Microsoft Entra ID テナントの Authenticator でパスキーをサポートする
この記事では、Authenticator でパスキーを使用するときにユーザーに表示される可能性がある問題と、管理者がそれらを解決する方法について説明します。
Android プロファイルにパスキーを格納する
Android のパスキーは、保存されているプロファイルからのみ使用されます。 パスキーが Android Work プロファイルに格納されている場合は、そのプロファイルから使用されます。 パスキーが Android Personal プロファイルに格納されている場合は、そのプロファイルから使用されます。 ユーザーが必要なパスキーにアクセスして使用できるようにするには、Android Personal プロファイルと Android Work プロファイルの両方を持つユーザーが、各プロファイルの Authenticator にパスキーを作成する必要があります。
回避策
Authenticator パスキーの問題については、次の回避策を使用してください。
認証強度条件付きアクセス ポリシー ループの回避策
条件付きアクセス ポリシーで、すべてのリソース (旧称 "すべてのクラウド アプリ")に
- 条件: すべてのデバイス (Windows、Linux、macOS、Windows、Android)
- ターゲット リソース: すべてのリソース (旧称 'すべてのクラウド アプリ')
- 制御の許可: 認証強度 – Authenticator でパスキーを要求する
このポリシーにより、対象ユーザーはパスキーを使用して、Authenticator アプリを含むすべてのクラウド アプリケーションにサインインするように強制されます。 Android または iOS の Authenticator でパスキーを追加しようとすると、ユーザーはパスキーを使用する必要があります。
いくつかの回避策を次に示します。
アプリケーションをフィルター処理し、ポリシーのターゲットを [すべてのリソース] (旧称 'すべてのクラウド アプリ') から特定のアプリケーションに切り替えることができます。 まず、テナントで使用されているアプリケーションのレビューから始めます。 フィルターを使用して Authenticator やその他のアプリケーションにタグを付ける。
サポート コストをさらに削減するには、パスキーを適用する前に、ユーザーがパスキーを採用できるようにするための社内キャンペーンを実施できます。 パスキーの使用を適用する準備が整ったら、次の 2 つの条件付きアクセス ポリシーを作成します。
- モバイル オペレーティング システム (OS) バージョンのポリシー
- デスクトップ OS バージョンのポリシー
各ポリシーに異なる認証強度を要求し、次の表の中に示したその他のポリシー設定を構成します。 ユーザーの 一時アクセス パス (TAP) を有効にしたり、他の認証方法を有効にして、ユーザーがパスキーを登録できるようにしたりできます。
TAP は、ユーザーがパスキーを登録できる時間を制限します。 これは、パスキー登録を許可するモバイル プラットフォームでのみ受け入れられます。
条件付きアクセス ポリシー デスクトップ OS モバイル OS Name デスクトップ OS にアクセスするには、Authenticator のパスキーが必要です。 モバイル OS にアクセスするには、TAP、フィッシングに強い資格情報、またはその他の指定された認証方法が必要です。 条件 特定のデバイス (デスクトップ オペレーティング システム)。 特定のデバイス (モバイル オペレーティング システム)。 デバイス N/A。 Android、iOS。 デバイスを除外する Android、iOS。 N/A。 ターゲット リソース すべてのリソース。 すべてのリソース。 付与の制御 認証の強度。 認証の強度。1 メソッド Authenticator のパスキー。 TAP、Authenticator のパスキー。 ポリシーの結果 Authenticator でパスキーを使用してサインインできないユーザーは、マイ サインイン ウィザード モードに移動します。 登録後、モバイル デバイス上で Authenticator にサインインするように求められます。 TAP または別の許可された方法を使用して Authenticator にサインインするユーザーは、Authenticator に直接パスキーを登録できます。 ユーザーが認証要件を満たしているため、ループは発生しません。 1ユーザーが新しいサインイン方法を登録するには、モバイル ポリシーの制御の許可と、セキュリティ情報を登録するための条件付きアクセス ポリシーが一致する必要があります。
Note
いずれの回避策でも、ユーザーは セキュリティ情報の登録 を対象とする条件付きアクセス ポリシーを満たす必要があります。また、パスキーを登録できません。 すべてのリソース ポリシーを使用して他の条件を設定している場合は、パスキーの登録時にこれらの条件を満たす必要があります。
承認済みのクライアント アプリが必要であるか、またはアプリ保護ポリシーの条件付きアクセス許可付与制御が必要なため、パスキーを登録できないユーザー
ユーザーが次の条件付きアクセス ポリシーに含まれている場合、ユーザーは Authenticator にパスキーを登録できません。
- 条件: すべてのデバイス (Windows、Linux、macOS、Windows、Android)
- ターゲット リソース: すべてのリソース (旧称 'すべてのクラウド アプリ')
- 付与の制御: 承認されたクライアント アプリが必要、またはアプリ保護ポリシーが必要
このポリシーは、Microsoft Intune アプリ保護ポリシーをサポートするアプリを使用し、すべてのクラウド アプリケーション
いくつかの回避策を次に示します。
アプリケーションをフィルター処理し、ポリシーのターゲットを [すべてのリソース] (旧称 'すべてのクラウド アプリ') から特定のアプリケーションに切り替えることができます。 まず、テナントで使用されているアプリケーションのレビューから始めます。 フィルターを使用して適切なアプリケーションにタグを付ける。
モバイル デバイス管理 (MDM) と、[準拠としてマークされたデバイスが必要] コントロールを使用できます。 MDM がデバイスを完全に管理し、準拠している場合、Authenticator はこの許可制御を満たすことができます。 例えば:
- 条件: すべてのデバイス (Windows、Linux、macOS、Windows、Android)
- ターゲット リソース: すべてのリソース (旧称 'すべてのクラウド アプリ')
- 付与の制御: 承認されたクライアント アプリが必要、アプリ保護ポリシーが必要、または準拠としてマークされたデバイスが必要
条件付きアクセス ポリシーの一時的な除外をユーザーに付与できます。 1 つ以上の補正コントロールを使用することをお勧めします。
- 一定期間だけ除外を許可します。 パスキーの登録が許可されたら、ユーザーに通信します。 期間の経過後に除外を削除します。 その後、時間を逃した場合は、ヘルプ デスクに電話するようユーザーに指示します。
- 別の条件付きアクセス ポリシーを使用して、ユーザーが特定のネットワークの場所または準拠しているデバイスからのみ登録するように要求します。
Note
提案された回避策では、ユーザーは セキュリティ情報の登録 を対象とする条件付きアクセス ポリシーを満たす必要があります。また、パスキーを登録できません。 すべてのリソース ポリシーを使用して他の条件を設定している場合は、ユーザーがパスキーを登録する前に、それらの条件も満たす必要があります。
Authenticator で Bluetooth の使用をパスキーに制限する
一部の組織では、パスキーの使用を含む Bluetooth の使用を制限しています。 このような場合、組織がパスキー許可するには、パスキー対応の FIDO2 認証システムとの Bluetooth ペアリングのみを許可します。 Bluetooth の使用をパスキーのみにする構成方法について詳しくは、「Bluetooth が制限された環境でのパスキー」をご覧ください。
関連コンテンツ
- Authenticator でのパスキーの詳細については、Microsoft Authenticator の認証方法を参照してください。
- ユーザーがサインインする方法として Authenticator でパスキーを有効にするには、「Microsoft Authenticatorでパスキーを有効にする」を参照してください。