Azure Active Directory で使用できる認証方法と検証方法

Microsoft では、Windows Hello や FIDO2 セキュリティ キー、Microsoft Authenticator アプリといった、非常に安全なサインイン イベントを提供できるパスワードレスの認証方法を推奨しています。 ユーザーはユーザー名やパスワードなど、他の一般的な方法を使用してサインインすることもできますが、パスワードはより安全な認証方法に置き換えるべきです。

Azure AD における認証方法の強度と推奨の表

Azure AD Multi-Factor Authentication (MFA) を使用すると、ユーザーがサインイン時にパスワードのみを使用する場合と比べて、セキュリティが強化されます。 ユーザーに対して、プッシュ通知に応答する、ソフトウェアまたはハードウェア トークンのコードを入力する、または SMS や電話に応答するなど、追加の形式での認証を要求することができます。

ユーザーのオンボード エクスペリエンスを単純化し、MFA とセルフサービス パスワード リセット (SSPR) の両方に登録するには、統合されたセキュリティ情報の登録を有効にすることをお勧めします。 回復性を確保するために、ユーザーに複数の認証方法の登録を求めることをお勧めします。 サインインや SSPR の間にユーザーがある方法を使用できない場合、そのユーザーは別の方法で認証することを選択できます。 詳細については、Azure AD で回復性があるアクセス制御管理戦略を作成する方法に関するページを参照してください。

ここでは、組織の安全を確保するために最適な認証方法を選択する際に役立つビデオをご紹介します。

認証方法の強度とセキュリティ

組織で Azure AD Multi-Factor Authentication のような機能を展開する場合は、使用可能な認証方法を確認してください。 セキュリティ、ユーザビリティ、および可用性の要件を満たす、あるいは超える方法を選択します。 可能であれば、最高レベルのセキュリティを実現する認証方法を使用してください。

次の表は、使用可能な認証方法のセキュリティに関する考慮事項の概要を示しています。 可用性とは、ユーザーが認証方法を利用できるかどうかの指標を指し、Azure AD のサービス可用性ではありません。

認証方法 セキュリティ 使いやすさ 可用性
Windows Hello for Business
Microsoft Authenticator アプリ
FIDO2 セキュリティ キー
OATH ハードウェア トークン (プレビュー) Medium Medium
OATH ソフトウェア トークン Medium Medium
SMS Medium Medium
音声 Medium Medium Medium
Password

セキュリティに関する最新情報については、次のブログ記事をご覧ください。

ヒント

柔軟性と使いやすさを実現するために、Microsoft Authenticator アプリを使用することをお勧めします。 この認証方法は、パスワードレス、MFA のプッシュ通知、OATH コードなど、最適なユーザー エクスペリエンスと複数のモードを提供します。

各認証方法のしくみ

認証方法の中には、FIDO2 セキュリティ キーやパスワードの利用といった、アプリケーションやデバイスにサインインする際にプライマリ要素として利用できるものがあります。 他の認証方法は、Azure AD Multi-Factor Authentication または SSPR を使用する場合のセカンダリ要素としてのみ使用できます。

次の表は、サインイン イベント時に各認証方法がどのタイミングで使用できるかの概要を示しています。

Method プライマリ認証 セカンダリ認証
Windows Hello for Business はい MFA
Microsoft Authenticator アプリ Yes MFA と SSPR
FIDO2 セキュリティ キー はい MFA
OATH ハードウェア トークン (プレビュー) いいえ MFA と SSPR
OATH ソフトウェア トークン いいえ MFA と SSPR
SMS Yes MFA と SSPR
音声通話 いいえ MFA と SSPR
Password はい

これらの認証方法は、すべて Azure portal で構成できます。また、Microsoft Graph REST API を使用して構成することが増えています。

各認証方法のしくみの詳細については、次の概念に関する個別の記事を参照してください。

注意

Azure AD では、多くの場合、パスワードはプライマリ認証方法の 1 つです。 パスワード認証方法を無効にすることはできません。 プライマリ認証要素としてパスワードを使用する場合は、Azure AD Multi-Factor Authentication を使用してサインイン イベントのセキュリティを強化します。

特定のシナリオでは、次の追加認証方法を使用できます。

次のステップ

最初に、セルフサービス パスワード リセット (SSPR) のチュートリアルAzure AD Multi-Factor Authentication に関するページを参照してください。

SSPR の概念の詳細については、Azure AD のセルフサービス パスワード リセットのしくみに関するページを参照してください。

MFA の概念の詳細については、Azure AD Multi-Factor Authentication のしくみに関する記事を参照してください。

Microsoft Graph REST API を使用した認証方法の構成の詳細を確認してください。

使用されている認証方法を確認するには、PowerShell を使用した Azure AD Multi-Factor Authentication の認証方法の分析に関する記事を参照してください。