Microsoft アカウントでパスワードなし認証を設定する

La Microsoft アカウントのパスワードレス認証 もはや未来的な技術でも、高度な環境だけのものでもありません。今日では、誰でも携​​帯電話、生体認証、またはセキュリティキーを使って、パスワードを一切入力することなく、Microsoft 365、Entra ID（旧Azure AD）、または個人のMicrosoftアカウントにログインできます。利便性が向上するだけでなく、認証情報の盗難やフィッシング攻撃を減らすための重要な対策にもなります。

この記事では、かなり詳細に見ていきます。 Microsoft AuthenticatorとPasskeysを使用したパスワードレスログインの仕組み本稿では、組織がこの機能を導入するために必要なもの、Microsoft Entra IDで管理者として有効化する方法、エンドユーザーができること、そして存在する制限事項や既知の問題点について説明します。また、Microsoftが従来のパスワードを廃止することにこれほどこだわる理由と、これがゼロトラストセキュリティ戦略にどのように適合するのかについても解説します。

マイクロソフトがパスワードを廃止したい理由

パスワードは 企業環境および個人環境における主要な攻撃ベクトルそれらは再利用されたり、データ侵害で漏洩したり、推測されたり、フィッシングやマルウェアによって盗まれたりして、攻撃者はわずかな機会でもメールアカウント、文書、重要なアプリケーションへの完全なアクセス権を取得してしまう。

古典的なセキュリティモデルは 「ユーザー名＋パスワード」に加えて、2つ目の基本要素 （例えばSMSなど）はパスワード単独よりも優れていますが、それでもかなりの弱点があります。テキストメッセージは傍受される可能性があり、ユーザーは依然としてフィッシングサイトに騙され、大規模な認証情報の盗難が続いています。

こうしたリスクを軽減するために、マイクロソフトは以下への切り替えを推奨しています。 なりすましに強いパスワードレス認証方式これらの方法は、物理的なデバイス（携帯電話、ノートパソコン、鍵など）に紐づけられた認証情報に依存しており、ユーザーが所有しているもの（デバイス）と、ユーザーが知っているものまたは本人であること（PIN、指紋、顔）の両方を必要とするため、ユーザーに何も記憶させることなく、統合された方法で多要素認証を実現します。

さらに、パスキーまたはFIDO2認証情報を使用したログインははるかに高速です。マイクロソフトの内部データによると、 パスワード認証には約24秒かかります。一般的なアクセスキーの検証には約8秒かかりますが、GoogleパスワードマネージャーやiCloudキーチェーンなどのマネージャーで同期されたパスキーの場合はさらに短く（約3秒）なります。

この組み合わせ 安全性の向上と摩擦の低減 エンドユーザーにとって、これがマイクロソフトがMicrosoft Sign In IDやMicrosoft 365、Windowsのエコシステム全体でパスワードレスプラットフォームをこれほどまでに推進している理由です。

Microsoft サインイン ID のパスワードレス認証オプション

Microsoft Entra ID は、 パスワードを入力せずにログインする個人用デバイスと企業用デバイスの両方、そしてさまざまなタイプのユーザーやシナリオに対応するように設計されています。現在含まれている主なカテゴリは以下のとおりです。

まず第一に、 パスキー（FIDO2 / パスキー）これらは、FIDO2規格に基づいてデバイスに保存される認証情報（例えば、セキュリティキーやプラットフォームパスキーなど）です。GoogleパスワードマネージャーやiCloudなどのマネージャーを介して同期されるキー、あるいはYubiKeyなどの物理的なハードウェアに基づくキーなどが該当します。

第二に、マイクロソフトは Windows Hello for businessこの技術は、PINまたは生体認証（指紋認証または顔認証）で保護された、Windowsコンピューターに紐づけられた認証情報を作成します。デバイスがMicrosoftログインIDに接続されている場合、または適切に管理されている場合、この技術はWindowsデスクトップへのパスワードなしログインの基盤となります。

別の選択肢は Microsoftログインキー。Windowsにログインします。 （暫定版）そして macOS のプラットフォーム認証情報 （プレビュー版も提供中）。どちらの機能も、オペレーティングシステムがEntra IDと直接統合されたパスワードレス認証情報を管理できるようにすることで、最新の環境における安全なログインを簡素化します。

モバイル業界において、特に注目すべき点は以下のとおりです。 Microsoft Authenticator アプリケーションのアクセスキーここでパスワード不要の電話ログインが登場します。ユーザーはアプリ内の通知を承認し、画面に表示される番号を入力し、PINコードまたはデバイスの生体認証で確認することで、アカウントのパスワードを入力することなくログインできます。

最後に、マイクロソフトは引き続きサポートしています スマートカードと証明書ベースの認証これは多くのビジネス環境においてパスワード不要の認証情報とみなすことができ、適切に実装すればフィッシング攻撃にも十分耐えうる。

Microsoft Authenticator を使ってパスワードなしでログインする方法

アプリケーション これは、Microsoft のパスワードレス戦略の重要な構成要素です。iOS と Android で利用可能で、従来の多要素認証 (プッシュ通知またはコードを使用した MFA) と パスワードなしでダイヤルインログイン.

認証アプリの背後には キーベース認証基本的に、ユーザーごとに認証情報が生成され、特定のデバイスに紐付けられます。その認証情報を使用するには、デバイスはPIN、指紋、顔認証などのローカル認証要素を必要とします。Windows Hello for Businessも非常によく似た技術を使用していますが、Windowsコンピューター自体に焦点を当てています。

典型的な使用フロー 電話ログイン 手順は非常に簡単です。Microsoft 365のサインイン画面、またはEntra IDと連携しているアプリでは、ユーザーはユーザー名（職場または学校のメールアドレス）を入力するだけです。その後、パスワードを入力する代わりに、認証アプリでリクエストを承認するオプションを選択します。

その瞬間 ログイン画面の番号モバイル端末に認証アプリの通知が表示され、アクセス確認を求められます。ユーザーは正しいアカウントを選択し、ウェブサイトに表示されている番号をアプリに入力する必要があります。この相互認証により、誤って自分のものではない通知を承認してしまうことを防ぎます。

番号を入力すると、デバイスは次のように尋ねます。 PINまたは生体認証 承認者が確かにモバイルデバイスの所有者であることを確認するため。その後、ログインが完了し、パスワードを入力することなくアカウントへのアクセスが許可されます。

重要な詳細はそれです 複数のMicrosoftサインインIDアカウントを設定できます 同じ認証アプリ内で、デバイスが該当するテナントに登録されている場合、すべてのアカウントでパスワードなしの電話ログインを有効にできます。ただし、同一デバイス上の複数アカウントモデルでは、ゲストアカウントはサポートされていません。

パスワードなしの電話ログインを使用するための前提条件

全員にパスワードなしログインをすぐに有効化する前に、いくつかの条件が満たされていることを確認する必要があります。 最低限の技術的および組織的要件マイクロソフトは、将来的な問題を回避するために、これらの点を確認することを推奨しています。

一方、 マイクロソフトが多要素認証（MFA）を導入 組織内で設定することで、プッシュ通知を認証方法として利用できるようになります。これらの通知は、不正アクセスや不正取引の防止に役立ち、また、認証アプリは、デバイスの接続が切断された場合に備えて、バックアップ手段としてコードを自動的に生成します。

さらに、 認証装置を使用するデバイスは、各Entra IDテナントに登録する必要があります。 電話ログインを有効にしたい場所を指定します。たとえば、balas@contoso.com と balas@wingtiptoys.com のようなアカウントを使用しているユーザーがいる場合、これらのすべてのIDでパスワードなしでアクセスできるようにするには、携帯電話を両方のテナント（ContosoとWingtip Toys）に登録する必要があります。

管理セクションについては、まず通話を有効にするのが最善です。 登録経験の組み合わせ Microsoft サインイン ID において、この機能によりセキュリティ方法（多要素認証、パスワードリセットなど）の登録が統合され、パスワード不要の認証方法として Authenticator の導入が簡素化されます。

ライセンスの観点から言えば、 パスワード不要の方法で登録およびログインしてください。 特定のライセンスは必要ありません。ただし、Microsoft は、フィッシング対策の認証情報を強制するための条件付きアクセス、認証方法の使用状況レポートなど、機能セットを最大限に活用するために、少なくとも Microsoft Entra ID P1 ライセンスを取得することを推奨しています。

最後に、特定することが重要です プロジェクトに関わる作業チームIDおよびアクセス管理、セキュリティアーキテクチャ、セキュリティ運用、監査チーム、テクニカルサポート、エンドユーザーとのコミュニケーション。これらのグループ間の連携が取れていない場合、実装が不完全になったり、インシデントが多発したりする可能性があります。

管理者としてパスワードなしでMicrosoft Authenticatorを有効にする方法

Microsoft Entra ID管理コンソールから、管理者は以下のことができます。 許可される認証方法を定義する 組織向け。ここでは、従来の多要素認証（MFA）とパスワードレスモードの両方でMicrosoft Authenticatorが有効になります。

出発点は、 Microsoft 管理センター サインイン 少なくとも認証ポリシー管理者ロールを持つアカウントが必要です。ログイン後、「ログインID」セクションに移動し、そこから「認証方法とポリシー」に進みます。各認証方法の使用ルールはここで管理されます。

メソッド設定内では、 Microsoft Authenticator を有効にする そして、従来のMFA挿入（パスワード確認のためのプッシュ通知）とパスワードなしの電話ログイン、またはその両方を許可するかどうかを決定します。各ユーザーグループは、セキュリティ上のニーズに応じて、どちらかのモードを使用するように設定することも、制限することもできます。

デフォルトでは、グループは通常、 Authenticator を使えば「どんな方法でも」つまり、メンバーは、標準のプッシュ通知を承認するか、アプリに電話番号を登録済みであれば、パスワードなしの電話ログインを使用してログインできるということです。

管理者の間で非常によく聞かれる質問は、 パスワードなしでの使用を強制的に許可するこれにより、設定完了後であっても、ユーザーがパスワードで再認証を行うことを防ぎます。実際には、条件付きアクセス ポリシーや許可された方法の制限によってパスワードレス モデルを強く推進することはできますが、Microsoft は、復旧や特定のレガシー アプリケーションとの互換性など、特定のシナリオではパスワードを使用するオプションを依然として残しています。

それでも、 認証方法と条件付きアクセスに関するポリシーAuthenticatorに登録して最初のログインを完了した新規ユーザーは、ほぼ常に電話やその他のパスワード不要の方法を使用し、パスワードの使用は例外的な状況に限られるというシナリオにかなり近づく可能性がある。

認証アプリでのユーザー登録

組織内で Microsoft Authenticator が認証方法として有効になったら、 エンドユーザー登録これには主に2つの方法があります。セキュリティ情報ページからのガイド付き登録を行うか、管理者から提供される一時的なアクセスパスを使用するかのいずれかです。

標準的なガイド付き登録では、ユーザーはブラウザでページにアクセスします。 アカウントのセキュリティ情報現在使用している認証情報でログインし、「認証方法を追加」オプションを選択してください。そこから「認証アプリ」を選択し、指示に従ってデバイスにインストールし、QRコードなどの手順でアカウントをリンクしてください。

そのプロセスが完了すると、認証器は少なくとも次のように登録されます。 MFA法アカウントのセキュリティ情報セクションには、Microsoft Authenticator タイプの認証方法が表示されます。これは、許可されている設定や登録されている設定に応じて、「パスワードなし」または「MFA 挿入」のいずれかになります。

組織がユーザーに最初からパスワードを使わせたくない場合は、 一時アクセスパスによる直接登録その場合、管理者はまずユーザーに対して一時アクセスパス（TAP）を生成します。これは、初期設定のための安全な一時認証情報として機能します。

この一時的なアクセスパスを使用して、ユーザーはモバイルデバイスにMicrosoft Authenticatorをインストールし、アプリを開いて「アカウントの追加」を選択し、職場または学校のアカウントを選択して、パスワードの代わりにタップボタンを使用して認証します。その後、アプリの指示に従って手順を完了すると、パスワード不要の電話サインインが有効になります。

環境下では パスワードリセットセルフサービスTAPを使用することで、ユーザーは従来のパスワードを知ったり使用したりすることなく、認証アプリをログイン方法として登録することができ、初日から完全なパスワードレスのアプローチを強化することができます。

認証アプリで電話ログインを有効にする

アプリケーションの登録だけでは不十分です。ユーザーは パスワードなしの電話ログインを明示的に有効にする そのように使用したいアカウントごとに設定が必要です。この手順は見落とされがちですが、非常に重要です。

有効化するには、ユーザーはモバイルデバイスでMicrosoft Authenticatorアプリを開き、 以前に登録された専門家または教育機関のアカウント利用可能なオプションの中には、「パスワードなしログイン要求を設定する」や「電話ログインを有効にする」といった項目が表示されます。

そのオプションを押すと、アプリケーションは簡単なセットアッププロセスを開始します。 ユーザー本人確認 これには、ブラウザ経由でのログイン、通知の承認、または追加情報の確認が含まれます。これらの手順を完了すると、アカウントはパスワードなしの電話ログインに対応しているとマークされます。

その時点から、ユーザーが Microsoft 365、Entra ID、または統合アプリケーションにサインインしようとすると、ユーザー名を入力する際に​​、次のオプションを選択できるようになります。 「認証アプリでリクエストを承認する」ウェブサイトには番号が表示され、アプリはユーザーにその番号を選択し、PINコードまたは生体認証で確認するよう求めます。

ユーザーがこの方法でログインを開始すると、システムは通常 この方法を推奨として維持する常に電話でリクエストを承認するオプションが表示されますが、必要に応じて別の方法を選択することも可能です。

ユーザーを積極的に誘導したい組織には、認証器を登録した後、アプリにアクセスして、 電話ログインを明示的に有効化するそうすることで、彼らが何をすべきかが明確になり、サポートに関する問い合わせ件数が減少する。

ユーザーにとってパスワード不要のログイン体験

すべての要素が構成されると（テナントの有効化、認証システムの登録、電話ログインの有効化）、ユーザーエクスペリエンスは大きく変化します。パスワードに頼る代わりに、ユーザーはほぼ常に自分の モバイルデバイスと生体認証.

最初の典型的な試みでは、その人は自分の ログインパネルのユーザー名 Microsoft 365 または該当アプリからサインインし、「次へ」をタップします。デフォルトで表示されない場合は、「その他のサインイン方法」をタップして、「認証アプリでリクエストを承認する」オプションを選択できます。

画面には 乱数ほぼ同時に、ユーザーのモバイルデバイスに認証アプリからログイン試行を知らせる通知が届きます。通知を開くと、アプリはユーザーにPCまたはブラウザに表示されている正しい番号を選択するように促し、誤認証や不正認証を防ぎます。

最終段階では、システムはユーザーに PIN、指紋、または顔認証でデバイスのロックを解除します。あなたが所有しているもの（携帯電話）と、あなた自身またはあなたが知っているもの（PINコードまたは生体認証）を組み合わせることで、より脆弱なSMSやメールで送信されるコードに頼ることなく、堅牢な多要素認証（MFA）として機能します。

この方法で何度かログインを試みた後、ほとんどのユーザーは 毎日パスワードを忘れるなぜなら、認証ワークフローが、Office、Teams、OneDrive、または組織に関連付けられたその他のアプリケーションにログインするための自然な方法となるからです。

何らかの理由で別の方法が必要な場合（例えば、携帯電話を紛失したり、バッテリーが切れたりした場合）、常に次の選択肢があります。 その他の認証要素 管理者が許可している場合：パスキー、FIDO2セキュリティキー、Windows Hello、スマートカード、またはその他の設定済みのメカニズム。

パスワードなしでプロジェクトに関わる管理、制御、チーム

Microsoft Authenticator とさまざまな認証方法を管理する最も推奨される方法は、 Microsoft認証方法ポリシーログインそこから、管理者は認証機能を有効または無効にしたり、特定のユーザーやグループを含めたり除外したりできます。

その指示内で、より多くの情報を提供するパラメータを定義できます。 ログインリクエストのコンテキスト例えば、おおよその位置情報やアクセスを要求しているアプリケーション名を追加することで、ユーザーがモバイルデバイスで「承認」または「拒否」をタップする前に、より多くの情報を得ることができます。

組織的な観点から言えば、 アイデンティティおよびアクセス管理（IAM） 日常的な設定はセキュリティアーキテクチャチームが担当し、セキュリティアーキテクチャチームは全体的なセキュリティフレームワークの中でパスワードレス戦略を設計します。一方、セキュリティ運用チームは認証イベントを監視し、潜在的な脅威を調査し、異常が検出された場合には是正措置を実施します。

セキュリティおよび監査チームは、以下の責任を負います。 内部および外部規制への準拠を確認するこれには、認証プロセスの定期的な見直し、リスク評価、および改善策の提案が含まれます。これらはすべて、エンドユーザーがパスワードレス認証を初めて利用する際にサポートし、特定の問題を解決するテクニカルサポートの業務によって補完されます。

最後に、 エンドユーザーとのコミュニケーション それは極めて重要な役割を果たします。パスワードを廃止するような大きな変更には、明確なメッセージ伝達が必要です。何が変わるのか、ユーザーは何をすべきか、なぜそれがより安全なのか、そして携帯電話を紛失したりデバイスを変更したりした場合の対処法などを明確に伝える必要があります。

同時に、Microsoft Entra IDとのアプリケーション統合も重要な要素です。Entra IDと統合されるアプリケーション（SaaS、基幹業務アプリケーション、オンプレミスで公開されているアプリケーションなど）が多ければ多いほど、より多くのメリットが得られます。 パスワードレス認証を活用し、条件付きアクセスを適用する フィッシング対策を統一的に義務付けること。

パスワードレス認証の既知の問題点と制限事項

パスワードなしモデルは非常に堅牢ですが、Microsoft はいくつかのことを文書化しています 既知の問題点と制限事項 導入時やサポート時に予期せぬ事態を避けるために、これらの点を念頭に置いておく必要があります。

最もよくあるケースの1つは、ユーザーが パスワードなしで電話からログインするオプションが表示されません 認証画面で、認証システムが設定されているにもかかわらず、認証が拒否される場合があります。これは、認証システムで検証が保留中の場合に発生することがあります。その要求が未解決のままユーザーが再度ログインしようとすると、システムはパスワード入力のオプションのみを表示する場合があります。

そのシナリオにおける解決策は単純です。ユーザーは Microsoft Authenticator アプリを開きます モバイル端末で、保留中の通知に応答（承認または拒否）してください。これらのリクエストが解除されると、次回以降のログイン時に「パスワードなしの電話」オプションが通常どおり表示されます。

もう1つの重要な制限は、古い AuthenticatorAppSignInPolicy ディレクティブ これは旧式であり、認証機能の制御にはサポートされていません。プッシュ通知やパスワードなしの電話ログインを有効にするには、Microsoft が管理および更新している認証方法ポリシーを必ず使用してください。

フェデレーションアカウントまたはハイブリッドアカウントの環境 (たとえば、Active Directory フェデレーション サービス (AD FS) の場合) では、ユーザーがパスワードなしの資格情報を有効にすると、Microsoft ログイン プロセスが開始されます。 login_hint パラメータの使用を中止してください。これは、以前のようにユーザーを自動的にフェデレーションログインポイントに誘導することがなくなったことを意味します。

この動作は通常、ユーザーが ハイブリッドテナントは、資格情報を検証するために AD FS にリダイレクトされます。これは、Entra IDがサポートするパスワードレス認証方式による直接認証が推奨されているためです。ただし、設定で許可されている場合は、「パスワードを使用する」を選択する手動オプションも通常は利用可能です。

管理されているユーザーの場合 ローカルIDプロバイダー ただし、MFAが有効になっている場合でも、これらのユーザーはパスワードなしの電話ログイン認証情報を1つしか作成および使用できない場合があります。同じパスワードなし認証情報を使用して多数の認証デバイス（たとえば、5台以上の異なるデバイス）を更新しようとすると、新しいインスタンスを登録しようとしたときにエラーが発生する可能性があります。

他のセキュリティプロジェクトと同様に、これらの制約はパスワードレスモデルの採用を妨げるものではありませんが、以下のことが必要となります。 アイデンティティのアーキテクチャをうまく計画する特に、非常に大規模なハイブリッド組織や、特別な連携およびローカル認証のニーズを持つ組織において顕著である。

最終的に、Microsoft Entra ID のパスワードレス認証、特に Microsoft Authenticator とパスキーの組み合わせにより、組織は脆弱なパスワードや盗難されたパスワードに関連するリスクを大幅に軽減できるだけでなく、ユーザーにとってログインプロセスをより迅速かつ便利にすることができます。効果的な認証ポリシー、条件付きアクセス、そして良好な社内コミュニケーションを組み合わせることで、パスワードの重要性は低下し、モバイル、生体認証、セキュリティキーが、より安全でなりすましにくいIDの基盤となります。