次の方法で共有


Microsoft Entra ID で使用できる認証方法と検証方法

Microsoft では、非常に安全なサインイン エクスペリエンスを提供する Windows Hello、Passkeys (FIDO2)、Microsoft Authenticator アプリなどのパスワードレスの認証方法を推奨しています。 ユーザーはユーザー名やパスワードなど、他の一般的な方法を使用してサインインすることもできますが、パスワードはより安全な認証方法に置き換えるべきです。

Microsoft Entra ID の長所と推奨される認証方法について説明する図。

Microsoft Entra 多要素認証 (MFA) を使用すると、ユーザーのサインイン時にパスワードのみを使用する方法に、もう 1 段セキュリティ レイヤーを追加できます。 ユーザーに対して、プッシュ通知に応答する、ソフトウェアまたはハードウェア トークンのコードを入力する、またはテキスト メッセージや電話に応答するなど、他の形式での認証を要求できます。

ユーザーのオンボード エクスペリエンスを単純化し、MFA とセルフサービス パスワード リセット (SSPR) の両方に登録するには、統合されたセキュリティ情報の登録を有効にすることをお勧めします。 回復性を確保するために、ユーザーに複数の認証方法の登録を求めることをお勧めします。 サインインや SSPR の間にユーザーがある方法を使用できない場合、そのユーザーは別の方法で認証することを選択できます。 詳細については、「Microsoft Entra ID で回復性があるアクセス制御管理戦略を作成する」を参照してください。

各認証方法のしくみ

認証方法の中には、FIDO2 セキュリティ キーやパスワードの利用といった、アプリケーションやデバイスにサインインする際にプライマリ要素として利用できるものがあります。 Microsoft Entra 多要素認証または SSPR を使用する場合、他の認証方法はセカンダリ要素としてのみ使用できます。

次の表は、サインイン イベント時に各認証方法がどのタイミングで使用できるかの概要を示しています。

Method プライマリ認証 セカンダリ認証
Windows Hello for Business はい MFA*
Microsoft Authenticator プッシュ いいえ MFA と SSPR
Microsoft Authenticator パスワードレス はい いいえ*
Microsoft Authenticator パスキー はい MFA
Authenticator Lite いいえ MFA
Passkey (FIDO2) はい MFA
証明書ベースの認証 はい MFA
ハードウェア OATH トークン (プレビュー) いいえ MFA と SSPR
ソフトウェア OATH トークン いいえ MFA と SSPR
外部認証方法 (プレビュー) いいえ MFA
一時アクセス パス (TAP) はい MFA
Text はい MFA と SSPR
音声通話 いいえ MFA と SSPR
Password はい いいえ

* Windows Hello for Business 自体は、ステップアップ MFA 資格情報として機能しません。 たとえば、サインインの頻度からの MFA チャレンジや、forceAuthn=true を含む SAML 要求などです。 Windows Hello for Business は、FIDO2 認証で使用することで、ステップアップ MFA 資格情報として機能できます。 これには、FIDO2 認証が正常に動作するようにユーザーを登録する必要があります。

* プライマリ認証に証明書ベースの認証 (CBA) が使われている場合にのみ、パスワードレス サインインをセカンダリ認証に使用できます。 詳細については、「Microsoft Entra の証明書ベースの認証に関する技術的な詳細情報」を参照してください。

これらの認証方法は、すべて Microsoft Entra 管理センターで構成できます。また、Microsoft Graph REST API を使用して構成することが増えています。

各認証方法のしくみの詳細については、次の概念に関する個別の記事を参照してください。

Note

パスワードは、Microsoft Entra ID で多くの場合にプライマリとして使用される認証方法の 1 つです。 パスワード認証方法を無効にすることはできません。 パスワードをプライマリ認証要素として使用する場合は、Microsoft Entra 多要素認証でサインイン イベントのセキュリティを強化してください。

特定のシナリオでは、他の認証方法を使用できます。

使用可能な方法と使用できない方法

管理者は、Microsoft Entra 管理センターでユーザー認証方法を表示できます。 使用可能な方法が先に一覧表示され、その後に使用できない方法が表示されます。

各認証方法は、さまざまな理由で使用できなくなる可能性があります。 たとえば、一時アクセス パスの有効期限が切れる場合や、FIDO2 セキュリティ キーが構成証明に失敗する場合があります。 ポータルが更新され、その方法が使用できない理由が示されます。

[多要素認証の再登録を要求する] のために使用できなくなった認証方法もここに表示されます。

使用できない認証方法のスクリーンショット。

最初に、セルフサービス パスワード リセット (SSPR) のチュートリアルMicrosoft Entra 多要素認証に関するページを参照してください。

SSPR に関する概念の詳細については、Microsoft Entra のセルフサービス パスワード リセットのしくみに関するページを参照してください。

MFA の概念の詳細については、Microsoft Entra の多要素認証のしくみに関するページを参照してください。

Microsoft Graph REST API を使用した認証方法の構成の詳細を確認してください。

使用されている認証方法を確認するには、Microsoft Entra 多要素認証の認証方法を PowerShell を使用して分析する方法についての記事を参照してください。