パスワードという認証方式が「負け確定」の技術であることは、セキュリティの世界では常識になりつつある。Microsoft Entraの保護リソースに対して、WindowsデバイスからFIDO2ベースのパスキーで認証できる新機能が2026年4月末から順次展開される。6月中旬の一般提供(GA)を目指しており、管理外(非Entra参加・非登録)デバイスへの対応拡充が今回の最大のポイントだ。

パスキーとは何か、何が変わるのか

パスキー(Passkey)はFIDO2アライアンスが策定した認証規格をベースにした、デバイスに紐付いた暗号鍵ペアによる認証方式だ。今回の「Entra パスキー on Windows」では、認証情報はWindows Helloコンテナ内にデバイスバインドで保存される。顔認証・指紋・PINのいずれかでローカル認証を行い、その結果をMicrosoft Entra IDへの認証に用いる仕組みだ。

重要な点は、認証情報がネットワークを一切流れないこと。フィッシングメールで偽サイトに誘導されても、パスキーは別のドメインには使えない。マルウェアがメモリをスキャンしても、秘密鍵はTPM(Trusted Platform Module)の保護下にあり取り出せない。従来のパスワードや、SMSやAuthenticatorアプリを使うMFAよりも攻撃耐性が格段に高い。

Windows Hello for Business との違い

混同しやすいので整理しておこう。

比較軸 Entra パスキー on Windows Windows Hello for Business

デバイス登録要件 不要(管理外デバイスでもOK) Entra参加/登録が前提

デバイスサインイン 非対応 対応(SSO込み)

管理ポリシー Authentication Methods + Conditional Access Intune / グループポリシー

Windows Hello for Businessはデバイス参加が前提で、デバイスサインインとEntra SSOを両立する「企業管理PC向け」の仕組みだ。今回のEntra パスキーはそれとは別物で、個人所有デバイス(BYOD)や共有端末でもEntra認証をパスワードレス化できる点が新しい。

なぜ今、この機能が重要か

2025年以降、Microsoft EntraのSSOアカウントを狙ったSaaSデータ窃取攻撃が急増している。攻撃者は盗んだ認証情報を使ってEntra SSOを悪用し、SharePoint・OneDrive・TeamsといったMicrosoft 365リソースへアクセスする手口を多用している。パスワードと組み合わせのMFAでも、巧妙なリアルタイムフィッシング(AiTM攻撃)によりセッショントークンを奪われるケースが出てきた。

パスキーはこのギャップを塞ぐ。フィッシングでは奪えず、認証情報はデバイス外に出ない。「管理外デバイスからのEntra認証はパスワードしか選択肢がない」という長年のセキュリティ上の穴が、ようやく公式に埋まることになる。

実務での活用ポイント

IT管理者が今すぐ確認すべきこと:

  • Authentication Methods ポリシーを確認する — Entra管理センターで「Microsoft Entra ID with passkeys」が有効になっているか確認。対象ユーザーグループを段階的に広げる計画を立てる
  • Conditional Access ポリシーを見直す — 「認証強度(Authentication Strength)」の「Phishing-resistant MFA」定義にパスキーが含まれていることを確認し、管理外デバイスからのアクセス要件をアップデートする
  • BYOD・共有端末の棚卸しをする — 「管理が難しいからパスワードのまま」だったデバイスこそ、優先的にパスキー移行を検討する絶好の機会だ
  • ユーザー教育は最小限で済む — 登録フローはWindows Helloの顔・指紋設定と同様。「PINか生体認証を使ってください」の一言で大半のユーザーは対応できる

筆者の見解

ゼロトラストを推進する立場から言えば、これは正しい方向の一手だ。パスワードはもう認証の中心に置くべき技術ではない。フィッシング耐性のある認証をBYODや共有デバイスにまで広げる今回の施策は、「ネットワーク境界での防御」から「IDと認証そのものの強靱化」へというシフトを着実に進めるものだ。

日本の大企業では、Entra参加済みの管理PCはそれなりに整備されている一方、派遣・協力会社スタッフや個人所有デバイスの認証が長年の弱点になっているケースが多い。今回の機能はまさにそのギャップを埋める。ゼロトラスト移行の「まず何から手をつけるか」を考えているなら、パスキー展開を優先リストに加えるべきだろう。

Microsoftがパスワードレスの全デバイス展開にこのペースで投資し続けていることは素直に評価したい。実力があるのだから、こうしたセキュリティ基盤の強化を着実に続けてほしい。新しいアカウントをデフォルトでパスワードレスにした昨年の施策も含め、「パスワードの終わり」に向けた本気度は伝わっている。

出典: この記事は Microsoft to roll out Entra passkeys on Windows in late April の内容をもとに、筆者の見解を加えて独自に執筆したものです。