Entra IDのQRコード認証が登場!店舗スタッフの認証方法の救世主に?
この記事の内容
- Microsoft Entra IDに、QRコードとPINを使った新しいサインイン方法が登場しました
- 工場スタッフや店舗スタッフなど、共有デバイスを使うフロントラインワーカー向けの機能です
- 長いユーザー名や複雑なパスワードを入力する必要がなく、QRコードをスキャンしてPINを入力するだけでサインインできます
- 管理はIT管理者と店舗マネージャーが連携して行う3ステップの仕組みです
- 現時点ではプレビュー段階ですので、本番環境への導入は慎重に検討してください
なぜ今、QRコード認証なのか
パスワードレス認証はすでに多くの方に普及しています。自分専用のPCやスマートフォンがあれば、Windows Helloの顔認証・指紋認証や、Authenticatorアプリへのプッシュ通知承認など、便利で安全な方法がすでに使えています。
しかし、工場の従業員や店舗スタッフなど、フロントラインワーカーの方々には、これらの方法がうまく機能しないケースがあります。
- 自分専用のPCやスマートフォンが割り当てられていない
- 複数人で同じ端末(共有デバイス)を使い回している
- 個々のスタッフにハードウェアトークンを配布するコストがかかる
このような環境では、IDとパスワードによる認証が主流になりがちですが、共有デバイスでのパスワード入力はセキュリティリスクがあります。かといって多要素認証を共有デバイスに適用するのも難しい。この課題を解決するのが、今回紹介するQRコード認証です。
QRコード認証の仕組み
QRコード認証の仕組みは、大きく3つのステップで構成されています。
ステップ1:IT管理者がセットアップ
IT管理者(テナントの管理者)が、Microsoft Entra ID上でQRコード認証を有効化し、セキュリティポリシーを設定します。また、店舗マネージャーに対して、QRコード認証の管理権限を委任します。この委任には My Staff(マイスタッフ) というWebサービスを使います。
ステップ2:店舗マネージャーがQRコードを配布
権限を受け取った店舗マネージャーは、My Staffを使って自分の店舗のスタッフ分のQRコードを管理します。具体的な流れは以下のとおりです。
- スタッフ1人ひとり分のQRコードを生成・ダウンロードする
- 各QRコードに対してテンポラリPINを設定する
- QRコードを印刷して、該当するスタッフに手渡す
QRコードはIDバッジに貼り付けておくなど、スタッフが常に携帯できる形にすると運用しやすいです。
ステップ3:スタッフがQRコードでサインイン
フロントラインワーカーのスタッフは、共有デバイスでアプリを使う際に認証を求められたら、以下の手順でサインインします。
- 共有デバイスのカメラで自分専用のQRコードをスキャンする
- テンポラリPINを入力する
- 初回サインイン時は、自分専用の新しいPINへの変更を求められるので変更する
以降は、QRコードをスキャン → 自分のPINを入力するだけでサインインが完了します。IDとパスワードを覚える必要はありません。
QRコード認証のメリット
この方法には、フロントラインワーカーの現場にとって嬉しいメリットが複数あります。
コスト面 ハードウェアトークンのような個別のデバイスを用意する必要がありません。QRコードを印刷して配るだけなので、非常にリーズナブルな方法です。
セキュリティ面 パスワードが存在しないため、パスワード漏洩のリスクがありません。QRコード(所持)とPIN(知識)の組み合わせによる多要素認証に近い構成になります。
使いやすさ スタッフはパスワードを覚えたり打ち込んだりする必要がなく、QRコードをスキャンしてPINを入力するだけで作業を始められます。認証の手間が大幅に減ります。
管理のしやすさ IT管理者がすべてを管理するのではなく、店舗マネージャーに権限を委任できるため、現場に即した運用が可能です。
注意点
現時点では、このQRコード認証機能はパブリックプレビュー段階です。本番環境への本格導入を検討される場合は、最新の公式ドキュメントを確認し、プレビュー機能であることを踏まえた上で検討してください。
まとめ
今回は、Microsoft Entra IDに登場したQRコード認証機能を紹介しました。工場スタッフや店舗スタッフなど、共有デバイスを使うフロントラインワーカーの認証課題に対して、コストを抑えつつセキュリティと使いやすさを両立できる有力な方法です。
「こういうのを待っていた」という組織も多いのではないでしょうか。現在はプレビュー段階ですが、今後の正式リリースに向けて、ぜひ公式ドキュメントもあわせてチェックしてみてください。