次の方法で共有

Authenticator でパスキーを有効にする

  • [アーティクル]

この記事では、Microsoft Entra ID の Authenticator でのパスキーの使用を有効にして適用する手順の一覧を示します。 まず、認証方法ポリシーを更新して、ユーザーが Authenticator でパスキーを使用して登録およびサインインできるようにします。 その後、条件付きアクセス認証の強度ポリシーを使用して、ユーザーが機密リソースにアクセスするときにパスキー サインインを適用できます。

要件

  • Microsoft Entra 多要素認証 (MFA)
  • Android 14 以降または iOS 17 以降。
  • パスキー登録/認証プロセスの一部である任意のデバイス上のアクティブなインターネット接続。 組織内の次の 2 つのエンドポイントへの接続を許可して、デバイス間の登録と認証を有効にする必要があります。
    • https://cable.ua5v.com
    • https://cable.auth.com
  • クロスデバイス登録/認証の場合、両方のデバイスでBluetoothが有効になっている必要があります。

Note

ユーザーは、パスキーを使用するには、Android または iOS 用の Authenticator の最新バージョンをインストールする必要があります。

Authenticator でパスキーを使用してサインインできる場所の詳細については、「Microsoft Entra ID を使用した FIDO2 認証のサポート」を参照してください。

管理センターで Authenticator でのパスキーを有効にする

認証ポリシー管理者は、認証方法ポリシーのパスキー (FIDO2) 設定 で Authenticator を許可することに同意する必要があります。 ユーザーが Authenticator アプリにパスキーを登録できるようにするには、Authenticator の認証 GUID (AAGUID) を明示的に許可する必要があります。 認証方法ポリシーの Microsoft Authenticator アプリ セクションでパスキーを有効にする設定はありません。

  1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。

  2. [保護]、>、[認証方法ポリシー] の順に移動します。

  3. [パスキー (FIDO2)] の方法で、[すべてのユーザー] または [グループの追加] を選択して特定のグループを選択します。 セキュリティ グループのみがサポートされています

  4. [構成] タブで、次を実行します。

    • [セルフサービス設定][はい] に設定します。 なし に設定されている場合、認証方法ポリシーでパスキー (FIDO2) が有効になっている場合でも、セキュリティ情報を使用してパスキーを登録することはできません。

    • [構成証明の適用][はい] に設定します。

      パスキー (FIDO) ポリシーで構成証明が有効な場合、Microsoft Entra ID により、作成されるパスキーの正当性の検証が試行されます。 ユーザーが Authenticator にパスキーを登録している場合、認証は、正規の Authenticator アプリが Apple および Google サービスを使用してパスキーを作成したことを確認します。 詳細は次のとおりです。

      • iOS: Authenticator の認証では、iOS アプリ認証サービス を使用して、パスキーを登録する前に Authenticator アプリの正当性を確保します。

        Note

        構成証明が適用されるときに Authenticator にパスキーを登録するサポートは、現在、iOS Authenticator アプリ ユーザーにロールアウトされています。 Android デバイス上の Authenticator への構成証明済みパスキーの登録のサポートは、最新バージョンのアプリのすべてのユーザーが利用できます。

      • Android:

        • Play Integrity 構成証明の場合、Authenticator 構成証明は、Play Integrity API を使用して Authenticator アプリの正当性を確認してから、パスキーを登録します。
        • キー構成証明の場合、Authenticator 構成証明は、Android によるキー構成証明を使用して、登録対象のパスキーがハードウェアでサポートされていることを確認します。

      Note

      iOS と Android のいずれでも、Authenticator 構成証明は Apple および Google のサービスを利用して、Authenticator アプリの信頼性を確認します。 サービスの使用率が高いと、パスキーの登録が失敗する可能性があり、ユーザーはもう一度やり直す必要があります。 Apple および Google のサービスが停止している場合、Authenticator 構成証明は、サービスが復旧するまで構成証明を必要とする登録をブロックします。 Google Play Integrity サービスの状態を監視するには、「Google Play ステータス ダッシュボード」を参照してください。 iOS App Attest サービスの状態を監視するには、「System Status」(システム状態) を参照してください。

    • キーの制限により、登録と認証の両方について特定のパスキーを使用できるかどうかが設定されます。 [キー制限の適用][はい] に設定すると、特定のパスキーのみが許可またはブロックされ、AAGUID によって識別されます。

      この設定は [はい]にする必要があります。また、Authenticatorにユーザーがパスキーを登録できるように、Authenticator AAGUIDを追加する必要があります。そのためには、ユーザーがAuthenticatorアプリにサインインするか、セキュリティ情報からMicrosoft Authenticator に パスキーを追加してください。

      セキュリティ情報 では、ユーザーが Authenticator で Passkey を選択し、専用の Authenticator パスキー登録フローを実行できるように、この設定を [はい] に設定する必要があります。 [なし] を選択した場合でも、オペレーティング システムとブラウザーに応じて、セキュリティ キーまたはパスキー 方法を選択することで、Authenticator にパスキーを追加できる可能性があります。 ただし、Microsoft では、多数のユーザーがこの方法を見つけて使用するとは想定していません。

      現在、組織でキー制限が適用されておらず、アクティブなパスキーの使用が既にある場合は、使用されているパスキーの AAGUID を収集します。 これらのパスキー AAGUID を Authenticator AAGUID に含めます。

      PowerShell スクリプトを使用して、テナントで使用されている AAGUID を見つけることができます。 詳細については、「AAGUID の検索」を参照してください。

      キーの制限を変更し、以前は許可していた AAGUID を削除すると、許可された方法を前に登録していたユーザーはサインインにそれを使用できなくなります。

    • [特定のキーを制限][許可] に設定します。

    • Microsoft Authenticator を選択すると、Authenticator アプリの AAGUID がキー制限リストに自動的に追加されます。 次の AAGUID を手動で追加して、ユーザーが Authenticator アプリにサインインするか、セキュリティ情報のガイド付きフローを使用して、Authenticator にパスキーを登録できるようにすることもできます。

      • Android 用の Authenticator: de1e552d-db1d-4423-a619-566b625cdc84
      • iOS 用の Authenticator: 90a3ccdf-635c-4729-a248-9b709135078f

      Note

      キーの制限をオフにする場合は、Microsoft Authenticator チェック ボックスをオフにして、ユーザーが セキュリティ情報で Authenticator アプリにパスキーを設定するように求めないようにします。

    パスキーに対して Authenticator が有効になっていることを示すスクリーンショット。

  5. 構成が完了したら、[保存] を選択します。

    保存しようとするとエラーが表示される場合は、1 回の操作で複数のグループを 1 つのグループに置き換え、再度 保存 を選択します。

Graph Explorer を用いて Authenticator でパスキーを有効にする

Microsoft Entra 管理センターを使用するだけでなく、Graph エクスプローラーを使用して Authenticator でのパスキーを有効にすることもできます。 少なくとも 認証ポリシー管理者 ロールが割り当てられている場合は、認証システムの AAGUID を許可するように認証方法ポリシーを更新できます。

Graph エクスプローラーを使用してポリシーを構成するには:

  1. Graph エクスプローラーにサインインし、Policy.Read.All および Policy.ReadWrite.AuthenticationMethod のアクセス許可に同意します。

  2. 認証方法ポリシーを取得します。

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. 認証の強制を無効にし、Authenticator の AAGUID のみを許可するようにキー制限を適用するには、次の要求本文を使用して PATCH 操作を実行します。

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": true,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "90a3ccdf-635c-4729-a248-9b709135078f",
            "de1e552d-db1d-4423-a619-566b625cdc84"

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. パスキー (FIDO2) ポリシーが正しく更新されていることを確認してください。

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

AAGUID を検索する

GetRegisteredPasskeyAAGUIDsForAllUsers.ps1 Microsoft Graph PowerShell スクリプトを使用して、テナントに登録されているすべてのパスキーの AAGUID を列挙します。

このスクリプトの本文を GetRegisteredPasskeyAAGUIDsForAllUsers.ps1という名前のファイルに保存します。

# Disconnect from Microsoft Graph
Disconnect-MgGraph

# Connect to Microsoft Graph with required scopes
Connect-MgGraph -Scope 'User.Read,UserAuthenticationMethod.Read,UserAuthenticationMethod.Read.All'

# Define the output file [If the script is run more than once, delete the file to avoid appending to it.]
$file = ".\AAGUIDs.txt"

# Initialize the file with a header
Set-Content -Path $file -Value '---'

# Retrieve all users
$UserArray = Get-MgBetaUser -All

# Iterate through each user
foreach ($user in $UserArray) {
    # Retrieve Passkey authentication methods for the user
    $fidos = Get-MgBetaUserAuthenticationFido2Method -UserId $user.Id

    if ($fidos -eq $null) {
        # Log and write to file if no Passkey methods are found
        Write-Host "User object ID $($user.Id) has no Passkey"
        Add-Content -Path $file -Value "User object ID $($user.Id) has no Passkey"
    } else {
        # Iterate through each Passkey method
        foreach ($fido in $fidos) {
            # Log and write to file the Passkey details
            Write-Host "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
            Add-Content -Path $file -Value "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
        }
    }

    # Log and write a separator to file
    Write-Host "==="
    Add-Content -Path $file -Value "==="
}

Authenticator で Bluetooth の使用をパスキーに制限する

一部の組織では、パスキーの使用を含む Bluetooth の使用を制限しています。 このような場合、組織がパスキー許可するには、パスキー対応の FIDO2 認証システムとの Bluetooth ペアリングのみを許可します。 Bluetooth の使用をパスキーのみにする構成方法について詳しくは、「Bluetooth が制限された環境でのパスキー」をご覧ください。

パスキーを削除する

ユーザーが Authenticator でパスキーを削除すると、そのパスキーはユーザーのサインイン方法からも削除されます。 認証ポリシー管理者は、次の手順に従ってユーザーの認証方法からパスキーを削除することもできますが、Authenticator からパスキーは削除されません。

  1. Microsoft Entra 管理センターにサインインし、パスキーを削除する必要があるユーザーを検索します。

  2. [認証方法]を選択し、FIDO2 セキュリティ キー右クリックして、[の削除] 選択します。

    ユーザーが自分で Authenticator でパスキーの削除を開始した場合を除き、デバイス上の Authenticator でもパスキーを削除する必要があります。

Authenticator でパスキーを使用したサインインを適用する

機密リソースにアクセスする際に、ユーザーにパスキーを使用してサインインさせるには、組み込みのフィッシングに強い認証強度を使用するか、次の手順に従ってカスタム認証強度を作成します。

  1. 条件付きアクセス管理者として Microsoft Entra 管理センターにサインインします。

  2. [保護]>[認証方法]>[認証強度] に移動します。

  3. [新しい認証強度] を選びます。

  4. 新しい認証強度のわかりやすい名前を指定します。

  5. 必要に応じて、説明を入力します。

  6. パスキー (FIDO2)を選択し、次に 詳細オプションを選択します。

  7. [フィッシングに強い MFA 強度]を選択するか、Authenticator でパスキーの AAGUID を追加します。

    • Android 用の Authenticator: de1e552d-db1d-4423-a619-566b625cdc84
    • iOS 用の Authenticator: 90a3ccdf-635c-4729-a248-9b709135078f

  8. [次 を選択し、ポリシーの構成を確認します。

関連コンテンツ