Azure Active Directory で使用できる認証方法と検証方法What authentication and verification methods are available in Azure Active Directory?

Azure Active Directory (Azure AD) のアカウントのサインイン エクスペリエンスの一部として、ユーザーが自分自身を認証する方法はいくつかあります。As part of the sign-in experience for accounts in Azure Active Directory (Azure AD), there are different ways that a user can authenticate themselves. 従来、ユーザーが資格情報を提供していた最も一般的な方法は、ユーザー名とパスワードです。A username and password is the most common way a user would historically provide credentials. Azure AD の先進的な認証とセキュリティ機能を使用して、基本パスワードをよりセキュアな認証方法で補完したり置き換えたりする必要があります。With modern authentication and security features in Azure AD, that basic password should be supplemented or replaced with more secure authentication methods.

Azure AD における認証方法の強度と推奨の表

Windows Hello、FIDO2 セキュリティ キー、Microsoft Authenticator アプリなどのパスワードレス認証方法は、最も安全なサインイン イベントを提供します。Passwordless authentication methods such as Windows Hello, FIDO2 security keys, and the Microsoft Authenticator app provide the most secure sign-in events.

Azure Multi-Factor Authentication は、ユーザーがサインイン時にパスワードのみを使用している場合に比べて、追加のセキュリティを提供します。Azure Multi-Factor Authentication adds additional security over only using a password when a user signs in. ユーザーに対して、プッシュ通知に応答する、ソフトウェアまたはハードウェア トークンのコードを入力する、または SMS や電話に応答するなど、追加の形式での認証を要求することができます。The user can be prompted for additional forms of authentication, such as to respond to a push notification, enter a code from a software or hardware token, or respond to an SMS or phone call.

ユーザーのオンボード エクスペリエンスを単純化し、MFA と SSPR の両方に登録するには、統合されたセキュリティ情報の登録を有効にすることをお勧めします。To simplify the user on-boarding experience and register for both MFA and SSPR, we recommend you enable combined security information registration. 回復性を確保するために、ユーザーに複数の認証方法の登録を求めることをお勧めします。For resiliency, we recommend that you require users to register multiple authentication methods. サインインや SSPR の間にユーザーがある方法を使用できない場合、そのユーザーは別の方法で認証することを選択できます。When one method isn't available for a user during sign-in or SSPR, they can choose to authenticate with another method. 詳細については、Azure AD で回復性があるアクセス制御管理戦略を作成する方法に関するページを参照してください。For more information, see Create a resilient access control management strategy in Azure AD.

認証方法の強度とセキュリティAuthentication method strength and security

組織で Azure Multi-Factor Authentication のような機能を展開する場合は、使用可能な認証方法を確認してください。When you deploy features like Azure Multi-Factor Authentication in your organization, review the available authentication methods. セキュリティ、ユーザビリティ、および可用性の要件を満たす、あるいは超える方法を選択します。Choose the methods that meet or exceed your requirements in terms of security, usability, and availability. 可能であれば、最高レベルのセキュリティを実現する認証方法を使用してください。Where possible, use authentication methods with the highest level of security.

次の表は、使用可能な認証方法のセキュリティに関する考慮事項の概要を示しています。The following table outlines the security considerations for the available authentication methods. 可用性とは、ユーザーが認証方法を利用できるかどうかの指標を指し、Azure AD のサービス可用性ではありません。Availability is an indication of the user being able to use the authentication method, not of the service availability in Azure AD:

認証方法Authentication method セキュリティSecurity 使いやすさUsability 可用性Availability
Windows Hello for BusinessWindows Hello for Business High High High
Microsoft Authenticator アプリMicrosoft Authenticator app High High High
FIDO2 セキュリティ キー (プレビュー)FIDO2 security key (preview) High High High
OATH ハードウェア トークン (プレビュー)OATH hardware tokens (preview) MediumMedium MediumMedium High
OATH ソフトウェア トークンOATH software tokens MediumMedium MediumMedium High
SMSSMS MediumMedium High MediumMedium
音声Voice MediumMedium MediumMedium MediumMedium
PasswordPassword Low High High

セキュリティの詳細については、認証の脆弱性と攻撃ベクトルに関するページを参照してください。For more information on security, see authentication vulnerabilities and attack vectors.

ヒント

柔軟性と使いやすさを実現するために、Microsoft Authenticator アプリを使用することをお勧めします。For flexibility and usability, we recommend that you use the Microsoft Authenticator app. この認証方法は、パスワードレス、MFA のプッシュ通知、OATH コードなど、最適なユーザー エクスペリエンスと複数のモードを提供します。This authentication method provides the best user experience and multiple modes, such as passwordless, MFA push notifications, and OATH codes.

各認証方法のしくみHow each authentication method works

認証方法の中には、FIDO2 セキュリティ キーやパスワードの利用といった、アプリケーションやデバイスにサインインする際にプライマリ要素として利用できるものがあります。Some authentication methods can be used as the primary factor when you sign in to an application or device, such as using a FIDO2 security key or a password. 他の認証方法は、Azure Multi-Factor Authentication または SSPR を使用する場合のセカンダリ要素としてのみ使用できます。Other authentication methods are only available as a secondary factor when you use Azure Multi-Factor Authentication or SSPR.

次の表は、サインイン イベント時に各認証方法がどのタイミングで使用できるかの概要を示しています。The following table outlines when an authentication method can be used during a sign-in event:

MethodMethod プライマリ認証Primary authentication セカンダリ認証Secondary authentication
Windows Hello for BusinessWindows Hello for Business はいYes MFAMFA
Microsoft Authenticator アプリMicrosoft Authenticator app はい (プレビュー)Yes (preview) MFA と SSPRMFA and SSPR
FIDO2 セキュリティ キー (プレビュー)FIDO2 security key (preview) はいYes MFAMFA
OATH ハードウェア トークン (プレビュー)OATH hardware tokens (preview) いいえNo MFAMFA
OATH ソフトウェア トークンOATH software tokens いいえNo MFAMFA
SMSSMS はい (プレビュー)Yes (preview) MFA と SSPRMFA and SSPR
音声通話Voice call いいえNo MFA と SSPRMFA and SSPR
PasswordPassword はいYes

これらの認証方法は、すべて Azure portal で構成できます。また、Microsoft Graph REST API ベータ版を使用して構成することが増えています。All of these authentication methods can be configured in the Azure portal, and increasingly using the Microsoft Graph REST API beta.

各認証方法のしくみの詳細については、次の概念に関する個別の記事を参照してください。To learn more about how each authentication method works, see the following separate conceptual articles:

注意

Azure AD では、多くの場合、パスワードはプライマリ認証方法の 1 つです。In Azure AD, a password is often one of the primary authentication methods. パスワード認証方法を無効にすることはできません。You can't disable the password authentication method. プライマリ認証要素としてパスワードを使用する場合は、Azure Multi-Factor Authentication を使用してサインイン イベントのセキュリティを強化します。If you use a password as the primary authentication factor, increase the security of sign-in events using Azure Multi-Factor Authentication.

特定のシナリオでは、次の追加認証方法を使用できます。The following additional verification methods can be used in certain scenarios:

次のステップNext steps

最初に、セルフサービス パスワード リセット (SSPR) のチュートリアルAzure Multi-Factor Authentication に関するページを参照してください。To get started, see the tutorial for self-service password reset (SSPR) and Azure Multi-Factor Authentication.

SSPR の概念の詳細については、Azure AD のセルフサービス パスワード リセットのしくみに関するページを参照してください。To learn more about SSPR concepts, see How Azure AD self-service password reset works.

MFA の概念の詳細については、Azure Multi-Factor Authentication のしくみに関するページを参照してください。To learn more about MFA concepts, see How Azure Multi-Factor Authentication works.

Microsoft Graph REST API ベータ版を使用した認証方法の構成の詳細について確認してください。Learn more about configuring authentication methods using the Microsoft Graph REST API beta.

使用されている認証方法を確認するには、PowerShell を使用した Azure Multi-Factor Authentication の認証方法の分析に関する記事を参照してください。To review what authentication methods are in use, see Azure Multi-Factor Authentication authentication method analysis with PowerShell.