MicrosoftはEntra IDのパスキープロファイル機能を、2026年5月より米国政府クラウド(GCC・GCC High・DoD)向けに一般提供(GA)開始した。既存のパスキー(FIDO2)認証が有効なテナントは同年8月以降に自動移行の対象となり、管理者は事前確認と準備が求められる。

パスキープロファイルとは何か

パスキープロファイルは、組織内のパスキー認証設定をグループ単位できめ細かく管理するための新しい構成単位だ。従来のFIDO2認証方法ポリシーが組織全体への一律適用しかできなかったのに対し、パスキープロファイルを使えば部署やセキュリティグループごとに異なるポリシーを適用できる。

パブリッククラウド(Worldwide)では2026年3月にGA済みであり、今回のロールアウトで政府クラウドが追いつく形となった:

  • GCC(Government Community Cloud)
  • GCC High
  • DoD(Department of Defense)

USNat・USSecへのロールアウトは2026年7月以降の予定だ。

端末固定型 vs 同期型:passkeyTypeプロパティの役割

今回の主要な新機能が passkeyType プロパティだ。管理者はパスキーの種類を以下の3パターンから選択して制御できる:

設定 説明

デバイスバウンド(端末固定型) 特定端末にのみ紐付け。他端末への同期は行わない

同期型(Synced Passkeys) Apple Keychain・Google Password Manager・1Passwordなどを通じてデバイス間で同期可能

両方許可 上記いずれも受け入れる

セキュリティ要件の高い組織では「端末固定型のみ」を選択することで、フィッシング耐性を維持しつつパスキー盗用リスクを低減できる。一方、利便性を優先する組織では同期型を許可することで、複数デバイスでのシームレスな認証が実現する。

既存テナントへの自動移行:何が変わるか

すでにパスキー(FIDO2)を有効化しているテナントは、以下のスケジュールで自動移行が実施される。

GCC / GCC High / DoD の場合:

  • GAロールアウト:2026年5月初旬〜5月末
  • 自動移行:2026年8月初旬〜8月末

移行後に起きること:

  • 既存のFIDO2認証方法設定は「デフォルトパスキープロファイル」に自動変換される
  • passkeyTypeの値は現在のAttestation設定に基づいて決定される
  • Attestation強制が無効のテナント → 同期型パスキーが有効化
  • Attestation強制が有効のテナント → 端末固定型のみ
  • 新たな認証方法が自動追加されることはない

「設定が変わっても、新機能が突然有効になるわけではない」という点は重要だ。移行はあくまでスキーマの変換であり、既存の認証フローに即時の破壊的影響は与えない。

登録キャンペーンへの影響(Microsoft管理テナント)

「Microsoft管理」状態に設定されている認証方法登録キャンペーンを持つテナントは追加の注意が必要だ。以下の条件がすべて揃う場合、ユーザーへのパスキー登録促進(ナッジ)の挙動が変わる:

  • パスキー(FIDO2)が有効
  • 登録キャンペーンが「Microsoft管理」状態
  • セルフサービスセットアップが有効
  • AAGUIDによる制限なし
  • 少なくとも1人のユーザーが同期型・端末固定型の両方で有効化されている

この条件を満たすテナントでは、自動移行完了後に登録キャンペーン設定が更新され、対象ユーザーはサインイン時にパスキー登録を促されるようになる。

実務への影響

GCC/DoD環境の直接利用者は限られるが、以下の観点から国内のIT管理者にも参考になる。

グローバル展開企業のIT管理者へ: 米国政府機関・国防関連とのパートナーシップを持つ組織では、パートナーテナント側の設定変更に伴う認証フローの変化に注意が必要だ。

passkeyTypeポリシーの設計はIntuneと連動させる: 「同期型を許可するか否か」の判断は、デバイス管理ポリシー(Intuneによる端末管理)や情報資産のリスク分類と連動して設計すべきだ。端末管理が整備されていない状態で同期型を解放するのはリスクが高い。

移行前に確認すべき事項:

  • 現在のFIDO2ポリシーでAttestation強制が有効か確認する
  • 自動移行後に意図しない同期型パスキーが有効にならないか確認する
  • 登録キャンペーンの状態(Microsoft管理 vs 手動管理)を確認する
  • Opt-inウィンドウ中に手動で移行すると、自動移行より早くポリシーを整理できる

筆者の見解

パスキーの普及はパスワードレス認証に向けた着実な前進だ。フィッシング耐性があり、パスワードの使い回しリスクを根絶できるという点で、ゼロトラスト推進の文脈では歓迎すべき方向性だと思う。

今回の機能で特に注目したいのは、passkeyTypeによって「端末固定型か同期型か」の選択が管理者に明示されたことだ。同期型パスキーは利便性が高い反面、クラウド同期サービスが侵害された場合のリスクも伴う。高セキュリティ環境では「便利なものほど攻撃面が広い」という原則は依然として生きている。

パスキー自体の設計思想は優れているが、組織での運用設計を誤ると「安全なはずが安全でない」状態になりうる。「とりあえずパスキーを有効にしたから安心」ではなく、passkeyTypeとデバイス管理ポリシーをセットで設計することが、真の意味でのパスワードレス・ゼロトラスト実現につながる。管理の手間を惜しんで「両方許可」で済ませるのではなく、自組織のリスク分類に合わせたポリシー設計を丁寧に行ってほしい。

出典: この記事は Microsoft Entra ID: General Availability of passkey profiles for government clouds の内容をもとに、筆者の見解を加えて独自に執筆したものです。