パスワードなしのセキュリティ キー サインインを有効にする

現在パスワードを使用していて、共有 PC 環境がある企業では、セキュリティ キーにより、ユーザー名やパスワードを入力しないで認証を行うシームレスな方法が、ワーカーに提供されます。 セキュリティ キーを使うと、ワーカーの生産性が向上し、セキュリティが強化されます。

このドキュメントでは、セキュリティ キーに基づくパスワードレス認証を有効にする方法について説明します。 この記事を最後まで読むと、FIDO2 セキュリティ キーを使用して、お使いの Microsoft Entra アカウントで Web ベースのアプリケーションにサインインできるようになります。

要件

Web アプリやサービスへのログインにセキュリティ キーを使用するには、WebAuthN プロトコルをサポートするブラウザーが必要です。 これには、Microsoft Edge、Chrome、Firefox、Safari などが含まれます。 詳しくは、「FIDO2 パスワードレス認証のブラウザー サポート」をご覧ください。

Note

コンピューターとモバイル デバイスに格納されるパスキー (FIDO2) と、WebAuthn QR コードを使った登録とサインインは、Entra ID ではまだサポートされていません。

デバイスを準備する

Microsoft Entra ID に参加しているデバイスの場合、最適なエクスペリエンスは Windows 10 バージョン 1903 以降です。

ハイブリッド参加済みデバイスでは、Windows 10 バージョン 2004 以降を実行する必要があります。

パスワードなしの認証方法を有効にする

統合された登録エクスペリエンスを有効にする

パスワードレス認証方法の登録機能は、結合された MFA/SSPR 登録に依存しています。 結合された登録の詳細をご覧ください

FIDO2 セキュリティ キーの方法を有効にする

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

  1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。

  2. [保護][認証方法][認証方法ポリシー] の順に移動します。

  3. [FIDO2 セキュリティ キー] の方法で、[すべてのユーザー] をクリックするか、[グループの追加] をクリックして特定のグループを選択します。 セキュリティ グループのみがサポートされています

  4. 構成を保存します。

    注意

    保存しようとしたときにエラーが表示される場合は、追加されているユーザーまたはグループの数が原因である可能性があります。 回避策として、追加しようとしているユーザーとグループを 1 つのグループに置き換え、同じ操作で、もう一度 [保存] をクリックします。

FIDO セキュリティ キーのオプションの設定

[構成] タブには、サインインにセキュリティ キーを使用する方法を管理するのに役立ついくつかのオプション設定があります。

Screenshot of FIDO2 security key options

  • [セルフサービス セットアップを許可する][はい] に設定したままにしてください。 [いいえ] に設定すると、認証方法ポリシーによって有効になっている場合でも、ユーザーは MySecurityInfo を使用して FIDO キーを登録できなくなります。
  • [構成証明の適用][はい] に設定するには、FIDO セキュリティ キーのメタデータを FIDO アライアンス メタデータ サービスで公開および検証する必要があります。また、Microsoft のその他の検証テスト セットにも合格する必要があります。 詳細については、「Microsoft と互換性のあるセキュリティ キーとは?」を参照してください。

キーの制限ポリシー

  • 組織が Authenticator Attestation GUID (AAGUID) によって識別される特定の FIDO セキュリティキーのみを許可または禁止する場合にのみ、[キーの制限の適用][はい] に設定する必要があります。 セキュリティ キー プロバイダーと協力して、デバイスの AAGUID を確認できます。 キーが既に登録されている場合は、ユーザーに対するキーの認証方法の詳細を見ることで、AAGUID を確認できます。

    警告

    キーの制限により、登録と認証の両方について特定の FIDO2 方式を使用できるかどうかが設定されます。 キーの制限を変更し、以前は許可していた AAGUID を削除すると、許可された方法を前に登録していたユーザーはサインインにそれを使用できなくなります。

キーを無効にする

ユーザー アカウントにひも付けている FIDO2 キーを削除するには、ユーザーの認証方法からキーを削除します。

  1. Microsoft Entra 管理センターにサインインし、FIDO キーを削除するユーザー アカウントを見つけます。

  2. [認証方法]> で、[FIDO2 セキュリティ キー] を右クリックし、[削除] をクリックします。

    View Authentication Method details

セキュリティ キー認証子構成証明 GUID (AAGUID)

FIDO2 の仕様では、構成証明時に、セキュリティ キーの各提供者が認証子構成証明 GUID (AAGUID) を提供する必要があります。 AAGUID は、製造元やモデルなどのキーの種類を表す 128 ビットの識別子です。

注意

製造元は、この製造元が作成した実質的に同一であるすべてのキーについて、 AAGUID が同じであり、他のあらゆる種類のキーとは (高確率で) AAGUID が異なることを保証する必要があります。 これを保証するため、特定の種類のセキュリティ キーの AAGUID はランダムに生成するべきです。 詳しくは「Web Authentication: An API for accessing Public Key Credentials - Level 2」(w3.org) (Web 認証: 公開キー認証情報にアクセスする API - レベル 2) をご覧ください。

AAGUID の取得方法は 2 つあります。 セキュリティ キーの提供者に問い合わせる方法と、ユーザー別のキー認証方法の詳細を見る方法があります。

View AAGUID for security key

FIDO2 セキュリティ キーのユーザー登録と管理

  1. [https://www.microsoft.com](https://myprofile.microsoft.com) を参照します。

  2. まだしていない場合はサインインします。

  3. [セキュリティ情報] をクリックします。

    1. 少なくとも 1 つの MFA メソッドが既に登録されている場合は、すぐに FIDO2 セキュリティ キーを登録できます。
    2. MFA メソッドが少なくとも 1 つ登録されていない場合は、1 つ追加する必要があります。
    3. 認証ポリシー管理者は、一時アクセス パスを発行して、ユーザーがパスワードレス認証方法を登録できるようにすることもできます。
  4. FIDO2 セキュリティ キーを追加するには、[方法の追加] をクリックし、[セキュリティ キー] を選択します。

  5. [USB デバイス] または [NFC デバイス] を選択します。

  6. キーを準備し、 [次へ] を選択します。 Chrome または Edge を使用している場合、ブラウザーは、セキュリティ キーに格納されているパスキーよりも、モバイル デバイスに格納されているパスキーの登録を優先する可能性があります。

    • Windows 11 バージョン 23H2 以降では、サインイン中に OS に次のプロンプトが表示されます。 [その他の選択肢][セキュリティ キー] を選択し、[次へ] をクリックします。

      Screenshot of option to save a security key on Windows 11 version 23 H2.

    • 以前のバージョンの Windows では、別のモバイル デバイスに保存されているパスキーを登録するために、ブラウザーに QR ペアリング画面が表示される場合があります。 代わりにセキュリティ キーに格納されているパスキーを登録するには、セキュリティ キーを挿入し、タッチして続行します。

      Screenshot of option to choose security key on Windows 10.

  7. セキュリティ キーの PIN を作成または入力し、キーに必要なジェスチャを実行するように求められます。

  8. 結合された登録エクスペリエンスに戻ると、キーを簡単に見分けられるよう、わかりやすい名前を指定することを求められます。 次へ をクリックします。

  9. [完了] をクリックしてプロセスを完了します。

パスワードなしの資格情報でサインインする

このスクリーンショットでは、ユーザーは既に自分の FIDO2 セキュリティ キーをプロビジョニングしています。 ユーザーは、Windows 10 バージョン 1903 以降のサポートされているブラウザーで FIDO2 セキュリティ キーを使用して、Web 上でサインインすることを選択できます。

FIDO2 セキュリティ キーを使用した Microsoft Entra ID へのサインインをサポートするブラウザーとオペレーティング システムの詳細については、「ブラウザーによる FIDO2 パスワードレス認証のサポート」を参照してください。

Screenshot of option to choose security key on Windows 10 version 1903 or higher.

トラブルシューティングとフィードバック

この機能についてフィードバックを共有したい場合、または問題が発生した場合は、次の手順を使用して Windows フィードバック Hub アプリ経由で共有してください。

  1. フィードバック ハブを起動し、サインインしていることを確認します。
  2. 次の分類でフィードバックを送信します。
    • カテゴリ:セキュリティとプライバシー
    • サブカテゴリ: FIDO
  3. ログをキャプチャするには、 [Recreate my Problem](問題の再現) オプションを使用します。

既知の問題

セキュリティ キーのプロビジョニング

管理者がセキュリティ キーをプロビジョニングし、それをプロビジョニング解除することはできません。

UPN の変更

ユーザーの UPN が変更されると、その変更に対応するために FIDO2 セキュリティ キーを変更することはできなくなります。 FIDO2 セキュリティ キーを持つユーザーは、MySecurityInffo にサインインして古いキーを削除し、新しいキーを追加することで、この問題を解決できます。

次のステップ

FIDO2 セキュリティ キーでの Windows 10 のサインイン

オンプレミスのリソースに対する FIDO2 認証を有効にする

デバイス登録の詳細

Microsoft Entra MFA の詳細情報