Microsoft Entra ID で耐フィッシング パスワードレス認証の展開を開始する
パスワードは、現代の敵対者にとって主要な攻撃ベクトルであり、ユーザーと管理者にとっての摩擦の原因でもあります。 全体的なゼロ トラストセキュリティ戦略の一環として、Microsoft は、認証ソリューションを耐フィッシング パスワードレスに移行することをおすすめしています。 このガイドは、組織に適した耐フィッシング パスワードレス認証情報の選択、準備、展開を支援します。 このガイドを使用して、耐フィッシング パスワードレスのプロジェクトを計画して実行してください。
多要素認証 (MFA) のような機能は、組織をセキュリティで保護するための優れた方法です。 しかし、ユーザーはパスワードを覚える必要がある上に、追加のセキュリティ層があることに不満を感じることがよくあります。 耐フィッシング パスワードレス認証方法の方がより便利です。 たとえば、マイクロソフト コンシューマー アカウントの解析では、パスワードを使用したサインインには平均で最大 9 秒かかることが示されていますが、パスキーにかかる時間はほとんどの場合約 3 秒です。 従来のパスワードと MFA によるサインインと比較したとき、パスキーによるサインインの速さと使いやすさは一層優れています。 パスキーのユーザーは、自分のパスワードを覚えることや、SMS メッセージを待つことは必要ありません。
Note
このデータは、マイクロソフト コンシューマー アカウントのサインインの解析に基づいています。
耐フィッシング パスワードレス メソッドには、追加のセキュリティも組み込まれています。 ユーザーが所持するもの (物理デバイスまたはセキュリティ キー) と、ユーザーが知っているものやユーザーそのもの (生体認証や PIN) を使用して、自動的に MFA としてカウントされます。 また、従来の MFA とは異なり、耐フィッシング パスワードレス メソッドは、簡単に侵害できないハードウェアでバックアップされた認証情報を使用して、ユーザーに対するフィッシング攻撃を回避します。
Microsoft Entra ID には、耐フィッシング パスワードレス認証のオプションとして次が用意されています。
- パスキー (FIDO2)
- Windows Hello for Business
- macOS プラットフォーム認証情報 (プレビュー)
- Microsoft Authenticator アプリのパスキー (プレビュー)
- FIDO2 セキュリティ キー
- その他のパスキーとプロバイダー (iCloud キーチェーンなど) - 計画中
- 認定資格証ベースの認証/スマート カード
前提条件
Microsoft Entra 耐フィッシング パスワードレス展開プロジェクトを開始する前に、次の前提条件を満たす必要があります。
- ライセンス要件のレビュー
- 権限アクションを実行するために必要なロールのレビュー
- 共同作業が必要な利害関係者チームの特定
ライセンス要件
Microsoft Entra での登録とパスワードレス サインインにはライセンスは必要ありませんが、パスワードレス展開に関連付けられている機能の完全なセットについては、少なくとも Microsoft Entra ID P1 ライセンスをおすすめします。 たとえば、Microsoft Entra ID P1 ライセンスは、条件付きアクセスによるパスワードレスサインインの実施や、認証方法の活動記録レポートによる展開の追跡を支援します。 このガイドで言及されている機能の具体的なライセンス要件については、ライセンス要件ガイダンスを参照してください。
アプリと Microsoft Entra ID を統合する
Microsoft Entra ID は、サービスとしてのソフトウェア (SaaS) アプリ、基幹業務 (LOB) アプリ、オンプレミス アプリなど、さまざまな種類のアプリケーションと統合されるクラウドベースの ID およびアクセス管理 (IAM) サービスです。 パスワードレスの耐フィッシング認証への投資から最大限のメリットを得るには、アプリケーションを Microsoft Entra ID と統合する必要があります。 Microsoft Entra ID を使用して多くのアプリを統合するほど、耐フィッシング認証方法の使用を実施する条件付きアクセス ポリシーを使用して、より多くの環境を保護できます。 アプリを Microsoft Entra ID と統合する方法の詳細については、「アプリと Microsoft Entra ID を統合する 5 つの手順」を参照してください。
独自のアプリケーションを開発する場合、パスワードレスの耐フィッシング認証をサポートするには、開発者向けガイダンスに従ってください。 詳細については、「開発するアプリで FIDO2 キーを使用したパスワードレス認証をサポートする」を参照してください。
必要なロール
次の表に、耐フィッシング パスワードレス展開の最小特権ロール要件の一覧を示します。 すべての権限アカウントに対して、耐フィッシング パスワードレス認証を有効にすることをおすすめします。
| Microsoft Entra ロール | 説明 |
|---|---|
| ユーザー管理者 | 統合された登録エクスペリエンスを実装する |
| 認証管理者 | 認証方法を実装および管理する |
| 認証ポリシー管理者 | 認証方法ポリシーを実装および管理する |
| ユーザー | デバイス上で Authenticator アプリを構成するか、ウェブまたは Windows 10/11 でのサインイン用のセキュリティ キー デバイスを登録する |
顧客利害関係者チーム
成功を確実にするためには、適切な利害関係者と連携し、計画とロールアウトを開始する前に彼らがそれぞれの役割を理解していることを確認します。 次の表に、一般的に推奨される利害関係者チームの一覧を示します。
| 利害関係者チーム | 説明 |
|---|---|
| Identity and Access Management (IAM) | IAM システムの日常業務の管理 |
| 情報セキュリティアーキテクチャ | 組織の情報セキュリティ プラクティスを計画および設計する |
| 情報セキュリティ運用 | 情報セキュリティ アーキテクチャに関する情報セキュリティ プラクティスを実行および監視する |
| セキュリティ保証とセキュリティ監査 | IT プロセスがセキュリティで保護され、準拠していることを確認するのに役立ちます。 定期的な監査を実施し、リスクを評価し、特定された脆弱性を緩和し、全体的なセキュリティ態勢を強化するためのセキュリティ対策を推奨します。 |
| ヘルプ デスクとサポート | 新しいテクノロジーとポリシーの展開中、または問題が発生したときに、問題に直面するエンド ユーザーを支援します |
| エンド ユーザー コミュニケーション | ユーザー向けのテクノロジロールアウトの促進を支援する準備としてエンド ユーザーへのメッセージを変更する |
次のステップ
Microsoft Entra ID で耐フィッシング パスワードレス認証の展開を行う
Microsoft Entra ID での耐フィッシング パスワードレス認証の展開における特定のペルソナに関する考慮事項