Microsoft Authenticator でパスキーを有効にする (プレビュー)
この記事では、Microsoft Entra ID の Microsoft Authenticator でのパスキーの使用を有効にして適用する手順を一覧表示します。 まず、認証方法ポリシーを更新して、エンド ユーザーが Authenticator でパスキーを使用して登録およびサインインできるようにします。 その後、条件付きアクセス認証の強度ポリシーを使用して、ユーザーが機密リソースにアクセスするときにパスキー サインインを適用できます。
要件
- Microsoft Entra 多要素認証 (MFA)
- Android 14 以降または iOS 17 以降
- パスキー登録/認証プロセスの一部である任意のデバイス上のアクティブなインターネット接続。 デバイス間の登録と認証を有効にするには、組織でこれら 2 つのエンドポイントへの接続を許可する必要があります。
- cable.ua5v.com
- cable.auth.com
- クロスデバイス間の登録/認証では、両方のデバイスで Bluetooth が有効になっている必要があります
Note
ユーザーは、パスキーを使用するには、Android または iOS 用の Authenticator の最新バージョンをインストールする必要があります。
Authenticator でパスキーを使用してサインインできる場所の詳細については、「Microsoft Entra ID を使用した FIDO2 認証のサポート」を参照してください。
管理センターで Authenticator でのパスキーを有効にする
認証ポリシー管理者は、認証方法ポリシーのパスキー (FIDO2) 設定 で Authenticator を許可することに同意する必要があります。 ユーザーが Authenticator アプリにパスキーを登録できるようにするには、Microsoft Authenticator の Authenticator 構成証明 GUID (AAGUID) を明示的に許可する必要があります。 認証方法ポリシーの Microsoft Authenticator アプリ セクションでパスキーを有効にする設定はありません。
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
[保護]、[認証方法]、[認証方法ポリシー] の順に移動します。
[パスキー (FIDO2)] の方法で、[すべてのユーザー] または [グループの追加] を選択して特定のグループを選択します。 セキュリティ グループのみがサポートされています。
[構成] タブで、次を実行します。
[セルフサービス設定] を [はい] に設定します。 [いいえ] に設定すると、ユーザーは認証方法ポリシーでパスキー (FIDO2) が有効になっている場合でも、[セキュリティ情報] を使用してパスキーを登録できません。
[構成証明の適用] を [はい] に設定します。
パスキー (FIDO) ポリシーで構成証明が有効になっている場合、Microsoft Entra ID は、作成されるパスキーの正当性の検証を試みます。 ユーザーが Authenticator にパスキーを登録している場合、認証は、正規の Microsoft Authenticator アプリが Apple および Google サービスを使用してパスキーを作成したことを確認します。 詳細は次のとおりです。
iOS: Authenticator 構成証明では、パスキーを 登録する前に、iOS アプリ構成証明サービス を使用して Authenticator アプリの正当性を確保します。
Note
構成証明が適用されるときに Authenticator にパスキーを登録するためのサポートは、現在、iOS Authenticator アプリ ユーザーにロールアウトされています。 Android デバイス上の Authenticator に構成証明されたパスキーを登録するためのサポートは、最新バージョンのアプリのすべてのユーザーが利用できます。
Android:
- Play Integrity 構成証明の場合、Authenticator の構成証明では、Play Integrity API を使用して、パスキーを登録する前に Authenticator アプリの正当性を確保します。
- キー構成証明の場合、Authenticator の構成証明では、Android によるキー構成証明を使用して、登録されているパスキーがハードウェアでサポートされていることを確認します。
Note
iOS と Android の両方で、Authenticator 構成証明は Apple と Google のサービスに依存して、Authenticator アプリの信頼性を確認します。 サービスの使用率が高いと、パスキーの登録が失敗する可能性があり、ユーザーはもう一度試す必要があります。 Apple と Google のサービスが停止している場合、Authenticator の構成証明は、サービスが復元されるまで構成証明を必要とする登録をブロックします。 Google Play 整合性サービスの状態を監視するには、Google Play ステータス ダッシュボードを参照してください。 iOS アプリ構成証明サービスの状態を監視するには、「システムの状態」を参照してください。
キーの制限により、登録と認証の両方について特定のパスキーを使用できるかどうかが設定されます。 [キー制限の適用] を [はい] に設定すると、特定のパスキーのみが許可またはブロックされ、AAGUID によって識別されます。
この設定は [はい] する必要があります。また、ユーザーが Authenticator アプリにサインインするか、セキュリティ情報から [Microsoft Authenticator のパスキー] を追加して、ユーザーが Authenticator にパスキーを登録できるようにするには、Microsoft Authenticator AAGUID を追加する必要があります。
セキュリティ情報ユーザーが [Authenticator のパスキー]を選択し専用の Authenticator パスキー登録フローを実行できるようにするにはこの設定を [はい] に設定する必要があります。 [いいえ] を選択した場合でも、オペレーティング システムとブラウザーに応じて、セキュリティ キーまたはパスキーの方法を選択することで、ユーザーは Microsoft Authenticator にパスキーを追加できます。 ただし、多くのユーザーがそのメソッドを検出して使用することは想定されていません。
現在、組織でキー制限が適用されておらず、アクティブなパスキーが既に使用されている場合は、現在使用されているキーの AAGUID を収集する必要があります。 これらのユーザーと Authenticator AAGUID を含め、このプレビューを有効にします。 これは、登録の詳細やサインイン ログなどのログを分析する自動化されたスクリプトを使用して行うことができます。
キーの制限を変更し、以前は許可していた AAGUID を削除すると、許可された方法を前に登録していたユーザーはサインインにそれを使用できなくなります。
[特定のキーを制限] を [許可] に設定します。
Microsoft Authenticator (プレビュー) を選択して Authenticator アプリの AAGUID をキー制限リストに自動的に追加するか、次の AAGUID を手動で追加して、Authenticator アプリにサインインするか、セキュリティ情報ページのガイド付きフローを使用して、ユーザーが Authenticator にパスキーを登録できるようにします。
- Android 用 Authenticator: de1e552d-db1d-4423-a619-566b625cdc84
- iOS 用 Authenticator: 90a3ccdf-635c-4729-a248-9b709135078f
メモ
キー制限をオフにする場合は、[Microsoft Authenticator (プレビュー)] チェック ボックスをオフにして、ユーザーが Authenticator アプリのパスキーを [セキュリティ情報] で設定するように求めないようにします。
構成が完了したら、[保存] を選択します。
メモ
保存しようとするとエラーが表示される場合は、1 回の操作で複数のグループを 1 つのグループに置き換え、もう一度 [保存] をクリックします。
Graph エクスプローラーを使用して Authenticator でのパスキーを有効にする
Microsoft Entra 管理センターを使用するだけでなく、Graph エクスプローラーを使用して Authenticator でのパスキーを有効にすることもできます。 少なくとも認証ポリシー管理者ロールが割り当てられているユーザーは、認証方法ポリシーを更新して、Authenticator の AAGUID を許可できます。
Graph エクスプローラーを使用してポリシーを構成するには:
Graph エクスプローラーにサインインし、Policy.Read.All および Policy.ReadWrite.AuthenticationMethod のアクセス許可に同意します。
認証方法ポリシーを取得します。
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2構成証明の適用を無効にして、Microsoft Authenticator の AAGUID のみを許可するようにキー制限を適用するには、次の要求本文を使用して PATCH 操作を実行します。
PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: { "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": true, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "90a3ccdf-635c-4729-a248-9b709135078f", "de1e552d-db1d-4423-a619-566b625cdc84" <insert previous AAGUIDs here to keep them stored in policy> ] } }パスキー (FIDO2) ポリシーが正しく更新されていることを確認してください。
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Authenticator Bluetoothパスキーの使用を制限する
一部の組織では、パスキーの使用を含むBluetoothの使用を制限しています。 このような場合、組織は、passkey 対応 FIDO2 認証子と排他的にペアリングBluetooth許可することで、パスキーを許可できます。 パスキーに対してのみBluetooth使用法を構成する方法の詳細については、「Bluetooth制限された環境でのパスキー」を参照してください。
パスキーを削除する
ユーザーが Authenticator でパスキーを削除すると、そのパスキーもユーザーのサインイン メソッドから削除されます。 認証ポリシー管理者は、次の手順に従ってユーザーの認証方法からパスキーを削除することもできますが、Authenticator からパスキーは削除されません。
- Microsoft Entra 管理センターにサインインし、パスキーを削除する必要があるユーザーを検索します。
- [認証方法]> を選択し、[FIDO2 セキュリティ キー] を右クリックし、[削除] を選択します。
Note
ユーザーが Authenticator でパスキーの削除を開始しない限り、デバイスの Authenticator のパスキーも削除する必要があります。
Authenticator でパスキーを使用したサインインを適用する
機密リソースにアクセスする際に、ユーザーにパスキーを使用してサインインさせるには、組み込みのフィッシングに強い認証強度を使用するか、次の手順に従ってカスタム認証強度を作成します。
条件付きアクセス管理者として Microsoft Entra 管理センターにサインインします。
[保護]>[認証方法]>[認証強度] に移動します。
[新しい認証強度] を選びます。
新しい認証強度のわかりやすい [名前] を指定します。
必要に応じて、[説明] を入力します。
[パスキー (FIDO2)] を選択し、[高度なオプション] を選択します。
Authenticator では、フィッシングに対する耐性のある MFA 強度を選択するか、パスキー用の AAGUID を追加できます。
- Android 用 Authenticator: de1e552d-db1d-4423-a619-566b625cdc84
- iOS 用 Authenticator: 90a3ccdf-635c-4729-a248-9b709135078f
[次へ] を選んで、ポリシー構成を確認します。