次の方法で共有

Authenticator でパスキーを有効にする

  • [アーティクル]

この記事では、Microsoft Entra ID の Authenticator でのパスキーの使用を有効にして適用する手順の一覧を示します。 まず、認証方法ポリシーを更新して、ユーザーが Authenticator でパスキーを使用して登録およびサインインできるようにします。 その後、条件付きアクセス認証の強度ポリシーを使用して、ユーザーが機密リソースにアクセスするときにパスキー サインインを適用できます。

要件

  • Microsoft Entra 多要素認証 (MFA)

  • Android 14 以降または iOS 17 以降。

  • クロスデバイス登録と認証の場合:

    • 両方のデバイスでBluetoothが有効になっている必要があります。
    • 組織では、次の 2 つのエンドポイントへのインターネット接続を許可する必要があります。
      • https://cable.ua5v.com
      • https://cable.auth.com

    Note

    認証を有効にした場合、ユーザーはクロスデバイス登録を利用できません。

FIDO2 のサポートの詳細については、「Microsoft Entra IDを使用した FIDO2 認証のサポート」を参照してください。

管理センターで Authenticator でのパスキーを有効にする

  1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。

  2. [保護]、>、[認証方法ポリシー] の順に移動します。

  3. [パスキー (FIDO2)] の方法で、[すべてのユーザー] または [グループの追加] を選択して特定のグループを選択します。 セキュリティ グループのみがサポートされています

  4. [構成] タブで、次を実行します。

    • [セルフサービス設定][はい] に設定します。 なしに設定されている場合、認証方法ポリシーでパスキー (FIDO2) が有効になっている場合でも、セキュリティ情報を使用してパスキーを登録することはできません。

    • [構成証明の適用][はい] または [いいえ] に設定します。

      パスキー (FIDO2) ポリシーで構成証明が有効になっている場合、Microsoft Entra ID は作成されるパスキーの正当性の検証を試みます。 ユーザーが Authenticator にパスキーを登録している場合、認証は、正規の Authenticator アプリが Apple および Google サービスを使用してパスキーを作成したことを確認します。 詳細は次のとおりです。

      • iOS: Authenticator の証明では、iOS アプリアテストサービス を使って、パスキーを登録する前に Authenticator アプリの正当性を確認します。

      • Android:

        • Play Integrity 構成証明の場合、Authenticator 構成証明は、Play Integrity API を使用して Authenticator アプリの正当性を確認してから、パスキーを登録します。
        • キー構成証明の場合、Authenticator 構成証明は、Android によるキー構成証明を使用して、登録対象のパスキーがハードウェアでサポートされていることを確認します。

      Note

      iOS と Android のいずれでも、Authenticator 構成証明は Apple および Google のサービスを利用して、Authenticator アプリの信頼性を確認します。 サービスの使用率が高いと、パスキーの登録が失敗する可能性があり、ユーザーはもう一度やり直す必要があります。 Apple および Google のサービスが停止している場合、Authenticator 構成証明は、サービスが復旧するまで構成証明を必要とする登録をブロックします。 Google Play Integrity サービスの状態を監視するには、「Google Play ステータス ダッシュボード」を参照してください。 iOS App Attest サービスの状態を監視するには、「System Status」(システム状態) を参照してください。

    Note

    ユーザーは保証されたパスキーのみを Authenticator アプリに直接登録できます。 クロスデバイス登録フローでは、認証済みパスキーの登録はサポートされていません。

    • キーの制限 登録と認証の両方で特定のパスキーの使いやすさを設定します。 キー制限の適用No に設定すると、ユーザーは Authenticator アプリで直接パスキーの登録を含め、サポートされているパスキーを登録できます。

      [キー制限の適用][はい] に設定すると、AAGUID で識別される特定のパスキーのみを許可またはブロックできます。 2月中旬まで、セキュリティ情報 では、この設定を はい に設定する必要があります。これにより、ユーザーが Authenticator パスキーを選択し、専用の Authenticator パスキー登録フローを通過できるようにします。 [なし] を選択した場合、SecurityInfo に移動するユーザーは、オペレーティング システムとブラウザーに応じて、セキュリティ キーまたはパスキー メソッドを選択することで、Authenticator にパスキーを追加できる可能性があります。 ただし、Microsoft では、多数のユーザーがこの方法を見つけて使用するとは想定していません。

      キー制限を適用し、既にアクティブなパスキーの使用がある場合は、現在使用されているパスキーの AAGUID を収集する必要があります。 PowerShell スクリプトを使用して、テナントで使用されている AAGUID を見つけることができます。 詳細については、「AAGUID を検索」を参照してください。

      [特定のキーを制限する][許可] に設定した場合は、Microsoft Authenticator を選択して、Authenticator アプリの AAGUID をキー制限の一覧に自動的に追加します。 次の AAGUID を手動で追加して、ユーザーが Authenticator アプリにサインインするか、セキュリティ情報のガイド付きフローを使用して、Authenticator にパスキーを登録できるようにすることもできます。

      • Android 用の Authenticator: de1e552d-db1d-4423-a619-566b625cdc84
      • iOS 用の Authenticator: 90a3ccdf-635c-4729-a248-9b709135078f

      キーの制限を変更し、以前は許可していた AAGUID を削除すると、許可された方法を前に登録していたユーザーはサインインにそれを使用できなくなります。

      Note

      キーの制限をオフにする場合は、Microsoft Authenticator チェック ボックスをオフにして、ユーザーが セキュリティ情報で Authenticator アプリにパスキーを設定するように求めないようにします。

    パスキーに対して Authenticator が有効になっていることを示すスクリーンショット。

  5. 構成が完了したら、[保存] を選択します。

    保存しようとするとエラーが表示される場合は、1 回の操作で複数のグループを 1 つのグループに置き換え、もう一度 [保存] を選択します。

Graph エクスプローラーを使用して Authenticator でのパスキーを有効にする

Microsoft Entra 管理センターを使用するだけでなく、Graph エクスプローラーを使用して Authenticator でのパスキーを有効にすることもできます。 少なくとも 認証ポリシー管理者 ロールが割り当てられている場合は、認証システムの AAGUID を許可するように認証方法ポリシーを更新できます。

Graph エクスプローラーを使用してポリシーを構成するには:

  1. Graph エクスプローラーにサインインし、Policy.Read.All および Policy.ReadWrite.AuthenticationMethod のアクセス許可に同意します。

  2. 認証方法ポリシーを取得します。

    GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. 認証の強制を無効にし、Authenticator の AAGUID のみを許可するようにキー制限を適用するには、次の要求本文を使用して PATCH 操作を実行します。

    PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": true,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "90a3ccdf-635c-4729-a248-9b709135078f",
            "de1e552d-db1d-4423-a619-566b625cdc84"

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. パスキー (FIDO2) ポリシーが正しく更新されていることを確認してください。

    GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

AAGUID を検索する

GetRegisteredPasskeyAAGUIDsForAllUsers.ps1 Microsoft Graph PowerShell スクリプトを使用して、テナントに登録されているすべてのパスキーの AAGUID を列挙します。

このスクリプトの本文を GetRegisteredPasskeyAAGUIDsForAllUsers.ps1という名前のファイルに保存します。

# Disconnect from Microsoft Graph
Disconnect-MgGraph

# Connect to Microsoft Graph with required scopes
Connect-MgGraph -Scope 'User.Read,UserAuthenticationMethod.Read,UserAuthenticationMethod.Read.All'

# Define the output file [If the script is run more than once, delete the file to avoid appending to it.]
$file = ".\AAGUIDs.txt"

# Initialize the file with a header
Set-Content -Path $file -Value '---'

# Retrieve all users
$UserArray = Get-MgBetaUser -All

# Iterate through each user
foreach ($user in $UserArray) {
    # Retrieve Passkey authentication methods for the user
    $fidos = Get-MgBetaUserAuthenticationFido2Method -UserId $user.Id

    if ($fidos -eq $null) {
        # Log and write to file if no Passkey methods are found
        Write-Host "User object ID $($user.Id) has no Passkey"
        Add-Content -Path $file -Value "User object ID $($user.Id) has no Passkey"
    } else {
        # Iterate through each Passkey method
        foreach ($fido in $fidos) {
            # Log and write to file the Passkey details
            Write-Host "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
            Add-Content -Path $file -Value "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
        }
    }

    # Log and write a separator to file
    Write-Host "==="
    Add-Content -Path $file -Value "==="
}

Authenticator で Bluetooth の使用をパスキーに制限する

一部の組織では、パスキーの使用を含む Bluetooth の使用を制限しています。 このような場合、組織がパスキー許可するには、パスキー対応の FIDO2 認証システムとの Bluetooth ペアリングのみを許可します。 Bluetooth の使用をパスキーのみにする構成方法について詳しくは、「Bluetooth が制限された環境でのパスキー」をご覧ください。

パスキーを削除する

ユーザーが Authenticator でパスキーを削除すると、そのパスキーはユーザーのサインイン方法からも削除されます。 認証ポリシー管理者は、次の手順に従ってユーザーの認証方法からパスキーを削除することもできますが、Authenticator からパスキーは削除されません。

  1. Microsoft Entra 管理センターにサインインし、パスキーを削除する必要があるユーザーを検索します。

  2. [認証方法]を選択し、パスキー 右クリックして、[の削除]選択します。

    ユーザーが自分で Authenticator でパスキーの削除を開始した場合を除き、デバイス上の Authenticator でもパスキーを削除する必要があります。

Authenticator でパスキーを使用したサインインを適用する

機密リソースにアクセスする際に、ユーザーにパスキーを使用してサインインさせるには、組み込みのフィッシングに強い認証強度を使用するか、次の手順に従ってカスタム認証強度を作成します。

  1. 条件付きアクセス管理者として Microsoft Entra 管理センターにサインインします。

  2. [保護]>[認証方法]>[認証強度] に移動します。

  3. [新しい認証強度] を選びます。

  4. 新しい認証強度のわかりやすい名前を指定します。

  5. 必要に応じて、説明を入力します。

  6. パスキー (FIDO2)を選択し、詳細オプションを選択します。

  7. [フィッシングに強い MFA 強度]を選択するか、Authenticator でパスキーの AAGUID を追加します。

    • Android用オーセンティケーター: de1e552d-db1d-4423-a619-566b625cdc84
    • iOS 用の Authenticator: 90a3ccdf-635c-4729-a248-9b709135078f

  8. [次 を選択し、ポリシーの構成を確認します。

関連コンテンツ