パスワードレス メソッドの実装リンクに従ってください。

Microsoft のパスワードレス ソリューションのしくみ

Microsoft のパスワードレス ソリューションは、ID とシングル サインオン (SSO) のMicrosoft Entra IDと、デバイスの構成とポリシーの適用のためのMicrosoft Intuneを組み合わせています。 この組み合わせにより、ユーザーはパスワードを入力せずに、生体認証、FIDO2 セキュリティ キー、パスキーなどの強力な資格情報を使用して認証できます。

Microsoft Entra IDはコア ID プロバイダーです。 Windows Hello PIN、FIDO2 キー、パスキーなどのパスワードレス資格情報を検証します。 認証が成功した後、Microsoft Entra IDはプライマリ更新トークン (PRT) またはそれと同等のトークンを発行し、Microsoft 365、Azure、およびその他の保護されたリソースへのシームレスな SSO を有効にします。 条件付きアクセス ポリシーは、アクセスを許可する前に、デバイスの状態、認証強度、およびリスク信号を評価します。

Microsoft Intuneは、設定を構成し、コンプライアンスを適用し、必要なアプリを展開し、大規模にパスワードレスを実用的にするプラットフォーム エクスペリエンスをサポートすることで、パスワードレス サインイン用のデバイスを準備します。 Microsoft Intuneでは、管理者に Windows、macOS、iOS/iPadOS、Android 用の 1 つの管理プレーンが提供されます。

Windows、macOS、iOS、および Android のプラットフォーム機能は、生体認証、セキュリティで保護されたハードウェア (Windows 上の TPM、macOS 上の Secure Enclave)、パスキーのサポート、仲介型シングル サインオンなど、デバイスバインドエクスペリエンスを提供します。

この分離は重要です。 Microsoft Entra IDは ID 機関です。 Microsoft Intuneは、ユーザーがこれらの方法を正常に採用して使用するのに役立つ管理レイヤーです。

パスワードレス、MFA、フィッシングに対する耐性

パスワードレス認証では、セキュリティ要因は排除されません。 ほとんどのパスワードレスメソッドは、実際には多要素認証 (MFA) 要件を満たしています。 たとえば、Windows Helloでは、デバイスバインド資格情報 (所有) と生体認証ジェスチャ (インハレンス) または PIN (ナレッジ) を組み合わせて使用し、MFA を設計で満たします。 その結果、条件付きアクセス認証強度ポリシーは、多くのパスワードレスメソッドを MFA 準拠 または フィッシング耐性 MFA として分類します。

すべてのパスワードレス オプションで同じレベルの保護が提供されるわけではありません。 フィッシング耐性と非 フィッシング耐性 の方法の違い を 理解することは、適切な認証強度を選択し、セキュリティで保護された ID 戦略を設計するのに役立ちます。

• フィッシングに強い 方法では、ユーザーが悪意のあるプロンプトやスプーフィングされたプロンプトと対話した場合でも、傍受または再生できないハードウェアバインドの非対称暗号化キーを使用します。
• 非フィッシング対応 の方法ではパスワードレス フローを使用しますが、ソーシャル エンジニアリング、迅速な操作、MFA 疲労によって侵害される可能性があります。

この記事で後述する各方法には、フィッシング耐性のレベルが含まれています。

詳細情報

• Microsoft Entra IDのパスワードレス認証オプション
• Microsoft Entra IDでのフィッシング耐性パスワードレス認証のデプロイの概要

Microsoft Intuneを使用したパスワードレス認証の利点

Microsoft Intune、Microsoft Entra ID、プラットフォームの機能を一緒に使用すると、organizationが向上します。

• シームレス シングル サインオン: ユーザーはデバイスに 1 回サインインし、アプリ、クラウド サービス、場合によってはオンプレミス リソースへの自動アクセスを取得します。 パスワード リセット呼び出しと認証プロンプトの繰り返しは削除されます。
• デバイス間でのユーザーの利便性: ユーザーは、デバイス間でネイティブで一貫性のあるエクスペリエンスを実現します。 os サインインを使用Windows Hello、macOS は Touch ID をMicrosoft Entra IDと統合し、モバイル プラットフォームでは Microsoft Authenticator とプラットフォーム のパスキーを使用します。 ユーザーは、デバイスごとに個別のパスワードをジャグリングする必要はありません。
• セキュリティ体制の強化: フィッシングに強い方法により、資格情報の盗難や攻撃の再生を防ぎます。 デバイス コンプライアンス のゲートにより、有効な資格情報でも正常なマネージド デバイスからのみ機能し、ゼロ トラスト原則に合わせて動作します。
• IT サポートの負荷を軽減: パスワードのリセットが少なくなり、一時アクセス パスによるオンボードがスムーズになり、セルフサービス復旧オプションによってヘルプデスクのボリュームが減ります。
• 将来に備えたアーキテクチャ: 標準の進化に伴い、同期されたパスキーやハードウェアでサポートされる資格情報を含む新しいパスワードレス メソッドは、大きな再設計を必要とせずに、同じMicrosoft Entra ID + Microsoft Intune アーキテクチャにプラグインできます。

パスワードレス導入Microsoft Intune推進する方法

Microsoft Intuneでは、強力で最新の資格情報を使用するようにデバイスとアプリケーションが適切に構成されていることを確認することで、パスワードレス認証を有効にし、運用化します。 Microsoft Entra IDは ID と認証ポリシーを管理しますが、Microsoft Intuneはパスワードレスメソッドが依存するデバイス環境を準備します。

主なコントリビューションは次のとおりです。

• デバイスの準備: パスワードレス サインイン フローに参加できるように、デバイスを登録、登録、構成します。
• 構成の展開: Windows Hello for Business、証明書ベースの認証、Apple Platform SSO、および同様のプラットフォーム機能に必要なポリシーを提供します。
• コンプライアンスとアクセスシグナル: アクセスを許可する前に条件付きアクセスが評価するデバイスの正常性とコンプライアンス データを提供します。
• アプリとブローカーのプロビジョニング: ID ブローカーとパスワードレス SSO シナリオを有効にするコア アプリケーション (Microsoft Authenticator や Microsoft Intune ポータル サイト など) をデプロイします。
• 統合クロスプラットフォーム管理: Windows、macOS、iOS/iPadOS、Android 全体で一貫したポリシーと管理フレームワークを提供し、エンタープライズ展開を合理化します。

ユーザーが使用できるパスワードレスの方法は、デバイス プラットフォームと、Microsoft Entra IDで有効になっている認証オプションの両方によって異なります。 Microsoft Intuneは、各デバイスが準備され、構成され、安全で信頼性の高いパスワードレス エクスペリエンスを提供できることを保証します。

Windows Hello

フィッシングに対する耐性

Windows Helloは、パスワードを、TPM に生成されてシールされたデバイスバインド非対称キーに置き換えます。 キーへのアクセスは、PIN または生体認証ジェスチャ (指紋または顔認識) によって制御され、所有と一貫性がシングル サインイン ステップで組み合わされます。 この方法は、Windows デバイス用のハードウェアでサポートされ、フィッシングに耐性があります。

Intuneの役割
Microsoft Intuneでは、Windows Hello for Businessポリシー設定を配信して適用することで、Windows デバイスをWindows Hello用に準備します。

このメソッドは、次の操作を行う必要がある場合に最も関連します。

• パスワードレス サインイン用にクラウドファーストの Windows デバイスを準備します。
• 登録中および継続的な管理中にWindows Hello for Businessポリシー設定を配信します。
• Windows サインインをデバイスのコンプライアンスと最新の管理に合わせます。

詳細情報

• Windows Hello for Businessの概要
• 組織向けのパスワードレス戦略ガイド

FIDO2 セキュリティ キー

フィッシングに対する耐性

FIDO2 セキュリティ キーは、FIDO 資格情報を格納し、デバイス プラットフォームに依存せずにフィッシングに耐性のある認証を提供する物理デバイス (USB、NFC、またはBluetooth) です。 資格情報はハードウェア キーにバインドされ、暗号化チャレンジによって検証されるため、インターセプトまたは再生することはできません。 FIDO2 キーは、共有デバイス、高保証環境、またはプラットフォーム ベースの資格情報と共に回復パスとして最適です。

Intuneの役割
Microsoft Intuneは、サポートされているプラットフォームと関連するサインイン エクスペリエンスを管理することで、デバイスがこの方法の準備を整えるのに役立ちます。

この方法は、多くの場合、組織が必要な場合に適しています。

• 共有または特殊化されたデバイス用の移植可能なパスワードレス オプション。
• 1 つのプラットフォームまたは Microsoft Authenticator に関連付けられていない強力なフィッシング耐性オプション。
• プラットフォーム ベースの資格情報と共に回復または代替パス。

実装ガイダンスについては、次を参照してください。

• Microsoft Entra IDのパスワードレス認証オプション

パスキー

フィッシングに対する耐性

パスキーは、デバイスバインドまたはデバイス間で同期できる FIDO 資格情報の標準ベースの傘です。 Microsoft Entra IDでは、次を使用できます。

• iOS 17 以降と Android 14 以降の Windows Hello または Microsoft Authenticator 経由など、単一のデバイス上のセキュリティで保護されたハードウェア (TPM または Secure Enclave) に格納されているデバイスバインド のパスキー。
• プラットフォーム パスワード マネージャー (iCloud キーチェーンや Google パスワード マネージャーなど) またはサポートされているサードパーティ プロバイダーによって管理される同期されたパスキー。これにより、クロスデバイスでの使用が可能になります。
• Windows Microsoft Entraパスキーは、生体認証検証にWindows Helloを使用するが、デバイスの参加や登録は必要ない FIDO2 パスキーです。 ユーザーは、同じデバイス上の複数のMicrosoft Entra アカウントに対して複数のパスキーを登録できるため、共有デバイス、アンマネージド エンドポイント、Windows Hello for Businessがプロビジョニングされていないシナリオに適しています。

Intuneの役割
Microsoft Intuneの観点から見ると、パスキーは主にプラットフォームとアプリの準備性に関するものです。プラットフォーム間でパスキーの導入を実行可能にするデバイスとアプリの前提条件を管理します。

この依存関係は、次の場合に特に重要です。

• プラットフォームのサインインとWindows Helloが、より広範なパスワードレス計画と交差できる Windows。 Windows Microsoft Entraパスキーは、登録または参加していないデバイスにパスキーカバレッジを拡張し、マネージド デバイス上のWindows Hello for Businessを補完します。
• iOS/iPadOS と Android。パスキーはモバイル デバイスの状態とアプリ ブローカーの動作に依存します。
• macOS。プラットフォーム ID の統合とユーザー サインインで導入が形成されます。

実装ガイダンスについては、次を参照してください。

• Microsoft Entra IDのパスワードレス認証オプション
• Windows でのパスキーのMicrosoft Entra

Microsoft Authenticator 電話サインイン

フィッシングに強くない

Microsoft Authenticator 電話サインインは、パスワードを、ユーザーの信頼できるモバイル デバイスでのプッシュベースの承認と番号照合に置き換えます。 これは便利で広くサポートされていますが、ハードウェアにバインドされた資格情報ではなくプッシュ通知に依存しています。つまり、MFA プロンプト操作などのフィッシング攻撃を完全に防ぐわけではありません。

注:

Microsoft Authenticator は、フィッシングに耐性のあるデバイス バインド パスキー (iOS 17 以降、Android 14 以降) を格納することもできます。 このセクションでは、プッシュベースの電話サインイン フローについて具体的に説明します。

Intuneの役割
Microsoft Intuneでは、モバイル アプリとデバイスの前提条件をデプロイして管理することで、このフローをサポートします。

多くの環境では、このサポートには次のものが含まれます。

• Microsoft Authenticator をマネージド モバイル デバイスに展開する。
• Microsoft アプリ全体で仲介型サインイン エクスペリエンスをサポートします。
• より広範なモバイル アクセス設計の一部であるモバイル プラットフォームに関するアプリ保護ポリシーに関する考慮事項を考慮します。

実装ガイダンスについては、次を参照してください。

• Microsoft Entra IDのパスワードレス認証オプション

一時アクセス パス

永続的な方法ではありません 。オンボードと回復に使用されます

一時的なアクセス パス (TAP) は、ユーザーが長期的なパスワードレスセットアップを完了する前にアクセスをブートストラップまたは回復するために管理者が発行する時間制限付き資格情報です。 TAP は永続的なパスワードレスの方法ではなく、フィッシング耐性ではありませんが、パスワードを発行せずに最初のサインインの問題を解決するため、多くの場合、ロールアウトの成功に不可欠な部分です。

Intuneの役割
Microsoft Intuneの観点から、一時的なアクセス パスは、次の場合に重要です。

• パスワードレス メソッドへのオンボードを簡略化します。
• デプロイ中の一時的なパスワードへの依存を減らします。
• オンボード シナリオをマネージド Windows デバイスのセットアップに接続します。

TAP を使用した 1 日 0 日のオンボード

パスワードレスデプロイの一般的な課題は 、鶏と卵 の問題です。新しいユーザーは、パスワードレス資格情報を登録するためにサインインする必要がありますが、その最初のサインインのパスワードを発行する必要はありません。 TAP は、デバイスの初期セットアップと資格情報の登録に有効期間の短い資格情報を提供することで、この問題を解決します。

一般的なオンボード フローは次のようになります。

1. 管理 TAP を発行する — IT 管理者または自動化ワークフローは、Microsoft Entra 管理センターまたは Microsoft Graph API経由で、新しいユーザーの時間制限付き TAP を生成します。
2. ユーザーがデバイスを設定する — ユーザーは、Windows Autopilot OOBE、macOS セットアップ アシスタント、モバイル デバイス登録中に TAP を入力します。 Windows 11、Web サインインでは、ロック画面で TAP エントリを直接有効にします。
3. ユーザーがパスワードレス メソッドを登録する — TAP でサインインすると、ユーザーは、Windows Hello、FIDO2 セキュリティ キー、Microsoft Authenticator のパスキー、または別のパスワードレス メソッドを登録するように求められます。 これは TAP に代わる永続的な資格情報です。
4. TAP の有効期限 — TAP は単一使用または時間制限 (構成可能) であるため、ユーザーがパスワードレス メソッドを登録した後に再利用することはできません。

このフローにより、一時パスワードを発行してから取り消す必要がなくなります。また、最初のサインインからマネージド オンボード パスをMicrosoft Intuneできます。

実装ガイダンスについては、次を参照してください。

• 一時アクセス パスを使用する
• Windows Autopilot の概要
• Windows の Web サインイン

証明書ベースの認証 (CBA)

フィッシングに対する耐性

証明書ベースの認証 (CBA) では、デジタル証明書と非対称暗号化を使用して ID を検証し、フィッシングに対する耐性を高め、資格情報の再生を防止します。 これは、多くの場合、PIVやCACなどのスマートカードを通じて、規制された業界や政府環境で広く採用されています。 Microsoft Intuneが主にデバイス環境を準備する他のパスワードレスメソッドとは異なり、CBA は、資格情報自体を配布Microsoft Intune直接の役割を果たす領域の 1 つです。

Intuneの役割
Microsoft Intuneでは、証明書の配信に対して次の 2 つのインフラストラクチャ モデルがサポートされています。

• オンプレミス PKI: 既存の証明機関 (CA) を持つ組織は、Microsoft Intuneの証明書コネクタを使用して、オンプレミスの PKI をMicrosoft Intuneとブリッジできます。 コネクタを使用すると、Microsoft Intuneは、既存の CA インフラストラクチャを使用して、SCEP および PKCS 証明書プロファイルをマネージド デバイスにデプロイできます。 このモデルは、エンタープライズ CA を既に運用している組織や、確立された PKI 投資と統合する必要がある組織に適しています。
• Microsoft Cloud PKI: オンプレミスの証明書インフラストラクチャを簡素化または排除する組織の場合、Microsoft Cloud PKI は、Microsoft Intune Suiteの一部としてクラウドベースの CA を提供します。 クラウド PKI の問題と、オンプレミスのサーバー、コネクタ、またはハードウェア セキュリティ モジュールを必要とせずに証明書を管理します。

インフラストラクチャ モデルに関係なく、Microsoft Intuneは証明書プロファイルを使用してデバイスに証明書を配信します。

• 信頼されたルート証明書プロファイル は、デバイスが信頼チェーンを確立できるように、CA のルート証明書を配布します。
• SCEP 証明書プロファイルは 、SCEP 対応 CA から証明書を要求して展開します。
• PKCS 証明書プロファイルは 、PKCS #12 標準を使用して証明書を要求してデプロイします。
• インポートされた PFX 証明書プロファイルは、Microsoft Intuneにインポートされる事前に生成された証明書をデプロイします。

これらのプロファイルは、Windows、macOS、iOS/iPadOS、および Android で機能するため、Microsoft Intune、オンプレミスまたはクラウドベースの PKI インフラストラクチャを、Microsoft Entra IDで定義されている ID メソッドに接続する配信メカニズムになります。

実装ガイダンスについては、次を参照してください。

• Microsoft Intune で認証に証明書を使用する
• Microsoft Cloud PKI の概要
• Certificate Connector for Microsoft Intune
• Microsoft Entra IDのパスワードレス認証オプション

前提条件

パスワードレスデプロイを計画する前に、使用する方法のライセンスとプラットフォームの要件を環境が満たしていることを確認します。 一部のパスワードレス機能では、特定のMicrosoft Entra IDまたはMicrosoft Intuneライセンスレベルが必要であり、各方法には最小 OS バージョン要件があります。

ライセンスの要件

選択したパスワードレスの方法によっては、organizationで P1 または Microsoft Entra ID P2 ライセンスをユーザーにMicrosoft Entra IDする必要がある場合と、デバイス管理と証明書配信用の特定のMicrosoft Intune ライセンスが必要になる場合があります。 次の表は、一般的なパスワードレス機能のライセンス要件をまとめたものです。

機能	ライセンス要件
Windows Hello	Microsoft Entra ID P1 (条件付きアクセスの適用用)
FIDO2 セキュリティ キー	Microsoft Entra ID P1
パスキー (デバイスバインドと同期)	Microsoft Entra ID P1
Microsoft Authenticator 電話サインイン	Microsoft Entra ID P1
一時アクセス パス	Microsoft Entra ID P1
証明書ベースの認証 (CBA)	Microsoft Entra ID P1 (リスクベースの条件付きアクセスの場合は P2)
認証強度ポリシー	Microsoft Entra ID P1
リスクベースの条件付きアクセス	Microsoft Entra ID P2
Microsoft クラウド PKI	Microsoft Intune Suiteまたはスタンドアロンのクラウド PKI ライセンス
デバイスコンプライアンスと構成プロファイル	Microsoft Intune プラン 1

詳細情報

• Microsoft Entraプランと価格
• Microsoft Intune のライセンス

プラットフォームの要件

この記事で説明するパスワードレス メソッドは、特定の OS バージョンでのみ使用できる特定のプラットフォーム機能に依存します。 次の表は、各メソッドのプラットフォーム要件をまとめたものです。

メソッド	Windows	macOS	iOS/iPadOS	Android
Windows Hello	サポートされているすべての Windows クライアント	—	—	—
FIDO2 セキュリティ キー	サポートされているすべての Windows クライアント	—	—	—
パスキー	Windows 11	サポートされているすべてのバージョン	サポートされているすべてのバージョン	Android 14 以降
Microsoft Authenticator のデバイス バインド パスキー	—	—	サポートされているすべてのバージョン	Android 14 以降
プラットフォーム SSO (Secure Enclave)	—	サポートされているすべてのバージョン	—	—
Web サインイン (ロック画面での TAP)	Windows 11	—	—	—
Microsoft Authenticator 電話サインイン	—	—	サポートされているすべてのバージョン	Android 11 以降

注:

サポートされているとは、現在、完全な機能、ポリシーの展開、管理Microsoft Intuneサポートされているオペレーティング システムのバージョンを指します。
プラットフォームのバージョン要件は、リリース サイクルごとに変更される可能性があります。 デプロイする特定の方法については、製品ドキュメントの現在の要件を常に確認してください。

詳細情報

• Intune でサポートされるオペレーティング システム

プラットフォームに関する考慮事項

パスワードレスは 1 つの機能ではありません。 これは、ID とデバイス管理にMicrosoft IntuneにMicrosoft Entra IDに依存するプラットフォーム固有のエクスペリエンスのセットです。

Windows

Windows は、デバイス登録、クラウド サインイン、セキュリティ体制、パスワードレス ユーザー エクスペリエンスの連携の最も完全な例です。

Microsoft Intuneでは、一般的に次の方法で Windows パスワードレス シナリオがサポートされます。

• クラウドファースト、Microsoft Entra参加済みデバイスの準備。
• Windows Hello for Business構成の配信。
• FIDO2 セキュリティ キー エクスペリエンスをサポートします。
• デバイスの準備をコンプライアンスと最新の管理に合わせます。
• Windows Autopilot に接続できるオンボード エクスペリエンスをサポートします。

ユーザーが Windows Hello または FIDO2 キーを使用してサインインすると、Windows はMicrosoft Entra IDからプライマリ更新トークンを取得します。 この PRT を使用すると、Microsoft 365 アプリ、SaaS アプリケーション、および Cloud Kerberos Trust が構成されている場合に、ファイル共有などのオンプレミス リソースへのシームレスな SSO が可能になり、追加のサインイン プロンプトは表示されません。

詳細情報

• Windows Hello for Businessの概要
• 組織向けのパスワードレス戦略ガイド
• Windows Autopilot の概要

ハイブリッドとレガシに関する考慮事項

この記事で説明するパスワードレス エクスペリエンスは、Microsoft Entra参加済みデバイスを使用したクラウドファーストの方向を前提としています。 ハイブリッド Microsoft Entra参加済みデバイスを持つ組織は、次の違いに注意する必要があります。

• Web サインイン (Windows ロック画面で TAP に使用) は、ハイブリッド Microsoft Entra参加済みデバイスではなく、Microsoft Entra参加済みデバイスでのみサポートされます。
• Windows Hello for Businessは、Microsoft Entra参加済みデバイスとハイブリッド Microsoft Entra参加済みデバイスの両方で動作しますが、ハイブリッド展開では、信頼モデルによっては追加のインフラストラクチャが必要になる場合があります。
• Microsoft Entra参加済みデバイスからのオンプレミス リソース アクセスには、クラウド Kerberos 信頼または証明書ベースの信頼が必要です。 Cloud Kerberos 信頼は、Kerberos 認証に証明書をデプロイする必要がないため、推奨されるモデルです。 詳細については、「cloud Kerberos trust deployment](/windows/security/identity-protection/> hello-for-business/deploy/hybrid-cloud-kerberos-trust)」を参照してください。
• Active Directory Kerberos 認証を必要とするレガシ アプリケーションは、パスワードレスメソッドでも動作しますが、NTLM または直接 LDAP バインドを必要とするアプリケーションでは、追加の計画が必要になる場合があります。

環境がハイブリッドの場合は、Microsoft Entra参加済みデバイスから始まるパスワードレス ロールアウトを計画し、インフラストラクチャがサポートするハイブリッド Microsoft Entra参加済みデバイスに拡張します。

詳細情報

• 参加済みデバイスのシングル サインオンMicrosoft Entra構成する

macOS

macOS では、パスワードレスの計画は、Microsoft Entra IDプラットフォームのサインインとシングル サインオンエクスペリエンスとの統合方法によって異なります。 Microsoft Intuneは、Apple に焦点を当てた ID 統合に必要なデバイス構成を提供します。

Microsoft Enterprise SSO プラグインと Apple のプラットフォーム SSO フレームワークを使用Microsoft Intune、ユーザーが Microsoft Entra ID 資格情報を使用して Mac にサインインできる構成をデプロイできます。 Secure Enclave キーメソッドを使用して構成すると、Windows Helloと同様に、フィッシングに対する耐性のあるハードウェアによるサインイン エクスペリエンスが提供されます。

この情報は、計画する際に重要です。

• プラットフォーム SSO と関連するサインイン エクスペリエンス。
• デバイスと Microsoft アプリの間のシングル サインオン。
• Windows およびモバイル デバイスと共に一貫した管理モデル。

詳細情報

• Microsoft Enterprise SSO プラグインと Apple デバイスのプラットフォーム SSO
• macOS デバイスのプラットフォーム SSO 構成ガイド

iOS と iPadOS

iOS と iPadOS では、パスワードレス計画では、デバイスのサインインよりも、アプリのサインイン、ブローカー認証、およびパスキーの動作に重点を置いています。 Microsoft Intuneは、ユーザーのエクスペリエンスを一貫性のあるものにするアプリと設定をデプロイおよび管理します。

iOS 上の Microsoft SSO 拡張機能は、Microsoft とサード パーティのアプリ間で認証要求を傍受でき、デバイスの初期セットアップ後にシームレスにサインインできます。 Microsoft Authenticator は認証ブローカーとして機能し、フィッシングに耐性のある認証のために、iOS 17 以降にデバイス バインド パスキーを格納することもできます。

詳細情報

• Microsoft Enterprise SSO プラグインと Apple デバイスのプラットフォーム SSO
• Microsoft Entra IDのパスワードレス認証オプション
• iOS/iPadOS デバイスで Microsoft Enterprise SSO プラグインを使用する

Android

Android では、Microsoft Intuneは、パスワードレス認証フローとブローカー認証フローが依存するマネージド コンテキストを確立します。 このコンテキストは、Microsoft Authenticator または関連するアプリ エクスペリエンスがモバイル アクセス設計の一部である場合に特に関連します。

ポータル サイトと Microsoft Authenticator の両方が Android 上の認証ブローカーとして機能できます。 ユーザーがブローカーを介してサインインした後、Microsoft Entra IDはプライマリ更新トークンを発行し、作業プロファイル内のすべてのブローカー対応アプリで SSO を有効にします。 Android 14 以降では、Microsoft Authenticator は、フィッシング耐性認証用のデバイス バインド パスキーを格納することもできます。

詳細情報

• Microsoft Entra IDのパスワードレス認証オプション

パスワードレス認証の依存関係

ゼロ トラスト アーキテクチャ

パスワードレス認証は、より広範な ID とデバイス アクセス戦略の一部です。 Microsoft Intune管理者の場合、通常、計画には次のレイヤーが含まれます。

• ID: Microsoft Entra IDでのフィッシングに対する耐性のある認証方法。
• デバイスの信頼: 登録、コンプライアンス、構成Microsoft Intune。
• アクセス ポリシー: 条件付きアクセスと関連する除外計画。
• データ保護: アクセスが許可された後にコンテンツを保護するのに役立つ Microsoft Purview 機能。
• 調査と対応: リスクまたは侵害に関するフォローアップが必要な場合に、Microsoft Defenderシグナルとワークフローを提供します。

詳細情報

• ゼロ トラストとは
• Microsoft 365 組織の一般的なセキュリティ ポリシー

条件付きアクセス

条件付きアクセスは、アクセスを許可する前に、デバイスの状態や認証強度などの信号を評価します。 パスワードレスメソッドと組み合わせると、条件付きアクセスでは、フィッシング耐性 MFA を必要とする認証強度ポリシーを適用できます。パスワードや SMS コードなどの脆弱な方法をブロックすることで、効果的にパスワードレスを管理できます。

パスワードレスと共に条件付きアクセスを実装する場合は、誤ってロックアウトされるシナリオを防ぐための緊急アクセス計画も考慮します。

詳細情報

• 条件付きアクセス ポリシーを構築する
• 条件付きアクセス認証の強み

緊急アクセスと復旧

パスワードを削除する際の一般的な問題は、ユーザーが唯一のパスワードレス デバイス (電話、FIDO2 キー、またはWindows Helloを持つノート PC) を失ったときにどうなるかです。 復旧計画がないと、管理者はサポートのエスカレーションに直面し、重要なリソースからユーザーをロックアウトできます。

パスワードレスデプロイの一部として、次のシナリオを計画します。

• 緊急アクセス アカウント: 条件付きアクセス ポリシーとパスワードレス適用から除外される、少なくとも 2 つのブレークグラス アカウントを維持します。 これらのアカウントは、構成ミスや停止によって他のすべてのアクセスがブロックされた場合にフォールバック パスを提供します。 資格情報を安全に保存し、これらのアカウントのサインイン アクティビティを監視します。
• 一時アクセス パスを使用した復旧: ユーザーがパスワードレス デバイスを紛失した場合、管理者は新しい TAP を発行して、ユーザーがサインインして代替資格情報を登録できるようにします。 この方法では、ユーザーをパスワードにリセットすることを回避し、復旧フローをパスワードレス モデル内に保持します。
• 複数の登録済みメソッド: 可能な限り、複数のパスワードレス メソッドを登録することをお勧めします。 たとえば、ノート PC で Hello for Business を使用するユーザーは、電話で Microsoft Authenticator にパスキーを登録することもできます。 一方のデバイスが失われた場合でも、もう一方の方法は引き続き機能します。
• セルフサービス資格情報の管理: ユーザーは 、マイ セキュリティ情報で認証方法を管理できます。 TAP ベースの回復と組み合わせると、この方法により、資格情報のリセットに対するヘルプデスクの依存関係が減ります。
• Verified IDによる総損失回復: ユーザーが登録済みのすべての資格情報とデバイスを失うシナリオでは、Verified IDを使用してアカウントの回復をMicrosoft Entra、パスワードやヘルプデスクが発行した資格情報に依存しない ID 検証済みの回復パスが提供されます。

パスワードレスを適用する前に回復を計画することが不可欠です。 回復パスのないパスワードをブロックするロールアウトでは、管理者とユーザーの移行に対する信頼を損なうロックアウト シナリオの種類が作成されます。

詳細情報

• Microsoft Entra IDで緊急アクセス アカウントを管理する
• Microsoft Entra Verified IDを使用したアカウントの回復

コンプライアンスとデバイスの準備

パスワードレスは、多くの場合、ユーザーがエクスペリエンスに依存する前に、デバイスが適切な状態にあるかによって異なります。 準備には通常、次のものが含まれます。

• サポートされているデバイス プラットフォームとバージョン
• デバイスの登録または登録
• 必要なアプリとブローカー
• メソッド固有の構成プロファイルと ID の前提条件

検証と進行中の操作

パスワードレスデプロイを検証するために、一般的なチェックポイントは次のとおりです。

• サインイン ログのMicrosoft Entra
• デバイスとポリシーのレポートをMicrosoft Intuneする
• デプロイするパスワードレスメソッドのプラットフォーム固有の検証エクスペリエンス。

ユーザーの導入とコミュニケーション

技術的な準備は、パスワードレス ロールアウトの一部にすぎません。 パスワードに慣れているユーザーは、サインイン フローが変更されたときに混乱や抵抗が発生する可能性があります。 ユーザーのコミュニケーションとサポートを計画すると、スムーズな移行と広範なヘルプデスクエスカレーションの違いが生じます。

次のプラクティスを検討してください。

• 変更を早い段階で伝える: サインイン エクスペリエンスが変化していること、変更される理由、および期待する内容をユーザーに知らせます。 利点に焦点を当てる - 覚えておくパスワードの数を減らしたり、サインインを高速化したり、セキュリティを強化したりします。
• プラットフォーム固有のガイダンスを提供する: パスワードレス エクスペリエンスは、Windows (Hello 生体認証または PIN)、macOS (プラットフォーム SSO を使用したタッチ ID)、iOS (Authenticator または passkeys)、Android (Authenticator ブローカー) で異なります。 ユーザーが持つプラットフォームに合わせて通信を調整します。
• パイロット グループを特定する: organization全体でパスワードレスを適用する前に、エクスペリエンスをテストしてフィードバックを提供できるユーザーのグループから始めます。 IT スタッフ、早期導入者、セキュリティ対応チームは、多くの場合、適切な候補です。
• ヘルプデスク スタッフを準備する: 復旧のために一時アクセス パスを発行する方法、資格情報の登録を通じてユーザーをガイドする方法、問題が発生したときにサインイン ログをチェックする場所をサポート チームが認識していることを確認します。

詳細情報

• エンド ユーザーのロールアウト テンプレートと資料をMicrosoft Entraする
• 認証方法アクティビティ

関連記事

• Microsoft Entra IDのパスワードレス認証オプション
• Microsoft Entra IDでフィッシング耐性パスワードレス認証を展開する
• Windows Hello for Businessの概要
• 組織向けのパスワードレス戦略ガイド
• Microsoft Enterprise SSO プラグインと Apple デバイスのプラットフォーム SSO
• 一時アクセス パスを使用する
• Microsoft Intune で認証に証明書を使用する
• Microsoft Cloud PKI の概要
• Windows Autopilot の概要
• 条件付きアクセス ポリシーを構築する
• ゼロ トラストとは
• Microsoft 365 組織の一般的なセキュリティ ポリシー
• 学生のパスワードレス