FIDO2 とパスワードレスの認証方法を管理する

  • 4 分

Microsoft Entra ID でのアカウントのサインイン エクスペリエンスの一部として、ユーザーが自分自身を認証する方法がいくつかあります。 従来、ユーザーが資格情報を提供する最も一般的な方法は、ユーザー名とパスワードです。 Microsoft Entra ID の先進的な認証とセキュリティ機能を使用して、基本パスワードをよりセキュアな認証方法で補完したり置き換えたりする必要があります。

Screenshot of the strengths and preferred authentication methods in Microsoft Entra ID.

Windows Hello、FIDO2 セキュリティ キー、Microsoft Authenticator アプリなどのパスワードレス認証方法は、最も安全なサインイン イベントを提供します。

多要素認証 (MFA) を使用すると、ユーザーがサインイン時にパスワードのみを使用する場合と比べて、セキュリティが強化されます。 ユーザーは、他の認証形式の入力を求められる場合があります。 また、プッシュ通知に応答し、ソフトウェアまたはハードウェア トークンからのコードを入力することが必要な場合があります。 最後に、SMS または電話に応答することが必要な場合があります。

MFA とセルフサービス パスワード リセット (SSPR) の両方に登録することにより、ユーザーのオンボード エクスペリエンスを簡略化することができます。 Microsoft では、セキュリティ情報の登録を組み合わせて使用できるようにすることをお勧めします。 回復性のために、ユーザーに対して、複数の認証方法を登録するように要求することをお勧めします。 サインインや SSPR の間にユーザーがある方法を使用できない場合、そのユーザーは別の方法で認証することを選択できます。

認証方法の強度とセキュリティ

組織で多要素認証のような機能を展開する場合は、使用可能な認証方法を確認してください。 セキュリティ、ユーザビリティ、および可用性の要件を満たす、あるいは超える方法を選択します。 可能であれば、最高レベルのセキュリティを実現する認証方法を使用してください。

次の表は、使用可能な認証方法のセキュリティに関する考慮事項の概要を示しています。 ここでいう可用性は、ユーザーがその認証方法を利用できるかどうかを示すものであり、Microsoft Entra ID のサービスの可用性ではありません。

Diagram of an X Y grid that shows inconvenient to convenient side to side and low security to high security top to bottom.

認証方法 Security 使いやすさ 可用性
Windows Hello for Business
Microsoft Authenticator アプリ
FIDO2 セキュリティ キー
OATH ハードウェア トークン (プレビュー) Medium Medium
OATH ソフトウェア トークン Medium Medium
SMS Medium Medium
音声 Medium Medium Medium
Password

ヒント

柔軟性と使いやすさを実現するために、Microsoft Authenticator アプリを使用することをお勧めします。 この認証方法は、パスワードレス、MFA のプッシュ通知、OATH コードなど、最適なユーザー エクスペリエンスと複数のモードを提供します。

各認証方法のしくみ

一部の認証方法は、アプリケーションやデバイスにサインインする際のプライマリ要素として使用できます。 プライマリ認証の適切な例としては、FIDO2 セキュリティ キーまたはパスワードを使用する方法があります。 その他の認証方法は、セカンダリ要素としてのみ使用できます。 たとえば、多要素認証や SSPR を使用する場合などです。

次の表は、サインイン イベント時に各認証方法がどのタイミングで使用できるかの概要を示しています。

方法 プライマリ認証 セカンダリ認証
Windows Hello for Business はい MFA
Microsoft Authenticator アプリ はい (プレビュー) MFA と SSPR
FIDO2 セキュリティ キー はい MFA
OATH ハードウェア トークン (プレビュー) いいえ MFA と SSPR
OATH ソフトウェア トークン いいえ MFA と SSPR
SMS はい (プレビュー) MFA と SSPR
音声通話 いいえ MFA と SSPR
Password はい

これらの認証方法はすべて、Azure portal で構成できます。また、Microsoft Graph REST API ベータ版を使用して構成することが増えています。

Note

パスワードは、Microsoft Entra ID で多くの場合にプライマリとして使用される認証方法の 1 つです。 パスワード認証方法を無効にすることはできません。 プライマリ認証要素としてパスワードを使用する場合は、多要素認証を使用してサインイン イベントのセキュリティを強化します。

特定のシナリオでは、次の認証方法を使用できます。

  • アプリ パスワード - 先進認証をサポートしておらず、ユーザーごとの多要素認証用に構成できる古いアプリケーションに使用されます。
  • セキュリティの質問 - SSPR にのみ使用されます。
  • メール アドレス - SSPR にのみ使用されます。

FIDO2 とは

FIDO (Fast IDentity Online) Alliance は、オープン認証仕様を促進し、認証形式としてパスワードを使用することを減らすのに役立ちます。 FIDO2 は、Web 認証 (WebAuthn) 仕様が組み込まれている最新の仕様です。 ユーザーは、FIDO2 セキュリティ キーを登録してから、サインイン インターフェイスで認証の主な手段として選択することができます。 この FIDO2 セキュリティ キーは通常、USB デバイスですが、Bluetooth または NFC (近距離無線通信) を使用することもできます。 認証を処理するハードウェア デバイスでは公開または推測が可能なパスワードがないため、アカウントのセキュリティが向上します。 FIDO2 セキュリティ キーを使用すると、Microsoft Entra ID またはハイブリッド Microsoft Entra 参加済み Windows 10 または 11 デバイスにサインインし、クラウドとオンプレミスのリソースにシングル サインオンできます。 ユーザーは、サポートされているブラウザーにサインインすることもできます。 FIDO2 セキュリティ キーは、セキュリティに非常に敏感であるか、2 番目のファクターとしての電話の使用を望まない、あるいは使用できないシナリオまたは従業員が存在する企業向けの優れたオプションです。

  • FIDO2 セキュリティ キーは、フォーム ファクターとして提供される可能性のある、フィッシングできない仕様ベースのパスワードレス認証方法です
  • Fast Identity Online (FIDO) は、パスワードレス認証用のオープン仕様です
  • FIDO により、ユーザーや組織がその仕様を利用し、外部のセキュリティ キーまたはデバイスに組み込まれているプラットフォーム キーを使用して、ユーザー名やパスワードなしでリソースにサインインできるようにします

FIDO2 セキュリティ キーの方法を有効にする

  1. Microsoft Entra 管理センターにサインインします。

  2. [保護][認証方法][認証方法ポリシー] の順に移動します。

  3. 方法 [FIDO2 セキュリティ キー] で、次のオプションを選択します。

    • 有効にする - [はい] または [いいえ]
    • ターゲット - [すべてのユーザー] または [ユーザーの選択]

  4. 構成を保存します。

ユーザーの登録と FIDO2 のセキュリティ キーを管理する

  1. https://myprofile.microsoft.com を参照します。
  2. まだサインインしていない場合はサインインします。
  3. [セキュリティ情報] を選択します。
  4. ユーザーが既に 1 つ以上の多要素認証方法を登録している場合は、FIDO2 セキュリティ キーをすぐに登録することができます。
  5. 少なくとも 1 つの多要素認証方法を登録していない場合は、いずれかを追加する必要があります。
  6. [方法の追加][セキュリティ キー] の順に選択して、FIDO2 セキュリティ キーを追加します。
  7. [USB デバイス] または [NFC デバイス] を選択します。
  8. キーを準備し、 [次へ] を選択します。
  9. ボックスが表示され、ユーザーは、セキュリティ キーの PIN を作成および入力してから、生体認証または指紋認証でキーに必要なジェスチャを実行するよう求められます。
  10. ユーザーは、結合された登録エクスペリエンスに戻り、キーが複数ある場合にキーを見分けられるよう、わかりやすい名前を指定することを求められます。 [次へ] を選択します。
  11. [完了] を選択してプロセスを完了します。

パスワードなしの資格情報でサインインする

以下の例では、ユーザーは既に自分の FIDO2 セキュリティ キーをプロビジョニングしています。 ユーザーは、Windows 10 バージョン 1903 以降または Windows 11 でサポートされているブラウザーで、FIDO2 セキュリティ キーを使用して Web 上でサインインすることを選択できます。

Screenshot of the security key sign-in for Microsoft Edge. Great multifactor verification process.

クラウドのみのデプロイの前提条件

  • Windows 10 バージョン 1511 以降または Windows 11
  • Microsoft Azure アカウント
  • Microsoft Entra ID
  • 多要素認証
  • 最新の管理 - "オプション" の Microsoft Intune またはサポートされているサードパーティのモバイル デバイス管理 (MDM)
  • Microsoft Entra ID Premium サブスクリプション - "オプション"。デバイスが Microsoft Entra ID に参加するときに MDM の自動登録に必要