Windows でのパスキーのサポート

パスキーは、パスワードと比較して、Web サイトやアプリケーションにログインするためのより安全で便利な方法を提供します。 ユーザーが記憶しておいて入力しなければならないパスワードとは異なり、パスキーはデバイスにシークレットとして格納され、デバイスのロック解除メカニズム (生体認証や PIN など) を使用できます。 パスキーは、他のサインインの課題を必要とせずに使用できるため、認証プロセスが高速で安全になり、より便利になります。

パスキーは、パスキーをサポートする任意のアプリケーションまたは Web サイトと共に使用して、Windows Hello を使用して作成およびサインインできます。 パスキーが作成され、Windows Hello と共に保存されたら、デバイスの生体認証または PIN を使用してサインインできます。 または、コンパニオン デバイス (電話またはタブレット) を使用してサインインすることもできます。

注

Windows 11 バージョン 22H2 (KB5030310 を含む) 以降では、パスキー管理用のネイティブ エクスペリエンスが提供されます。 ただし、パスキーは、サポートされているすべてのバージョンの Windows クライアントで使用できます。

この記事では、Windows デバイスでパスキーを作成して使用する方法について説明します。

パスキーのしくみ

Microsoft は長い間 FIDO Alliance の設立メンバーであり、Windows Hello などのプラットフォーム認証システム内でパスキーをネイティブに定義して使用する手助けをしてきました。 パスキーは、すべての主要プラットフォームで採用されている FIDO 業界標準のセキュリティ標準を利用します。 Microsoft などの主要なテクノロジ企業は FIDO Alliance の一環としてパスキーをサポートしており、多数の Web サイトとアプリがパスキーのサポートを統合しています。

FIDO プロトコルは、より安全な認証を提供するために、標準の公開/秘密キー暗号化手法に依存しています。 ユーザーがオンライン サービスに登録すると、クライアント デバイスによって新しいキー ペアが生成されます。 秘密キーはユーザーのデバイスに安全に保存され、公開キーはサービスに登録されます。 認証するには、クライアント デバイスがチャレンジに署名して秘密キーを所有していることを証明する必要があります。 秘密キーは、Windows Hello ロック解除要素 (生体認証または PIN) を使用してユーザーによってロック解除された後にのみ使用できます。

FIDO プロトコルは、オンライン サービスが情報を共有したり、異なるサービス間でユーザーを追跡したりできないように設計されているため、ユーザーのプライバシーに優先順位を付けます。 さらに、認証プロセスで使用される生体認証情報は、ユーザーのデバイスに残り、ネットワークやサービス経由で送信されることはありません。

パスワードと比較したパスキー

パスキーには、使いやすさや直感的な性質など、パスワードよりもいくつかの利点があります。 パスワードとは異なり、パスキーは簡単に作成でき、記憶する必要も、保護する必要もありません。 さらに、パスキーは各 Web サイトまたはアプリケーションに固有であり、再利用できません。 ユーザーのデバイスにのみ格納され、サービスには公開キーのみが格納されるため、安全性が高くなります。 パスキーは、攻撃者が推測または取得できないように設計されています。これは、攻撃者がユーザーを誘導して秘密キーを公開しようとするフィッシング攻撃に対して耐性を高めるのに役立ちます。 パスキーは、人間による検証ではなく、適切なサービスにのみ使用されるようにブラウザーまたはオペレーティング システムによって強制されます。 最後に、パスキーはクロスデバイス認証とクロスプラットフォーム認証を提供します。つまり、あるデバイスのパスキーを使用して別のデバイスにサインインできます。

Windows エディションとライセンスに関する要件

次の表に、パスキーをサポートする Windows エディションを示します:

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
はい	はい	はい	はい

パスキー ライセンスの権利は、次のライセンスによって付与されます:

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
はい	はい	はい	はい	はい

Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。

ユーザー エクスペリエンス

パスキーの作成

既定では、Windows はパスキーを Windows デバイスにローカルに保存することを提供します。この場合、パスキーは Windows Hello (生体認証と PIN) によって保護されます。 パスキーは、次のいずれかの場所に保存することもできます:

• iPhone、iPad、または Android デバイス: パスキーはスマートフォンまたはタブレットに保存され、デバイスによって提供される場合はデバイスの生体認証によって保護されます。 このオプションでは、スマートフォンまたはタブレットで QR コードをスキャンする必要があります。これは、Windows デバイスの近くにある必要があります。
• リンクされたデバイス: パスキーは電話またはタブレットに保存され、デバイスによって提供される場合は、デバイスの生体認証によって保護されます。 このオプションでは、リンクされたデバイスが Windows デバイスの近くに存在する必要があり、Android デバイスでのみサポートされます。
• セキュリティ キー: パスキーは FIDO2 セキュリティ キーに保存され、キーのロック解除メカニズム (生体認証や PIN など) によって保護されます。

注

現在、Microsoft Entra ID パスキーは Windows デバイスに保存できません。 詳細については、「Microsoft Entra ID を使用したパスキー認証マトリックス」を参照してください。

パスキーを保存する場所に基づいてパスキーを保存する方法を学習するには、次のいずれかのオプションを選択します。

Windows デバイス

1. パスキーをサポートする Web サイトまたはアプリを開く

2. アカウント設定からパスキーを作成する

3. オプション [別のデバイスを使用する]>[次へ] を選択します

4. [この Windows デバイス]>[次へ] を選択します

5. Windows Hello の確認方法を選択し、検証を続行して、[OK] を選択します

6. パスキーは Windows デバイスに保存されます。 確認するには、[OK] を選択します

新しいスマートフォンまたはタブレット

1. パスキーをサポートする Web サイトまたはアプリを開く

2. アカウント設定からパスキーを作成する

3. オプション [別のデバイスを使用する]>[次へ] を選択します

4. [iPhone、iPad、または Android デバイス]>[次へ] を選択します

5. スマートフォンまたはタブレットで QR コードをスキャンします。 デバイスへの接続が確立されるのを待ち、指示に従ってパスキーを保存します

6. パスキーがスマートフォンまたはタブレットに保存されたら、[OK] を選択します

リンクされたスマートフォンまたはタブレット

1. パスキーをサポートする Web サイトまたはアプリを開く

2. アカウント設定からパスキーを作成する

3. オプション [別のデバイスを使用する]>[次へ] を選択します

4. リンクされたデバイス名 (Pixel など) >[次へ] を選択します

5. リンクされたデバイスへの接続が確立されたら、デバイスの指示に従ってパスキーを保存します

6. パスキーがリンクされたデバイスに保存されたら、[OK] を選択します

セキュリティ キー

1. パスキーをサポートする Web サイトまたはアプリを開く

2. アカウント設定からパスキーを作成する

3. オプション [別のデバイスを使用する]>[次へ] を選択します

4. [セキュリティ キー]>[次へ] を選択します

5. [OK] を選択してセキュリティ キーを設定することを確認し、キーのロック解除メカニズムを使用してセキュリティ キーのロックを解除します

6. パスキーがセキュリティ キーに保存されたら、[OK] を選択します

パスキーの使用

パスキーをサポートする Web サイトまたはアプリを開くと、パスキーがローカルに保存されている場合は、Windows Hello を使用してサインインするように自動的に求められます。 次のいずれかの場所からパスキーを使用することもできます:

• iPhone、iPad、または Android デバイス: スマートフォンまたはタブレットに保存されているパスキーでサインインする場合は、このオプションを使用します。 このオプションでは、Windows デバイスの近くにあるスマートフォンまたはタブレットで QR コードをスキャンする必要があります
• リンクされたデバイス: Windows デバイスの近くにあるデバイスに保存されているパスキーを使用してサインインする場合は、このオプションを使用します。 このオプションは Android デバイスでのみサポートされます
• セキュリティ キー: FIDO2 セキュリティ キーに格納されているパスキーでサインインする場合は、このオプションを使用します

パスキーを保存した場所に基づいてパスキーの使用方法を学習するには、次のいずれかのオプションを選択します。

Windows デバイス

1. パスキーをサポートする Web サイトまたはアプリを開く

2. [パスキーでサインイン] オプションまたは同様のオプションを選択します

3. オプション [別のデバイスを使用する]>[次へ] を選択します

4. [この Windows デバイス]>[次へ] を選択します

5. Windows Hello ロック解除オプションを選択する

6. [OK] を選択してサインインを続行します

スマートフォンまたはタブレット

1. パスキーをサポートする Web サイトまたはアプリを開く

2. [パスキーでサインイン] オプションまたは同様のオプションを選択します

3. オプション [別のデバイスを使用する]>[次へ] を選択します

4. [iPhone、iPad、または Android デバイス]>[次へ] を選択します

5. パスキーを保存したスマートフォンまたはタブレットで QR コードをスキャンします。 デバイスへの接続が確立されたら、指示に従ってパスキーを使用します

6. Web サイトまたはアプリにサインインしています

リンクされたスマートフォンまたはタブレット

1. パスキーをサポートする Web サイトまたはアプリを開く

2. [パスキーでサインイン] オプションまたは同様のオプションを選択します

3. オプション [別のデバイスを使用する]>[次へ] を選択します

4. リンクされたデバイス名 (Pixel など) >[次へ] を選択します

5. リンクされたデバイスへの接続が確立されたら、デバイスの指示に従ってパスキーを使用します

6. Web サイトまたはアプリにサインインしています

セキュリティ キー

1. パスキーをサポートする Web サイトまたはアプリを開く

2. [パスキーでサインイン] オプションまたは同様のオプションを選択します

3. オプション [別のデバイスを使用する]>[次へ] を選択します

4. [セキュリティ キー]>[次へ] を選択します

5. キーのロック解除メカニズムを使用してセキュリティ キーのロックを解除する

6. Web サイトまたはアプリにサインインしています

パスキーの管理

Windows 11 バージョン 22H2 (KB5030310 を含む) 以降では、設定アプリを使用して、アプリまたは Web サイト用に保存されたパスキーを表示および管理できます。 [設定] > [アカウント] > [パスキー] に移動するか次のショートカットを使用します:

パスキーの管理

• 保存されたパスキーの一覧が表示され、名前でフィルター処理できます
• パスキーを削除するには、パスキー名の横にある [... ]> [パスキーの削除] を選択します

注

login.microsoft.com の一部のパスキーは、デバイスと Microsoft サービスにサインインするために Microsoft Entra ID または Microsoft アカウントと共に使用されるため、削除できません。

Bluetooth 制限された環境でのパスキー

パスキークロスデバイス認証シナリオでは、Windows デバイスとモバイル デバイスの両方で Bluetooth を有効にし、インターネットに接続する必要があります。 これにより、ユーザーはパスキー自体を転送またはコピーすることなく、Bluetooth 経由で別のデバイスを安全に承認できます。

一部の組織では、パスキーの使用を含む、Bluetooth の使用を制限しています。 このような場合、組織は、パスキー対応の FIDO2 認証デバイスとの Bluetooth ペアリングのみを許可することで、パスキーの使用を許可することができます。

Bluetooth の使用をパスキー ユース ケースのみに制限するには、Bluetooth ポリシー CSP と DeviceInstallation ポリシー CSP を使用します。

デバイスの構成

次の手順では、デバイスを構成する方法について詳しく説明します。 ニーズに最適なオプションを選択します。

Intune/CSP

Microsoft Intune でデバイスを構成するには、次の設定を使用してカスタム ポリシーを使用できます:

設定
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowAdvertising データ型: 整数 値: 0 0 に設定すると、デバイスは提供情報を送信しません。
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowDiscoverableMode データ型: 整数 値: 0 0 に設定すると、他のデバイスはこのデバイスを検出できません。
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowPrepairing データ型: 整数 値: 0 特定バンドル化された Bluetooth 周辺機器がホスト デバイスと自動的にペアリングされないようにします。
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowPromptedProximalConnections データ型: 整数 値: 0 ユーザーがクイック ペアリングやその他の近接通信ベースのシナリオを使用できないようにします。
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/ServicesAllowedList データ型: 文字列 値: {0000FFFD-0000-1000-8000-00805F9B34FB};{0000FFF9-0000-1000-8000-00805F9B34FB} 許容される Bluetooth サービスとプロファイルの一覧を設定します: - FIDO Alliance Universal Second Factor Authenticator サービス (0000fffd-0000-1000-8000-00805f9b34fb) - FIDO2 セキュリティで保護されたクライアントから認証システムへのトランスポート サービス (0000FFF9-0000-1000-8000-00805F9B34FB) 詳細については、FIDO CTAP 2.1 標準仕様および Bluetooth 割り当て番号に関するドキュメントを参照してください。
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs データ型: 文字列 値: <enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;BTH\MS_BTHPAN"/> 既存の Bluetooth パーソナル エリア ネットワーク (PAN) ネットワーク アダプターを無効にし、ネットワーク接続またはテザリングに使用できる Bluetooth ネットワーク アダプターをインストールできないようにします。

PowerShell

MDM ブリッジ WMI プロバイダー から PowerShell スクリプトを使用してデバイスを構成します。

重要

すべてのデバイス設定で、WMI ブリッジ クライアントをシステム (LocalSystem) アカウントとして実行する必要があります。

PowerShell スクリプトをテストするには、次の操作を行うことができます。

1. psexec ツールをダウンロード
2. 管理者特権のコマンド プロンプトを開き、次を実行します: psexec.exe -i -s powershell.exe
3. PowerShell セッションでスクリプトを実行する

# Bluetooth configuration
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_Policy_Config01_Bluetooth02"
New-CimInstance -Namespace $namespaceName -ClassName $className -Property @{
    ParentID="./Vendor/MSFT/Policy/Config";
    InstanceID="Bluetooth";
    AllowDiscoverableMode=0;
    AllowAdvertising=0;
    AllowPrepairing=0;
    AllowPromptedProximalConnections=0;
    ServicesAllowedList="{0000FFF9-0000-1000-8000-00805F9B34FB};{0000FFFD-0000-1000-8000-00805F9B34FB}"
}


# Device installation configuration
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_Policy_Config01_DeviceInstallation02"
New-CimInstance -Namespace $namespaceName -ClassName $className -Property @{
    ParentID="./Vendor/MSFT/Policy/Config";
    InstanceID="DeviceInstallation";
    PreventInstallationOfMatchingDeviceIDs='<![CDATA[<Enabled/><Data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;BTH\MS_BTHPAN"/><Data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/>]]>'
}

詳細については、「WMI ブリッジ プロバイダーで PowerShell スクリプトを使用する」を参照してください。

注

設定が適用されると、Bluetooth 経由でデバイスをペアリングしようとすると、最初はペアリングされますがすぐに切断されます。 Bluetooth デバイスの読み込みがブロックされ、[設定] または [デバイス マネージャー] から使用できません。

フィードバックの提供

パスキーに関するフィードバックを提供するには、フィードバック Hub を開き、カテゴリ [セキュリティとプライバシー] > [パスキー] を使用します。