Microsoft Entra ID でパスワードレス認証を実装する

  • 5 分

MFA を使用すると Contoso の侵害リスクが大幅に軽減されますが、パスワードベースのサインインでは引き続きフィッシングが攻撃パスとして残ります。 次の手順では、ユーザーを パスワードレス認証に移行します。サインインは、再利用可能なシークレットではなく、信頼されたデバイスとローカルの生体認証または PIN の所有に基づいています。

実際的には、パスワードレスにより、セキュリティとユーザー エクスペリエンスの両方が向上します。 ユーザーがサインインを完了する時間が短縮され、ヘルプ デスク チームに表示されるパスワード リセット要求が少なく、セキュリティ チームは資格情報の盗難やリプレイ攻撃への露出を減らします。

パスワードなしのメソッドをユーザー ペルソナに一致させる

Microsoft Entra ID では、複数のパスワードレスメソッドがサポートされています。 最適なデプロイ戦略は、すべてのユーザーに 1 つの方法を適用するのではなく、ペルソナによってメソッドを割り当てることです。

ペルソナ 推奨される方法 オルターナティブ
管理者と規制対象ユーザー FIDO2 セキュリティ キー Windows Hello for Business
法人の Windows デバイスを使用する会社員 Windows Hello for Business Microsoft Authenticator のパスキー
モバイル ユーザーとクロスプラットフォーム ユーザー Microsoft Authenticator のパスキー 同期されたパスキー
現場担当者または共有デバイス ワーカー FIDO2 セキュリティ キー Microsoft Authenticator のパスキー
BYOD ユーザー 同期されたパスキーまたはオーセンティケーターのパスキー FIDO2 セキュリティ キー

パスワードなしの展開パスを示す意思決定フロー図: 共有デバイスと現場線デバイスの FIDO2、会社のノート PC 用 Windows Hello for Business、モバイル ユーザー向けの Authenticator パスキー、デバイス持ち込みシナリオ用の同期されたパスキー。

Contoso では、機密性の高いシステムを管理する特権ロールは FIDO2 セキュリティ キーを受け取りますが、ほとんどのナレッジ ワーカーは、マネージド ノート PC では Windows Hello for Business を使用し、モバイルでは Authenticator パスキーを使用します。

マネージド Windows デバイス用に Windows Hello for Business を展開する

Windows Hello for Business (WHfB) は、デバイス ハードウェアによって保護され、PIN または生体認証ジェスチャを使用してローカルでロック解除された暗号化資格情報を作成します。 サインイン中にパスワードが送信されないため、フィッシング詐欺に対する耐性が大幅に向上します。

WHfB は、Intune またはグループ ポリシーによって管理される Microsoft Entra 参加済みまたはハイブリッド参加済み Windows デバイスに最適です。 互換性とエクスペリエンスを最大限に高める場合は、広範なロールアウトの前に、サポートされている Windows バージョンと TPM の可用性を検証してください。

段階的な有効化アプローチを使用します。

  1. パイロット グループの Windows Hello for Business ポリシーを有効にします。
  2. ターゲット ハードウェアでの生体認証と PIN のセットアップを検証します。
  3. すべての企業 Windows ユーザーに展開します。
  4. サインインの成功とユーザー サポートの傾向を追跡します。

モバイル ユーザーとクロスプラットフォーム ユーザーに対して Microsoft Authenticator でパスキーを有効にする

プラットフォーム間で作業するユーザー向けに、 Microsoft Authenticator の Passkey は、移植可能なフィッシングに強い資格情報を提供します。 資格情報はモバイル デバイスでハードウェアでサポートされ、ローカルの生体認証または PIN を使用してロック解除されます。

Microsoft Entra 管理センターで、 Passkey (FIDO2) 認証方法ポリシーを構成し、適切なユーザー グループをターゲットにします。 ユーザーは 、[セキュリティ情報] ページから登録します。

ヒント

一時アクセス パス (TAP) を使用して、新規採用と回復のシナリオで初めてのパスワードレス登録をブートストラップします。

高保証シナリオの FIDO2 セキュリティ キーを発行する

FIDO2 セキュリティ キー は、特権管理者、規制対象ユーザー、および共有ワークステーション環境に最適です。 強力なフィッシング対策を提供し、1 つのデバイス プラットフォームに関連付けられません。

ポリシーで FIDO2 を構成する場合:

  • まず、最もリスクの高いユーザー層に対してキーを適用します。
  • 可能な場合は、承認されたキーまたは認証されたキーに制限します。
  • Microsoft の互換性と構成証明のガイダンスに照らして調達の選択を検証します。

Contoso の場合、これは、機密性の高いデータと管理サーフェイスにアクセスする管理者とコンプライアンスに重点を置いたチームの既定の方法です。

利便性が優先される同期されたパスキーを計画する

同期されたパスキー (プレビュー のサポート シナリオは異なる場合があります) は、複数の個人デバイスを持つユーザーの導入を改善できます。 利便性と広範なエコシステムのサポートのために、いくつかのエンタープライズ制御特性を交換します。

使いやすさが主要な導入ドライバーであるリスクの低い一般的なユーザー集団には、同期されたパスキーを使用します。 引き続き、特権ユーザーに対してハードウェア バインド資格情報 (WHfB または FIDO2) を使用します。

パスワードレス戦略をアプリケーションとサービス ワークロードに拡張する

OAuth 2.0/OpenID Connect で Microsoft Entra ID を使用する最新のほとんどのアプリケーションでは、アプリ コードを変更せずにパスワードなしのサインインを使用できます。 各クライアント プラットフォームのユーザー体験を検証して、動作を確認します。

人間以外の ID とバックエンド サービスの場合:

  • Azure でホストされるワークロード のマネージド ID を 優先します。
  • マネージド ID を使用できない場合は、有効期間の長いクライアント シークレットではなく、 証明書ベースの認証 を使用します。
  • 高い特権を持つサービス プリンシパルにワークロード ID 制御と監視を適用します。

段階的にロールアウトし、導入を測定する

段階的なロールアウトは、Contoso が中断を減らし、セキュリティの成果を向上させるのに役立ちます。

  1. パイロット: IT とセキュリティの早期導入者。
  2. 特権ロール: 管理者と影響の大きいユーザー。
  3. ビジネスクリティカルなチーム: 医療および運用スタッフ。
  4. 一般従業員: 登録キャンペーンによる広範な有効化。
  5. 最適化: 可能な場合はパスワードの依存を減らします。

信号の小さな、一貫性のあるセットで進行状況を監視します。

  • パスワードなしの方法で完了したサインインの割合。
  • ユーザー グループ別の登録完了率。
  • ログイン失敗の傾向を方法別に。
  • 認証に関連付けられているヘルプ デスク チケットのボリューム。

Contoso では、これらのメトリックによってポリシーのチューニング、ユーザー通信、サポートの準備がガイドされるため、パスワードレスはセキュリティで保護され、実用的な状態が維持されます。 パスワードレスメソッドをペルソナにマップし、段階的に展開することで、Contoso はフィッシングリスクを軽減しながら、ユーザーに迅速かつ低摩擦のアクセスを提供するように配置されています。