パスワードレス認証を試してみる【前半】Microsoft Authenticator編

この記事の内容

  • Azure Active Directory(AAD)が提供する3種類のパスワードレス認証オプションを紹介します
  • パスワードレス認証を導入するための前提条件を確認します
  • Microsoft AuthenticatorアプリによるパスワードレスサインインをAzure ADポータルから設定する手順を解説します
  • ユーザーが自分でパスワードレス設定を有効化する手順をデモします
  • 実際にパスワードなしでサインインできることを確認します

なぜパスワードレスなのか

ほとんどの認証はユーザー名とパスワードの組み合わせで始まります。パスワードだけでは攻撃に対して脆弱であるため、長いパスワードの使用やMFA(多要素認証)の導入といった対策が取られてきました。しかしこれらの対策はユーザーの利便性を下げるというデメリットがあります。

パスワードレス認証を採用することで、セキュリティを確保しながらユーザーの利便性も向上させることが可能です。「みんな楽になって、安全にもなった」という状態を実現できます。

3種類のパスワードレス認証オプション

Azure ADは以下の3つのパスワードレス認証オプションを提供しています。

1. Windows Hello for Business

専用のWindows 10端末を使って業務を行う場合に適しています。端末に搭載された生体認証(指紋・顔認証など)でサインインできます。1人1台のWindows 10端末を専用で使うシナリオに最適です。

2. FIDO2セキュリティキー

共有マシンにサインインするユーザーや、個人のスマートフォンを支給されていないユーザーに適しています。YubiKey 5 NFC などの物理的なセキュリティキーをマシンに差し込むことで認証できます。

3. Microsoft Authenticatorアプリ

iOSやAndroidのモバイルデバイスを利用しているユーザーに適しています。Windows 10 PCへのサインインではなく、スマートフォンを使ってWebアプリなどにサインインするシナリオで活用できます。

利用シーンに応じてこれらを使い分けることが推奨されています。

前提条件の確認

パスワードレス認証を導入するにあたり、以下の前提条件を満たしている必要があります。

1. 統合された登録エクスペリエンスの有効化

Azure ADポータルで「ユーザー設定」→「ユーザー機能プレビュー設定」から、セキュリティ情報の登録に関するプレビュー機能を「すべて」のユーザーに対して有効化します。

ポイント: Azure AD MFA(多要素認証)の登録とSSPR(セルフサービスパスワードリセット)の登録は別物です。統合された登録エクスペリエンスを有効にすることで、両方をまとめて管理できるようになります。

2. Azure AD MFAが実行できる状態

MFAが構成済みであることを確認します。今回の検証では、iPadにMicrosoft Authenticatorアプリをインストールし、対象ユーザー(taro.yamada)を登録済みの状態にしています。

実際に確認する場合は、In-Privateウィンドウでユーザーとしてサインインし、MFA通知が届くことを確認します。

3. SSPRの登録

セルフサービスパスワードリセットが利用できる状態であることを確認します。account.activedirectory.windowsazure.com にアクセスして「アカウントにアクセスできない」フローを試すことで確認できます。SMSなどの認証方法が登録されていれば、パスワードリセット画面まで進むことができます。

4. モバイルデバイスのAzure AD登録

Intuneのエンドポイントマネージャーなどで、モバイルデバイスがAzure ADに登録・準拠していることを確認します。

5. Windows 10のバージョン

Windows Hello for Businessを利用する場合は、Windows 10を最新バージョンに保つ必要があります。今回の検証端末はWindows 10 20H2以降であることを確認しています。

Microsoft AuthenticatorでパスワードレスサインインをAzure ADで有効化する

管理者による設定手順

  1. Azure ADポータルにグローバル管理者でサインインします
  2. 「Azure Active Directory」→「セキュリティ」→「認証方式」→「ポリシー」に移動します
  3. 「Microsoft Authenticator」を選択します
  4. 「有効にする」をオンにします
  5. 対象を「すべてのユーザー」にするか、特定のユーザーを選択します(今回の検証ではテストユーザー「山田太郎」のみを選択)
  6. 「保存」をクリックします

設定が完了すると、対象ユーザーに対してAuthenticatorによるパスワードレス認証が有効化されます。

認証モードの選択

設定画面では「認証モード」として以下を選択できます。

モード説明
パスワードレスまたはプッシュ両方の方法でサインイン可能
パスワードレスのみパスワードレスサインインのみ許可
プッシュのみ従来のMFAプッシュ通知のみ

ユーザーが電話によるサインを有効化する手順

管理者がAuthenticatorを有効化しただけでは、ユーザーがすぐにパスワードレスサインインを利用できるわけではありません。ユーザー自身がMy Security Info(mysignins.microsoft.com/security-info)にアクセスして、以下の手順を実施する必要があります。

  1. mysignins.microsoft.com/security-info にアクセスします
  2. 「方法の追加」→「認証アプリ」を選択します(すでに登録済みの場合はスキップ)
  3. 登録済みのAuthenticatorアカウントのドロップダウンメニューから「電話によるサインを有効にする」を選択します
  4. 画面の指示に従ってMFA認証を完了します
  5. 「電話によるサインが有効です」と表示されれば設定完了です

パスワードレスサインインのデモ

設定完了後、実際にサインインを試みると以下の流れでパスワードレスサインインが実現できます。

  1. サインイン画面でユーザー名を入力します
  2. パスワード入力画面に「代わりにアプリを使用する」というオプションが表示されます
  3. そちらを選択すると、画面に数字(例:67)が表示されます
  4. スマートフォンのAuthenticatorアプリに通知が届き、同じ数字が表示されます
  5. アプリ側で数字をタップして承認します
  6. 生体認証(顔認証・指紋認証など)で本人確認します
  7. パスワードを入力せずにサインイン完了です

2回目以降のサインインでは、前回の設定が引き継がれ、「パスワードレスサインイン」がデフォルトとして機能します。

設定変更の反映タイミングに関する注意点

「認証モード」を「パスワードレスのみ」や「プッシュのみ」に変更しても、その設定が即座に反映されるわけではないことが確認されました。変更直後は従来のMFAプッシュ通知でのサインインが引き続き可能な場合があります。設定変更を行った後は、反映までに時間がかかることを考慮して検証してください。

まとめ

今回は、Azure AD(AAD)を用いたパスワードレス認証の概要と、Microsoft Authenticatorアプリを使ったパスワードレスサインインの設定手順を確認しました。

  • 3つの認証オプション(Windows Hello for Business / FIDO2セキュリティキー / Microsoft Authenticator)を利用シーンで使い分けることが重要です
  • 前提条件として、統合された登録エクスペリエンスの有効化・MFA構成・SSPRの設定・デバイスのAzure AD登録が必要です
  • 管理者側の設定はAzure ADポータルの「認証方式ポリシー」から行います
  • ユーザー側の操作として、My Security InfoからAuthenticatorの「電話によるサイン」を有効化する手順が必要です
  • 設定変更の反映にはタイムラグがある場合があるため、テスト時は留意が必要です

次回はYubiKeyを使ったFIDO2セキュリティキーによるパスワードレス認証、およびWindows Hello for Businessについて検証していく予定です。