Windows でのパスキーのサポート

パスキーは、パスワードと比較して、Web サイトやアプリケーションにログインするためのより安全で便利な方法を提供します。 ユーザーが記憶して入力する必要があるパスワードとは異なり、パスキーはデバイスにシークレットとして格納され、デバイスのロック解除メカニズム (生体認証や PIN など) を使用できます。 パスキーは、他のサインインの課題を必要とせずに使用できるため、認証プロセスの高速化、セキュリティ保護、および利便性が向上します。

パスキーは、それらをサポートするすべてのアプリケーションまたは Web サイトで使用して、Windows Helloを作成してサインインできます。 パスキーが作成され、Windows Helloで保存されたら、デバイスの生体認証または PIN を使用してサインインできます。 または、コンパニオン デバイス (電話またはタブレット) を使用してサインインすることもできます。

注

Windows 11 バージョン 22H2 と KB5030310 以降、Windows はパスキー管理にネイティブ エクスペリエンスを提供します。 ただし、パスキーは、サポートされているすべてのバージョンの Windows クライアントで使用できます。

この記事では、Windows デバイスでパスキーを作成して使用する方法について説明します。

パスキーのしくみ

Microsoft は長い間 FIDO Alliance の創設メンバーであり、Windows Helloなどのプラットフォーム認証子内でパスキーをネイティブに定義して使用するのに役立ちました。 パスキーは、すべての主要なプラットフォームで採用されている FIDO 業界標準を利用します。 Microsoft のような大手テクノロジ企業は、FIDO Alliance の一部としてパスキーをバッキングしており、多数の Web サイトやアプリがパスキーのサポートを統合しています。

FIDO プロトコルは、より安全な認証を提供するために、標準の公開/秘密キー暗号化手法に依存しています。 ユーザーがオンライン サービスに登録すると、クライアント デバイスによって新しいキー ペアが生成されます。 秘密キーはユーザーのデバイスに安全に保存され、公開キーはサービスに登録されます。 認証するには、クライアント デバイスがチャレンジに署名して秘密キーを所有していることを証明する必要があります。 秘密キーは、Windows Helloロック解除係数 (生体認証または PIN) を使用してユーザーがロックを解除した後にのみ使用できます。

FIDO プロトコルは、オンライン サービスがさまざまなサービス間で情報を共有したり、ユーザーを追跡したりできないように設計されているため、ユーザーのプライバシーを優先します。 さらに、認証プロセスで使用される生体認証情報はユーザーのデバイスに残り、ネットワークまたはサービスを介して送信されることはありません。

パスワードと比較したパスキー

パスキーには、使いやすさや直感的な性質など、パスワードよりもいくつかの利点があります。 パスワードとは異なり、パスキーは簡単に作成でき、記憶する必要がなく、保護する必要はありません。 さらに、パスキーは各 Web サイトまたはアプリケーションに固有であり、再利用を防ぎます。 ユーザーのデバイスにのみ保存され、サービスでは公開キーのみが格納されるため、セキュリティが高くなります。 パスキーは、攻撃者が推測または取得するのを防ぐために設計されています。これにより、攻撃者がユーザーをだまして秘密キーを明らかにしようとするフィッシングの試みに対する耐性を高めることができます。 パスキーは、人間の検証に依存するのではなく、適切なサービスにのみ使用されるようにブラウザーまたはオペレーティング システムによって適用されます。 最後に、パスキーはクロスデバイス認証とクロスプラットフォーム認証を提供します。つまり、あるデバイスからのパスキーを使用して別のデバイスにサインインできます。

Windows エディションとライセンスに関する要件

次の表は、パスキーをサポートする Windows エディションの一覧です。

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
はい	はい	はい	はい

Passkeys ライセンスエンタイトルメントは、次のライセンスによって付与されます。

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
はい	はい	はい	はい	はい

Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。

ユーザー エクスペリエンス

パスキーを作成する

既定では、Windows では、パスキーを Windows デバイスにローカルに保存します。この場合、パスキーはWindows Hello (生体認証と PIN) によって保護されます。 次のいずれかの場所にパスキーを保存することもできます。

• iPhone、iPad、または Android デバイス: パスキーは、デバイスによって提供されている場合、デバイスの生体認証によって保護された電話またはタブレットに保存されます。 このオプションでは、スマートフォンまたはタブレットで QR コードをスキャンする必要があります。これは Windows デバイスの近くにある必要があります。
• リンクされたデバイス: パスキーは、デバイスによって提供される場合、デバイスの生体認証によって保護された電話またはタブレットに保存されます。 このオプションでは、リンクされたデバイスが Windows デバイスに近接している必要があり、Android デバイスでのみサポートされます。
• セキュリティ キー: パスキーは FIDO2 セキュリティ キーに保存され、キーのロック解除メカニズム (生体認証や PIN など) によって保護されます。

注

現時点では、Microsoft Entra IDパスキーは Windows デバイスに格納できません。 詳細については、「passkey authentication matrix with Microsoft Entra ID」を参照してください。

パスキーを保存する場所に基づいて、パスキーを保存する方法については、次のいずれかのオプションを選択します。

Windows デバイス

1. パスキーをサポートする Web サイトまたはアプリを開く

2. アカウント設定からパスキーを作成する

3. [別のデバイスを使用する] オプションを選択します>次へ

4. [この Windows デバイス>次へ] を選択します

5. Windows Hello検証方法を選択し、検証に進み、[OK] を選択します

6. パスキーは Windows デバイスに保存されます。 [OK] を選択することを確認するには

新しい電話またはタブレット

1. パスキーをサポートする Web サイトまたはアプリを開く

2. アカウント設定からパスキーを作成する

3. [別のデバイスを使用する] オプションを選択します>次へ

4. iPhone、iPad、または Android デバイスを選択します>次へ

5. スマートフォンまたはタブレットで QR コードをスキャンします。 デバイスへの接続が確立されるまで待ち、指示に従ってパスキーを保存します

6. パスキーがスマートフォンまたはタブレットに保存されたら、[ OK] を選択します

リンクされた電話またはタブレット

1. パスキーをサポートする Web サイトまたはアプリを開く

2. アカウント設定からパスキーを作成する

3. [別のデバイスを使用する] オプションを選択します>次へ

4. リンクされたデバイス名 ( ピクセルなど) を選択 >次へ

5. リンクされたデバイスへの接続が確立されたら、デバイスの指示に従ってパスキーを保存します

6. パスキーがリンクされたデバイスに保存されたら、[OK] を選択します

セキュリティ キー

1. パスキーをサポートする Web サイトまたはアプリを開く

2. アカウント設定からパスキーを作成する

3. [別のデバイスを使用する] オプションを選択します>次へ

4. [セキュリティ キー>次へ] を選択します

5. [ OK] を 選択してセキュリティ キーを設定することを確認し、キーのロック解除メカニズムを使用してセキュリティ キーのロックを解除します

6. パスキーがセキュリティ キーに保存されたら、[ OK] を選択します

パスキーを使用する

パスキーをサポートする Web サイトまたはアプリを開くと、パスキーがローカルに格納されている場合は、Windows Helloを使用してサインインするように自動的に求められます。 次のいずれかの場所からパスキーを使用することもできます。

• iPhone、iPad、または Android デバイス: 携帯電話またはタブレットに保存されているパスキーでサインインする場合は、このオプションを使用します。 このオプションでは、スマートフォンまたはタブレットで QR コードをスキャンする必要があります。これは Windows デバイスの近くにある必要があります
• リンクされたデバイス: Windows デバイスに近接しているデバイスに保存されているパスキーでサインインする場合は、このオプションを使用します。 このオプションは Android デバイスでのみサポートされています
• セキュリティ キー: FIDO2 セキュリティ キーに格納されているパスキーを使用してサインインする場合は、このオプションを使用します

パスキーを保存した場所に基づいて、パスキーを使用する方法を確認するには、次のいずれかのオプションを選択します。

Windows デバイス

1. パスキーをサポートする Web サイトまたはアプリを開く

2. [ パスキーを使用してサインインする] を選択するか、同様のオプションを選択します

3. [別のデバイスを使用する] オプションを選択します>次へ

4. [この Windows デバイス>次へ] を選択します

5. Windows Helloロック解除オプションを選択する

6. [ OK] を選択 してサインインを続行する

電話またはタブレット

1. パスキーをサポートする Web サイトまたはアプリを開く

2. [ パスキーを使用してサインインする] を選択するか、同様のオプションを選択します

3. [別のデバイスを使用する] オプションを選択します>次へ

4. iPhone、iPad、または Android デバイスを選択します>次へ

5. パスキーを保存したスマートフォンまたはタブレットで QR コードをスキャンします。 デバイスへの接続が確立されたら、手順に従ってパスキーを使用します。

6. Web サイトまたはアプリにサインインしている

リンクされた電話またはタブレット

1. パスキーをサポートする Web サイトまたはアプリを開く

2. [ パスキーを使用してサインインする] を選択するか、同様のオプションを選択します

3. [別のデバイスを使用する] オプションを選択します>次へ

4. リンクされたデバイス名 ( ピクセルなど) を選択 >次へ

5. リンクされたデバイスへの接続が確立されたら、デバイスの指示に従ってパスキーを使用します

6. Web サイトまたはアプリにサインインしている

セキュリティ キー

1. パスキーをサポートする Web サイトまたはアプリを開く

2. [ パスキーを使用してサインインする] を選択するか、同様のオプションを選択します

3. [別のデバイスを使用する] オプションを選択します>次へ

4. [セキュリティ キー>次へ] を選択します

5. キーのロック解除メカニズムを使用してセキュリティ キーのロックを解除する

6. Web サイトまたはアプリにサインインしている

パスキーの管理

バージョン 22H2 Windows 11以降、KB5030310では、設定アプリを使用して、アプリまたは Web サイト用に保存されたパスキーを表示および管理できます。 [ 設定] > [アカウント] > [Passkeys] に移動するか、次のショートカットを使用します。

パスキーの管理

• 保存したパスキーの一覧が表示され、名前でフィルター処理できます
• パスキーを削除するには、[ ...] を選択 > パスキー 名の横にあるパスキーを削除する

注

login.microsoft.com の一部のパスキーは、デバイスと Microsoft サービスへのサインインにMicrosoft Entra IDまたは Microsoft アカウントで使用されるため、削除できません。

Bluetooth制限された環境でのパスキー

パスキークロスデバイス認証シナリオの場合、Windows デバイスとモバイル デバイスの両方で、Bluetoothが有効になっており、インターネットに接続されている必要があります。 これにより、ユーザーはパスキー自体を転送またはコピーすることなく、Bluetooth経由で別のデバイスを安全に承認できます。

一部の組織では、パスキーの使用を含むBluetoothの使用が制限されています。 このような場合、組織は、パスキー対応 FIDO2 認証子と排他的にペアリングBluetooth許可することで、パスキーを許可できます。

Bluetoothの使用をパスキーのユース ケースのみに制限するには、 Bluetooth ポリシー CSP と DeviceInstallation Policy CSP を使用します。

デバイスの構成

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Intune/CSP

Microsoft Intuneを使用してデバイスを構成するには、次の設定でカスタム ポリシーを使用できます。

設定
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowAdvertising データ型: 整数 値: 0 0に設定すると、デバイスはアドバタイズを送信しません。
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowDiscoverableMode データ型: 整数 値: 0 0に設定すると、他のデバイスはデバイスを検出できません。
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowPrepairing データ型: 整数 値: 0 特定のバンドルされたBluetooth周辺機器がホスト デバイスと自動的にペアリングされないようにします。
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowPromptedProximalConnections データ型: 整数 値: 0 ユーザーが Swift Pair やその他の近接通信ベースのシナリオを使用できないようにします。
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/ServicesAllowedList データ型: 文字列 値: {0000FFFD-0000-1000-8000-00805F9B34FB};{0000FFF9-0000-1000-8000-00805F9B34FB} 許可されるBluetoothサービスとプロファイルの一覧を設定します。 - FIDO Alliance Universal Second Factor Authenticator サービス (0000fffd-0000-1000-8000-00805f9b34fb) - FIDO2 セキュリティで保護されたクライアントから認証へのトランスポート サービス (0000FFF9-0000-1000-8000-00805F9B34FB) 詳細については、「 FIDO CTAP 2.1 標準仕様 」および 「割り当てられた番号」ドキュメントBluetooth参照してください。
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs データ型: 文字列 値: <enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;BTH\MS_BTHPAN"/> 既存の Bluetooth Personal Area Network (PAN) ネットワーク アダプターを無効にし、ネットワーク接続またはテザリングに使用できるBluetooth ネットワーク アダプターのインストールを防ぎます。

PowerShell

MDM Bridge WMI プロバイダーを使用して PowerShell スクリプトを使用してデバイスを構成します。

重要

すべてのデバイス設定で、WMI ブリッジ クライアントをシステム (LocalSystem) アカウントとして実行する必要があります。

PowerShell スクリプトをテストするには、次の操作を行うことができます。

1. psexec ツールをダウンロード
2. 管理者特権のコマンド プロンプトを開き、次を実行します: psexec.exe -i -s powershell.exe
3. PowerShell セッションでスクリプトを実行する

# Bluetooth configuration
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_Policy_Config01_Bluetooth02"
New-CimInstance -Namespace $namespaceName -ClassName $className -Property @{
    ParentID="./Vendor/MSFT/Policy/Config";
    InstanceID="Bluetooth";
    AllowDiscoverableMode=0;
    AllowAdvertising=0;
    AllowPrepairing=0;
    AllowPromptedProximalConnections=0;
    ServicesAllowedList="{0000FFF9-0000-1000-8000-00805F9B34FB};{0000FFFD-0000-1000-8000-00805F9B34FB}"
}


# Device installation configuration
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_Policy_Config01_DeviceInstallation02"
New-CimInstance -Namespace $namespaceName -ClassName $className -Property @{
    ParentID="./Vendor/MSFT/Policy/Config";
    InstanceID="DeviceInstallation";
    PreventInstallationOfMatchingDeviceIDs='<![CDATA[<Enabled/><Data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;BTH\MS_BTHPAN"/><Data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/>]]>'
}

詳細については、「WMI ブリッジ プロバイダーで PowerShell スクリプトを使用する」を参照してください。

注

設定が適用されると、Bluetooth経由でデバイスをペアリングしようとすると、最初にペアリングされ、すぐに切断されます。 Bluetooth デバイスの読み込みがブロックされ、[設定] や [デバイス マネージャー] からは使用できません。

フィードバックを提供する

パスキーに関するフィードバックを提供するには、 Feedback Hub を 開き、[ セキュリティとプライバシー] > Passkey カテゴリを使用します。