組織のパスキー (FIDO2) を有効にする
現在パスワードを使用している企業にとって、パスキー (FIDO2) は、ユーザー名やパスワードを入力せずに認証できるシームレスな方法を従業員に提供する手段になります。 パスキー (FIDO2) は、従業員の生産性を向上させ、セキュリティを強化します。
この記事では、組織でパスキーを有効にするための要件と手順の一覧を示します。 これらの手順を完了すると、組織内のユーザーは、FIDO2 セキュリティ キーまたは Microsoft Authenticator に格納されているパスキーを使用して、Microsoft Entra アカウントを登録し、サインインすることができます。
Microsoft Authenticator でパスキーを有効にする方法の詳細については、「Microsoft Authenticator でパスキーを有効にする方法」を参照してください。
パスキー認証の詳細については、「Microsoft Entra ID を使用した FIDO2 認証のサポート」を参照してください。
Note
Microsoft Entra ID は現在、FIDO2 セキュリティ キーおよび Microsoft Authenticator に格納されているデバイス バインド パスキーをサポートしています。 Microsoft は、パスキーを使用した顧客とユーザーの保護に取り組んでいます。 職場アカウント用の同期パスキーとデバイス バインド パスキーの両方に投資しています。
要件
- Microsoft Entra 多要素認証 (MFA)。
- Microsoft Entra ID を使用した構成証明の対象となる FIDO2 セキュリティ キーまたは Microsoft Authenticator。
- パスキー (FIDO2) 認証をサポートするデバイス。 Microsoft Entra ID に参加している Windows デバイスの場合は、Windows 10 バージョン 1903 以降で最適なエクスペリエンスが得られます。 ハイブリッド参加済みデバイスでは、Windows 10 バージョン 2004 以降を実行する必要があります。
パスキー (FIDO2) は、Windows、macOS、Android、iOS の主要なシナリオでサポートされています。 サポートされているシナリオの詳細については、「Microsoft Entra ID での FIDO2 認証のサポート」を参照してください。
メモ
Android 上の Edge での同じデバイスの登録は近日中にサポートされるようになります。
パスキー (FIDO2) の Authenticator 構成証明 GUID (AAGUID)
FIDO2 の仕様では、各セキュリティ キー ベンダーが登録時に Authenticator 構成証明 GUID (AAGUID) を提供する必要があります。 AAGUID は、製造元やモデルなどのキーの種類を表す 128 ビットの識別子です。 デスクトップおよびモバイル デバイスのパスキー (FIDO2) プロバイダーも登録時に AAGUID を提供することが求められます。
メモ
ベンダーは、自身が作成するすべての実質的に同一のセキュリティ キーまたはパスキー (FIDO2) プロバイダーにわたって AAGUID が同一であり、他のすべての種類のセキュリティ キーまたはパスキー (FIDO2) プロバイダーの AAGUID とは (高い確率で) 異なることを保証する必要があります。 これを保証するために、特定のセキュリティ キー モデルまたはパスキー (FIDO2) プロバイダーの AAGUID はランダムに生成する必要があります。 詳しくは「Web 認証: 公開キー認証情報にアクセスする API - レベル 2」(w3.org) をご覧ください。
セキュリティ キー ベンダーと協力して、パスキー (FIDO2) の AAGUID を特定するか、「Microsoft Entra ID を使用した構成証明の対象となる FIDO2 セキュリティ キー」を参照してください。 パスキー (FIDO2) がすでに登録されている場合は、ユーザーのパスキー (FIDO2) の認証方法の詳細を表示することで、AAGUID を見つけることができます。
パスキー (FIDO2) 認証方法を有効にする
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
[保護]>[認証方法]>[認証方法ポリシー] の順に移動します。
[パスキー (FIDO2)] 方法で、トグルを [有効にする] に設定します。 [すべてのユーザー] または [グループの追加] を選択して特定のグループを選択します。 セキュリティ グループのみがサポートされています。
[構成] タブで、次を実行します。
[セルフサービス設定] を [はい] に設定します。 [いいえ] に設定すると、ユーザーは認証方法ポリシーでパスキー (FIDO2) が有効になっている場合でも、[セキュリティ情報] を使用してパスキーを登録できません。
FIDO2 セキュリティ キー モデルまたはパスキー プロバイダーが本物であり、正規のベンダーが提供したものであることを確実にするには、[構成証明の適用] を [はい] に設定します。
- FIDO2 セキュリティ キーについては、セキュリティ キー メタデータを FIDO Alliance メタデータ サービスで公開および検証する必要があるほか、Microsoft の別の検証テストにも合格する必要があります。 詳細については、「Microsoft と互換性のある FIDO2 セキュリティ キー ベンダーになる」を参照してください。
- Microsoft Authenticator のパスキーの場合、一般提供のために構成証明のサポートが計画されています。
警告
構成証明の適用は、登録時にのみパスキー (FIDO2) が許可されるかどうかを制御します。 [構成証明の適用] を後で [はい] に設定した場合でも、構成証明なしでパスキー (FIDO2) を登録するユーザーは、サインイン時にブロックされません。
キーの制限ポリシー
- 組織が AAGUID によって識別される特定のセキュリティ キー モデルまたはパスキー プロバイダーのみを許可または禁止する場合にのみ、[キー制限の適用] を [はい] に設定する必要があります。 セキュリティ キー ベンダーと協力して、パスキーの AAGUID を特定できます。 パスキーがすでに登録されている場合は、ユーザーのパスキーの認証方法の詳細を表示することで、AAGUID を見つけることができます。
[キー制限の適用] が [はい] に設定されている場合は、Microsoft Authenticator を選択して、キー制限リストに Authenticator アプリの AAGUID を自動的に追加できます。 詳細については、「Microsoft Authenticator でパスキーを有効にする」を参照してください。
警告
キー制限により、特定のモデルまたはプロバイダーが登録と認証の両方に使用できるかどうかを設定します。 キーの制限を変更し、以前は許可していた AAGUID を削除すると、許可された方法を前に登録していたユーザーはサインインにそれを使用できなくなります。
現在、組織でキー制限が適用されておらず、アクティブなパスキーが既に使用されている場合は、現在使用されているキーの AAGUID を収集する必要があります。 これらを Authenticator AAGUID と共に許可リストに追加して、パスキーを有効にします (FIDO2)。 このタスクは、登録の詳細やサインイン ログなどのログを分析する自動化されたスクリプトを使用して実行できます。
Note
キーの制限をオフにする場合は、[Microsoft Authenticator] チェック ボックスをオフにして、ユーザーが Authenticator アプリの [セキュリティ情報] でパスキーを設定するように求められないようにします。
構成が完了したら、[保存] を選択します。
メモ
保存しようとするとエラーが表示される場合は、1 回の操作で複数のグループを 1 つのグループに置き換え、もう一度 [保存] をクリックします。
Microsoft Graph API を使用して FIDO2 セキュリティ キーをプロビジョニングする (プレビュー)
現在プレビュー段階で、管理者は Microsoft Graph とカスタム クライアントを使用して、ユーザーに代わって FIDO2 セキュリティ キーをプロビジョニングできます。 プロビジョニングには、認証管理者ロール または UserAuthenticationMethod.ReadWrite.All アクセス許可を持つクライアント アプリケーションが必要です。 プロビジョニングの改善点は次のとおりです。
- Microsoft Entra ID から WebAuthn 作成オプション を要求する機能
- プロビジョニングされたセキュリティ キーを Microsoft Entra ID に直接登録する機能
これらの新しい API を使用すると、組織はユーザーに代わってセキュリティ キーにパスキー (FIDO2) 資格情報をプロビジョニングする独自のクライアントを構築できます。 このプロセスを簡略化するには、主要な手順 3 つが必要です。
- ユーザーの creationOptions を要求: Microsoft Entra ID は、クライアントがパスキー (FIDO2) 資格情報をプロビジョニングするのに必要なデータを返します。 これには、ユーザー情報、証明書利用者 ID、資格情報ポリシー要件、アルゴリズム、登録チャレンジなどの情報が含まれます。
- 作成オプションを使用してパスキー (FIDO2) 資格情報をプロビジョニング:
creationOptions
と、Client to Authenticator Protocol (CTAP) をサポートするクライアントを使用して、資格情報をプロビジョニングします。 この手順では、セキュリティ キーを挿入して PIN を設定する必要があります。 - プロビジョニングされた資格情報を Microsoft Entra ID に登録: プロビジョニング プロセスからの書式設定された出力を使用して、対象ユーザーのパスキー (FIDO2) 資格情報を登録するのに必要なデータを Microsoft Entra ID に提供します。
Microsoft Graph API を使用してパスキー (FIDO2) を有効にする
Microsoft Entra 管理センターを使用する方法があるほか、Microsoft Graph API を使用してパスキー (FIDO2) を有効にすることもできます。 パスキー (FIDO2) を有効にするには、少なくとも認証ポリシー管理者として認証方法ポリシーを更新する必要があります。
Graph エクスプローラーを使用してポリシーを構成するには、次の手順を実行します。
Graph エクスプローラーにサインインし、Policy.Read.All および Policy.ReadWrite.AuthenticationMethod のアクセス許可に同意します。
認証方法ポリシーを取得します。
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
構成証明の適用を無効にして、たとえば RSA DS100 の AAGUID のみを許可するようにキー制限を適用するには、次の要求本文を使用して PATCH 操作を実行します。
PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: { "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": false, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "7e3f3d30-3557-4442-bdae-139312178b39", <insert previous AAGUIDs here to keep them stored in policy> ] } }
パスキー (FIDO2) ポリシーが正しく更新されていることを確認してください。
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
パスキー (FIDO2) を削除する
ユーザー アカウントに関連付けられたパスキー (FIDO2) を削除するには、ユーザーの認証方法からを削除します。
- Microsoft Entra 管理センターにサインインし、パスキー (FIDO2) を削除する必要があるユーザーを検索します。
- [認証方法]> を選択し、[パスキー (デバイス バインド)] を右クリックして、[削除] を選択します。
パスキー (FIDO2) サインインを適用する
ユーザーが機密リソースにアクセスするときにパスキー (FIDO2) を使用してサインインさせるには、次を行います。
フィッシングに強い、組み込みの認証強度を使用する
または
カスタムの認証強度を作成する
次の手順は、特定のセキュリティ キー モデルまたはパスキー (FIDO2) プロバイダーに対してのみパスキー (FIDO2) サインインを許可する、カスタムの認証強度の条件付きアクセス ポリシーを作成する方法を示しています。 FIDO2 プロバイダーの一覧については、「Microsoft Entra ID を使用した構成証明の対象となる FIDO2 セキュリティ キー」をご覧ください。
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- [保護]>[認証方法]>[認証強度] に移動します。
- [新しい認証強度] を選びます。
- 新しい認証強度の [名前] を指定します。
- 必要に応じて、[説明] を入力します。
- [パスキー (FIDO2)] を選択します。
- 必要に応じて、特定の AAGUID による制限を行う場合は、[詳細オプション]、[AAGUID の追加] の順に選択します。 許可する AAGUID を入力します。 [保存] を選択します。
- [次へ] を選んで、ポリシー構成を確認します。
既知の問題
セキュリティ キーのプロビジョニング
セキュリティ キーの管理者プロビジョニングはパブリック プレビュー段階です。 「ユーザーに代わって FIDO2 セキュリティ キーをプロビジョニングする Microsoft Graph とカスタム クライアント」を参照してください。
B2B コラボレーション ユーザー
パスキー (FIDO2) 資格情報の登録は、リソース テナント内の B2B Collaboration ユーザーをサポートしていません。
UPN の変更
ユーザーの UPN が変更されると、その変更に対応するためにパスキーが変更できなくなります。 ユーザーがパスキー (FIDO2) を持っている場合は、[セキュリティ情報] にサインインし、古いパスキー (FIDO2) を削除して、新しいものを追加する必要があります。
次のステップ
パスキー (FIDO2) によるパスワードレス認証のネイティブ アプリサポートとブラウザー サポート
FIDO2 セキュリティ キーでの Windows 10 のサインイン