Azure Active Directory でパスワードレス認証のデプロイを計画するPlan a passwordless authentication deployment in Azure Active Directory

注意

このデプロイ計画のオフライン バージョンを作成するには、お使いのブラウザーの PDF ファイルへの出力機能を使用します。To create an offline version of this deployment plan, use your browser's Print to PDF functionality.

ほとんどのサイバー攻撃は、侵害されたユーザー名とパスワードから始まります。Most cyber attacks begin with a compromised user name and password. 組織は、次の手法のいずれかを使用するようにユーザーに要求して、脅威に対抗しようとします。Organizations try to counter the threat by requiring users to use one of the following approaches:

  • 長いパスワードLong passwords
  • 複雑なパスワードComplex passwords
  • パスワードの頻繁な変更Frequent password changes
  • Multi-Factor Authentication (MFA)Multi-factor authentication (MFA)

これらの取り組みによってユーザーはイライラし、サポート コストが跳ね上がることが、Microsoft の調査で示されていますMicrosoft's research shows that these efforts annoy users and drive up support costs. 詳細については、「パスワードは重要ではない」を参照してください。For more information, see Your Pa$$word doesn't matter.

パスワードレス認証のベネフィットBenefits of passwordless authentication

  • セキュリティの強化Increased security. 攻撃対象としてのパスワードをなくすことで、フィッシングやパスワード スプレー攻撃のリスクが軽減します。Reduce the risk of phishing and password spray attacks by removing passwords as an attack surface.
  • ユーザー エクスペリエンスの向上Better user experience. 任意の場所からデータにアクセスするための便利な方法がユーザーに提供されます。Give users a convenient way to access data from anywhere. Outlook、OneDrive、Office などのアプリケーションおよびサービスにモバイルから簡単にアクセスできるようになります。Provide easy access to applications and services such as Outlook, OneDrive, or Office while mobile.
  • 堅牢な分析情報Robust insights. 堅牢なログ記録と監査を使用して、ユーザーのパスワードなしのアクティビティに対する分析情報が得られます。Gain insights into users passwordless activity with robust logging and auditing.

パスワードなしの場合、パスワードは、ユーザーが持っているもの、ユーザー自身、またはユーザーが知っているものに置き換えられます。With passwordless, the password is replaced with something you have plus something you are or something you know. たとえば、Windows Hello for Business では、顔や指紋などの生体認証ジェスチャや、ネットワーク経由で送信されないデバイス固有の PIN などを使用できます。For example, Windows Hello for Business can use a biometric gesture like a face or fingerprint, or a device-specific PIN that isn't transmitted over a network.

パスワードレス認証方法Passwordless authentication methods

Microsoft では、多くのシナリオに対応する 3 つのパスワードなし認証オプションが提供されています。Microsoft offers three passwordless authentication options that cover many scenarios. これらの方法は、同時に使用することができます。These methods can be used in tandem:

  • Windows Hello for Business は、専用の Windows コンピューターを使用するユーザーに最適です。Windows Hello for Business is best for users on their dedicated Windows computers.
  • FIDO2 セキュリティ キーでのセキュリティ キー サインインは、キオスクなどの共有マシンにサインインするユーザー、電話の使用が制限されている状況、および高い特権を持つ ID に対して特に便利です。Security key sign-in with FIDO2 Security keys is especially useful for users who sign in to shared machines like kiosks, in situations where use of phones is restricted, and for highly privileged identities.
  • Microsoft Authenticator アプリでの電話サインインは、モバイル デバイスを使用するユーザーにパスワードなしのオプションを提供する場合に便利です。Phone sign in with the Microsoft Authenticator app is useful for providing a passwordless option to users with mobile devices. Authenticator アプリは、ユーザーが任意のプラットフォームまたはブラウザーにサインインできるようにすることで、iOS または Android の電話を強力なパスワードなしの資格情報に変えます。The Authenticator app turns any iOS or Android phone into a strong, passwordless credential by allowing users to sign into any platform or browser. ユーザーは電話で通知を受け取り、画面に表示されている番号を自分の電話の番号と照合し、生体認証データまたは PIN を使用することで、サインインします。Users sign in by getting a notification to their phone, matching a number displayed on the screen to the one on their phone, and then using their biometric data or PIN to confirm.

パスワードなし認証のシナリオPasswordless authentication scenarios

Microsoft のパスワードレス認証方法では、さまざまなシナリオを実現できます。Microsoft's passwordless authentication methods enable different scenarios. 組織のニーズ、前提条件、および各認証方法の機能を考慮して、パスワードなし認証戦略を選択します。Consider your organizational needs, prerequisites, and the capabilities of each authentication method to select your passwordless authentication strategy. Windows 10 デバイスを使用するすべての組織に、Windows Hello for Business を使用することをお勧めします。We recommend that every organization that uses Windows 10 devices use Windows Hello for Business. その後、追加のシナリオのために、(Microsoft Authenticator アプリでの) 電話サインインまたはセキュリティ キーを追加します。Then, add either phone sign-in (with the Microsoft Authenticator app) or security keys for additional scenarios.

シナリオScenario 電話認証Phone authentication セキュリティ キーSecurity keys Windows Hello for BusinessWindows Hello for Business
コンピューターでのサインイン: Computer sign in:
割り当てられた Windows 10 デバイスからFrom assigned Windows 10 device
いいえNo はいYes
生体認証、PIN を使用With biometric, PIN
はいYes
生体認証および PIN を使用with biometric recognition and or PIN
コンピューターでのサインイン: Computer sign in:
共有 Windows 10 デバイスからFrom shared Windows 10 device
いいえNo はいYes
生体認証、PIN を使用With biometric, PIN
いいえNo
Web アプリのサインイン:Web app sign-in:
‎ ユーザー専用コンピューターから‎ from a user-dedicated computer
はいYes はいYes
コンピューターのサインインによってアプリへのシングル サインオンが有効になっている場合Provided single sign-on to apps is enabled by computer sign-in
はいYes
コンピューターのサインインによってアプリへのシングル サインオンが有効になっている場合Provided single sign-on to apps is enabled by computer sign-in
Web アプリのサインイン:Web app sign-in:
モバイル デバイスまたは Windows 以外のデバイスからfrom a mobile or non-windows device
はいYes いいえNo いいえNo
コンピューターでのサインイン: Computer sign in:
Windows 以外のコンピューターNon-Windows computer
いいえNo いいえNo いいえNo

ご自分の組織に最適な方法を選択する詳細については、「パスワードレスの方法を決定する」を参照してください。For information on selecting the best method for your organization, see Deciding a passwordless method.

前提条件Prerequisites

組織では、パスワードなしのデプロイを始める前に、次の前提条件を満たす必要があります。Organizations must meet the following prerequisites before beginning a passwordless deployment:

前提条件Prerequisite Authenticator アプリAuthenticator app FIDO2 セキュリティ キーFIDO2 Security Keys
Azure AD Multi-Factor Authentication とセルフサービス パスワード リセット (SSPR) の統合された登録が有効になっているCombined registration for Azure AD Multi-Factor Authentication and self-service password reset (SSPR) is enabled
ユーザーが Azure AD Multi-Factor Authentication を実行できるUsers can perform Azure AD Multi-Factor Authentication
ユーザーが Azure AD Multi-Factor Authentication と SSPR の登録をしているUsers have registered for Azure AD Multi-Factor Authentication and SSPR
ユーザーがモバイル デバイスを Azure Active Directory に登録しているUsers have registered their mobile devices to Azure Active Directory
Microsoft Edge や Mozilla Firefox などのサポートされているブラウザーを使用している Windows 10 バージョン 1809 以降Windows 10 version 1809 or higher using a supported browser like Microsoft Edge or Mozilla Firefox
(バージョン 67 以降)。(version 67 or higher).
ネイティブ サポートには 1903 以降のバージョンをお勧めしますMicrosoft recommends version 1903 or higher for native support.
互換性のある FIDO2 セキュリティ キー。Compatible FIDO2 security keys. Microsoft でテストおよび検証済みの FIDO2 セキュリティ デバイスまたは他の互換性のある FIDO2 セキュリティ デバイスを確実に使用します。Ensure that you're using a Microsoft-tested and verified FIDO2 security device, or other compatible FIDO2 security device.

Windows Hello for Business の前提条件Prerequisites for Windows Hello for Business

Windows Hello の前提条件は、オンプレミス、ハイブリッド、クラウドのみのどの構成にデプロイするかに大きく依存します。The prerequisites for Windows Hello are highly dependent on whether you're deploying in an on-premises, hybrid, or cloud-only configuration. 詳細については、Windows Hello for Business の前提条件の完全な一覧を参照してください。For more information, see the full listing of prerequisites for Windows Hello for Business.

Azure AD Multi-Factor AuthenticationAzure AD Multi-Factor Authentication

ユーザーは、Azure AD Multi-Factor Authentication 登録フローの一部として、自身のパスワードレスの方法を登録します。Users register their passwordless method as a part of the Azure AD Multi-Factor Authentication registration flow. ユーザー名とパスワードによる多要素認証と別の登録済み方法を、一部のシナリオで電話またはセキュリティ キーを使用できない場合の代替手段として使用できます。Multi-factor authentication with a username and password along with another registered method can be used as a fallback in case they can't use their phone or security key in some scenarios.

ライセンスLicensing

パスワードレス認証には追加料金は発生しませんが、一部の前提条件では Premium サブスクリプションが必要になる場合があります。There is no additional cost for passwordless authentication, although some prerequisites may require a premium subscription. 機能とライセンスの詳細については、Azure Active Directory のライセンスに関するページを参照してください。For detailed feature and licensing information in the Azure Active Directory licensing page.

プランを開発するDevelop a plan

各認証方法に対するビジネス ニーズとユース ケースを検討します。Consider your business needs and the use cases for each authentication method. その後、ニーズに最適な方法を選択します。Then select the method that best fits your needs.

ユース ケースUse cases

次の表では、このプロジェクトの間に実装するユース ケースの概要を示します。The following table outlines the use cases to be implemented during this project.

領域Area 説明Description
Access (アクセス)Access パスワードなしのサインインは、企業ネットワーク内外の企業または個人のデバイスから使用できます。Passwordless sign-in is available from a corporate or personal device within or outside the corporate network.
監査Auditing 管理者は、使用状況データを使用して、ほぼリアルタイムで監査を行うことができます。Usage data is available to administrators to audit in near real time.
使用状況データは、少なくとも 29 日に一度、企業システムにダウンロードされるか、または SIEM ツールを使用します。Usage data is downloaded into corporate systems at least every 29 days, or SIEM tool is used.
ガバナンスGovernance 適切な認証方法および関連するグループへのユーザー割り当てのライフサイクルを定義して監視します。Lifecycle of user assignments to appropriate authentication method and associated groups is defined and monitored.
SecuritySecurity 適切な認証方法へのアクセスは、ユーザーとグループの割り当てによって制御されます。Access to appropriate authentication method is controlled via user and group assignments.
パスワードなしのサインインを使用できるのは、許可されているユーザーのみです。Only authorized users can use passwordless sign-in.
パフォーマンスPerformance アクセス割り当ての伝達タイムラインが文書化され、監視されます。Access assignment propagation timelines are documented and monitored.
使いやすいようにサインイン時間が測定されます。Sign in times is measured for ease of use.
ユーザー エクスペリエンスUser Experience ユーザーはモバイルの互換性を理解しています。Users are aware of mobile compatibility.
ユーザーは、Authenticator アプリのパスワードなしのサインインを構成できます。Users can configure the Authenticator app passwordless sign-in.
サポートSupport ユーザーは、パスワードなしのサインインの問題に対するサポートを見つける方法を認識しています。Users are aware of how to find support for passwordless sign-in issues.

適切な関係者を関わらせるEngage the right stakeholders

テクノロジ プロジェクトが失敗した場合、その原因は通常、影響、結果、および責任に対する想定の不一致です。When technology projects fail, it's typically because of mismatched expectations on impact, outcomes, and responsibilities. これらの落とし穴を回避するには、適切な利害関係者が担当していることを確認し、プロジェクトにおけるその利害関係者の役割がよく理解されていることを確認します。To avoid these pitfalls, ensure that you're engaging the right stakeholders and that stakeholder roles in the project are well understood.

連絡を計画するPlan communications

コミュニケーションは、新しいサービスの成功に必要不可欠です。Communication is critical to the success of any new service. ユーザーのエクスペリエンスがどのように変わるのか、いつ変わるのか、問題が発生したときにサポートを受ける方法について、事前に連絡します。Proactively communicate how users' experience will change, when it will change, and how to gain support if they experience issues.

エンド ユーザーへの連絡には、次の情報を含める必要があります。Your communications to end users should include the following information:

Microsoft では、伝達方法の原案として役立つ Azure Multi-Factor Authentication の通信テンプレート、セルフサービス パスワード リセット (SSPR) 通信テンプレートエンド ユーザー文書を提供しています。Microsoft provides Multi-factor authentication communication templates, Self-Service Password Reset (SSPR) communication templates, and end-user documentation to help draft your communications. ユーザーに https://myprofile.microsoft.com にアクセスさせ、そのページの [セキュリティ情報] リンクを選択して直接登録させることができます。You can send users to https://myprofile.microsoft.com to register directly by selecting the Security Info links on that page.

パイロットを計画するPlan to pilot

パスワードなしの認証をデプロイするときは、最初に 1 つ以上のパイロット グループを有効にする必要があります。When you deploy passwordless authentication, you should first enable one or more pilot groups. この目的のためだけにグループを作成することができます。You can create groups specifically for this purpose. パイロットに参加するユーザーをグループに追加します。Add the users who will participate in the pilot to the groups. その後、選択したグループに対して、新しいパスワードなしの認証方法を有効にします。Then, enable new passwordless authentication methods for the selected groups.

グループは、オンプレミスのディレクトリまたは Azure AD から同期できます。Groups can be synced from an on-premises directory, or from Azure AD. パイロットの結果に満足できたら、すべてのユーザーをパスワードレス認証に切り替えることができます。Once you're happy with the results of your pilot, you can switch on the passwordless authentication for all users.

デプロイの計画に関するページの「パイロットのベスト プラクティス」を参照してください。See Best practices for a pilot on the deployment plans page.

Microsoft Authenticator アプリを使用したパスワードレス認証を計画するPlan passwordless authentication with the Microsoft Authenticator app

Microsoft Authenticator アプリは Google Play または Apple App Store から無償でダウンロードできます。The Microsoft Authenticator app is a free download from Google Play or the Apple App Store. Microsoft Authenticator アプリのダウンロードの詳細については、こちらを参照してください。Learn more about downloading the Microsoft Authenticator app. ユーザーに Microsoft Authenticator アプリをダウンロードしてもらい、Have users download the Microsoft Authenticator app. 指示に従って電話によるサインインを有効にしてもらいます。and follow the directions to enable phone sign in.

これにより任意の iOS や Android フォンが、強力なパスワードレスの資格情報に変わります。It turns any iOS or Android phone into a strong, passwordless credential. ユーザーは、自分の電話で通知を受け取り、画面に表示される番号と電話の番号を照合してから、生体認証または PIN を使用することで、任意のプラットフォームまたはブラウザーにサインインします。Users sign in to any platform or browser by getting a notification to their phone, matching a number displayed on the screen to the one on their phone, and then using biometrics or a PIN to confirm. Microsoft Authenticator アプリのしくみについて詳しくは、こちらを参照してください。See details on how the Microsoft Authenticator app works.

Authenticator アプリを使用したサインイン

Microsoft Authenticator アプリの技術的な考慮事項Technical considerations for the Microsoft Authenticator app

AD FS 統合 - ユーザーが Microsoft Authenticator のパスワードなしの資格情報を有効にすると、そのユーザーの認証では、既定で承認のための通知が送信されます。AD FS Integration - When a user enables the Microsoft Authenticator passwordless credential, authentication for that user defaults to sending a notification for approval. ハイブリッド テナントのユーザーは、[代わりにパスワードを使用する] を選択しない限り、サインインのために ADFS に送られることはありません。Users in a hybrid tenant are prevented from being directed to ADFS for sign-in unless they select "Use your password instead." このプロセスでは、オンプレミスの条件付きアクセス ポリシーとパススルー認証フローもバイパスされます。This process also bypasses any on-premises Conditional Access policies, and pass-through authentication flows. ただし、login_hint が指定されている場合、ユーザーは ADFS に転送され、パスワードなしの資格情報を使用するオプションはバイパスされます。However, if a login_hint is specified, the user is forwarded to ADFS and bypass the option to use the passwordless credential.

Azure AD Multi-Factor Authentication Server - 組織のオンプレミスの Azure MFA Server を介した多要素認証が有効になっているエンド ユーザーは、1 つのパスワードレスの電話によるサインイン資格情報を作成して使用できます。Azure AD Multi-Factor Authentication server - End users enabled for Multi-factor authentication through an organization's on-premises Azure MFA server can create and use a single passwordless phone sign-in credential. ユーザーがその資格情報で Microsoft Authenticator の複数のインストール (5 つ以上) をアップグレードしようとすると、この変更はエラーになることがあります。If the user attempts to upgrade multiple installations (5 or more) of the Microsoft Authenticator with the credential, this change may result in an error.

デバイス登録 - Authenticator アプリをパスワードなし認証に使用するには、デバイスを Azure AD テナントに登録する必要があり、共有デバイスは使用できません。Device Registration - To use the Authenticator app for passwordless authentication, the device must be registered in the Azure AD tenant and can't be a shared device. デバイスは 1 つのテナントにのみ登録できます。A device can only be registered in a single tenant. この制限は、Authenticator アプリを使用する電話サインインに対して、1 つの職場または学校アカウントのみがサポートされることを意味します。This limit means that only one work or school account is supported for phone sign-in using the Authenticator app.

FIDO2 セキュリティ キーを使用したパスワードレス認証を計画するPlan passwordless authentication with FIDO2 Security keys

セキュリティ キーを使用して行えるパスワードレスのサインインのデプロイには、次の 3 種類があります。There are three types of passwordless sign-in deployments available with security keys:

  • サポートされているブラウザーでの Azure Active Directory Web アプリAzure Active Directory web apps on a supported browser
  • Azure Active Directory 参加済み Windows 10 デバイスAzure Active Directory Joined Windows 10 devices
  • ハイブリッド Azure Active Directory 参加済み Windows 10 デバイス (プレビュー)Hybrid Azure Active Directory Joined Windows 10 devices (preview)

互換性のある FIDO2 セキュリティ キー を有効にする必要があります。You must enable Compatible FIDO2 security keys. Microsoft は、FIDO2 キー ベンダーとの重要なパートナーシップを発表しました。Microsoft announced key partnerships with FIDO2 key vendors.

Azure AD Web アプリと Azure AD Windows 参加済みデバイスの場合:For Azure AD web apps and Azure AD Windows joined devices:

  • Microsoft Edge や Mozilla Firefox (バージョン 67 以降) などのサポートされているブラウザーを使用している Windows 10 バージョン 1809 以降。Windows 10 version 1809 or higher using a supported browser like Microsoft Edge or Mozilla Firefox (version 67 or higher).
  • Windows 10 バージョン 1809 では、FIDO2 サインインがサポートされており、場合によっては、FIDO2 キーの製造元のソフトウェアをデプロイする必要があります。Windows 10 version 1809 supports FIDO2 sign-in and may require software from the FIDO2 key manufacturer to be deployed. バージョン 1903 以降を使用することをお勧めします。We recommend you use version 1903 or later.

ハイブリッド Azure Active Directory ドメイン参加済みデバイスの場合:For Hybrid Azure Active Directory Domain Joined devices:

  • Windows 10 バージョン 2004 以降Windows 10 version 2004 or later
  • Windows Server 2016 または 2019 を実行している、完全にパッチが適用されたドメイン サーバー。Fully patched domain servers running Windows Server 2016 or 2019.
  • 最新バージョンの Azure AD ConnectLatest version of Azure AD Connect

要件の完全な一覧については、「Azure Active Directory を使用して Windows 10 デバイスへのパスワードレス セキュリティ キー サインインを有効にする」を参照してください。For a complete list of requirements, see Enable passwordless security key sign-in to Windows 10 devices with Azure Active Directory.

セキュリティ キーのライフサイクルSecurity key life cycle

セキュリティ キーを使用するとリソースにアクセスすることができるので、それらの物理デバイスの管理を計画する必要があります。Security keys enable access to your resources, and you should plan the management of those physical devices.

  1. キーの配布:組織にキーをプロビジョニングする方法を計画します。Key distribution: Plan how to provision keys to your organization. 集中的なプロビジョニング プロセスを使用することも、エンド ユーザーが FIDO 2.0 と互換性のあるキーを購入できるようにすることもできます。You may have a centralized provisioning process or allow end users to purchase FIDO 2.0-compatible keys.
  2. キーのアクティブ化:エンド ユーザーは、自分でセキュリティ キーをアクティブ化する必要があります。Key activation: End users must self-activate the security key. エンド ユーザーは、https://aka.ms/mysecurityinfo でセキュリティ キーを登録し、最初の使用時に 2 番目の要素 (PIN または生体認証) を有効にします。End users register their security keys at https://aka.ms/mysecurityinfo and enable the second factor (PIN or biometric) at first use.
  3. キーの無効化:セキュリティ キー機能がプレビュー段階の間は、管理者がユーザー アカウントからキーを削除する方法はありません。Disabling a key: While security key functionality is in the preview stage, there's no way for an administrator to remove a key from a user account. ユーザーが削除する必要があります。The user must remove it. キーをなくしたり盗まれたりした場合: If a key is lost or stolen:
    1. パスワードなし認証が有効になっているすべてのグループからユーザーを削除します。Remove the user from any group enabled for passwordless authentication.
    2. ユーザーが認証方法としてのキーを削除したことを確認します。Verify they've removed the key as an authentication method.
    3. 新しいキーを発行します。Issue a new key. キーの交換:ユーザーは、2 つのセキュリティ キーを同時に有効にすることができます。Key replacement: Users can enable two security keys at the same time. セキュリティ キーを交換するときは、ユーザーも交換されるキーを削除したことを確認します。When replacing a security key, ensure the user has also removed the key being replaced.

Windows 10 のサポートを有効にするEnable Windows 10 support

FIDO2 セキュリティ キーを使用して Windows 10 のサインインを有効にするには、Windows 10 で資格情報プロバイダー機能を有効にする必要があります。Enabling Windows 10 sign-in using FIDO2 security keys requires enabling the credential provider functionality in Windows 10. 次のいずれかを選択します。Choose one of the following:

オンプレミス統合を有効にするEnable on-premises integration

オンプレミスのリソースへのアクセスを有効にするには、オンプレミスのリソースへのパスワードなしのセキュリティ キー サインイン (プレビュー) を有効にする手順に従います。To enable access to on-premises resources, follow the steps to Enable passwordless security key sign in to on-premises resources (preview).

重要

この手順は、Windows 10 サインインの FIDO2 セキュリティキーを利用するために、すべてのハイブリッド Azure AD 参加済みデバイスでも実行する必要があります。These steps must also be completed for any hybrid Azure AD joined devices to utilize FIDO2 security keys for Windows 10 sign in.

セキュリティ キーを登録するRegister security keys

ユーザーは、Azure Active Directory に参加している各 Windows 10 マシンにセキュリティ キーを登録する必要があります。Users must register their security key on each of their Azure Active Directory joined Windows 10 machines.

詳細については、「FIDO2 セキュリティ キーのユーザー登録と管理」を参照してください。For more information, see User registration and management of FIDO2 security keys.

監査、セキュリティ、およびテストを計画するPlan auditing, security, and testing

組織とコンプライアンス フレームワークに合った監査を計画することは、デプロイに不可欠な要素です。Planning for auditing that meets your organizational and compliance frameworks is an essential part of your deployment.

パスワードなしの監査Auditing passwordless

Azure AD には、技術やビジネスの分析情報を提供するレポートがあります。Azure AD has reports that provide technical and business insights. ビジネスおよび技術アプリケーションの所有者に、組織の要件に基づいてこれらのレポートの所有権を引き受けさせ、レポートを使用させます。Have your business and technical application owners assume ownership of and consume these reports based on your organization's requirements.

管理者は、Azure Active Directory ポータルの [認証 方法] セクションで、パスワードなしの資格情報の設定を有効にし、管理することができます。The Authentication methods section within the Azure Active Directory portal is where administrators can enable and manage settings for passwordless credentials.

Azure AD では、次の場合に監査ログにエントリが追加されます。Azure AD adds entries to the audit logs when:

  • 管理者は [認証方法] セクションで変更を行います。An admin makes changes in the Authentication methods section.
  • ユーザーは、Azure Active Directory で資格情報に対して任意の種類の変更を行うことができます。A user makes any kind of change to their credentials within Azure Active Directory.

次の表に、一般的なレポート シナリオの例をいくつか示します。The following table provides some examples of typical reporting scenarios:

リスクの管理Manage risk 生産性の向上Increase productivity ガバナンスとコンプライアンスGovernance and compliance
レポートの種類Report types 認証方法 - 統合されたセキュリティ登録に登録されているユーザーAuthentication methods- users registered for combined security registration 認証方法 – アプリ通知に登録されているユーザーAuthentication methods – users registered for app notification サインイン: テナントにアクセスしているユーザーとその方法を確認するSign-ins: review who is accessing the tenant and how
潜在的なアクションPotential actions 対象ユーザーがまだ登録されていないTarget users not yet registered Microsoft Authenticator アプリまたはセキュリティ キーの導入を推進するDrive adoption of Microsoft Authenticator app or security keys アクセスを取り消すか、管理者に対して追加のセキュリティ ポリシーを適用するRevoke access or enforce additional security policies for admins

Azure AD ではほとんどの監査データが 30 日間保持され、Azure 管理ポータルまたは API でデータを分析システムにダウンロードして利用できます。Azure AD keeps most auditing data for 30 days and makes the data available via Azure Admin portal or API for you to download into your analysis systems. さらに長いデータ保持期間が必要な場合は、Azure Sentinel、Splunk、Sumo Logic などの SIEM ツールでログをエクスポートして使用します。If you require longer retention,export and consume logs in a SIEM tool such as Azure Sentinel, Splunk, or Sumo Logic. アクセスおよび使用状況レポートの表示の詳細を確認してくださいLearn more about viewing your access and usage reports.

ユーザーは、https://aka.ms/mysecurityinfo に移動して、資格情報を登録および管理できます。Users can register and manage their credentials by navigating to https://aka.ms/mysecurityinfo. このリンクにより、ユーザーは、SSPR と Multi-Factor Authentication の統合によって有効になったエンド ユーザー資格情報管理エクスペリエンスに移動します。This link directs users to the end-user credential management experience that was enabled via the combined SSPR/Multi-factor authentication registration experience. Azure AD では、FIDO2 セキュリティ デバイスの登録と、ユーザーによる認証方法の変更がログに記録されます。Azure AD logs registration of FIDO2 security devices, and changes to authentication methods by a users.

セキュリティを計画するPlan security

このロールアウト計画の一環として、すべての特権管理者アカウントに対してパスワードレス認証を有効にすることをお勧めします。As part of this rollout plan, Microsoft recommends that passwordless authentication be enabled for all privileged admin accounts.

ユーザーが、セキュリティ キーのアカウントを有効または無効にするか、Windows 10 コンピューターでセキュリティ キーの 2 番目の要素をリセットすると、次のイベント ID でエントリがセキュリティ ログに追加されます: 46705382When users enable or disable the account on a security key, or reset the second factor for the security key on their Windows 10 machines, an entry is added to security log and are under the following event IDs: 4670 and 5382.

テストを計画するPlan testing

シナリオと導入をテストする際に、デプロイの各段階で、結果が期待どおりであることを確認します。At each stage of your deployment as you test scenarios and adoption, ensure that the results are as expected.

Microsoft Authenticator アプリのテストTesting the Microsoft Authenticator app

次に示すのは、Microsoft Authenticator アプリでのパスワードレス認証のサンプル テスト ケースです。The following are sample test cases for passwordless authentication with the Microsoft Authenticator app:

シナリオScenario 予想される結果Expected results
ユーザーは Microsoft Authenticator アプリを登録できるUser can register Microsoft Authenticator app ユーザーは aka.ms/mysecurityinfo からアプリを登録できますUser can register app from aka.ms/mysecurityinfo
ユーザーは電話によるサインインを有効にできるUser can enable phone sign-in 職場アカウント用に構成された電話サインインPhone sign in configured for work account
ユーザーは電話でサインインしてアプリにアクセスできるUser can access an app with phone sign-in ユーザーは、電話でのサインイン フローを経て、アプリケーションに到達します。User goes through phone sign-in flow and reaches application.
Azure Active Directory ポータルの [認証方法] 画面で [Microsoft Authenticator パスワードなしのサインイン] をオフにして、電話によるサインイン登録へのロールバックをテストするTest rolling back phone sign-in registration by turning off Microsoft Authenticator passwordless sign-in within the Authentication methods screen in the Azure Active Directory portal 以前に有効にしたユーザーが、Microsoft Authenticator からパスワードなしのサインインを使用できなくなります。Previously enabled users unable to use passwordless sign-in from Microsoft Authenticator.
Microsoft Authenticator アプリから電話によるサインインを削除するRemoving phone sign-in from Microsoft Authenticator app Microsoft Authenticator で職場アカウントが使用できなくなりますWork account no longer available on Microsoft Authenticator

セキュリティ キーのテストTesting security keys

次に示すのは、セキュリティ キーでのパスワードなし認証のサンプル テスト ケースです。The following are sample test cases for passwordless authentication with security keys.

Azure Active Directory に参加している Windows 10 デバイスへのパスワードなしの FIDO サインインPasswordless FIDO sign-in to Azure Active Directory Joined Windows 10 devices

シナリオScenario 予想される結果Expected results
ユーザーは FIDO2 デバイス (1809) を登録できるThe user can register FIDO2 device (1809) ユーザーは、[設定] > [アカウント] > サインイン オプション > [セキュリティ キー] を使用して、FIDO2 デバイスを登録できますUser can register FIDO2 device using at Settings > Accounts > sign in options > Security Key
ユーザーは FIDO2 デバイス (1809) をリセットできるThe user can reset FIDO2 device (1809) ユーザーは、製造元のソフトウェアを使用して FIDO2 デバイスをリセットできますUser can reset FIDO2 device using manufacturer software
ユーザーは FIDO2 デバイス (1809) を使用してサインインできるThe user can sign in with FIDO2 device (1809) ユーザーはサインイン ウィンドウからセキュリティ キーを選択し、正常にサインインできます。User can select Security Key from the sign-in window, and successfully sign in.
ユーザーは FIDO2 デバイス (1903) を登録できるThe user can register FIDO2 device (1903) ユーザーは、[設定] > [アカウント] > サインイン オプション > [セキュリティ キー] で、FIDO2 デバイスを登録できますUser can register FIDO2 device at Settings > Accounts > sign in options > Security Key
ユーザーは FIDO2 デバイス (1903) をリセットできるThe user can reset FIDO2 device (1903) ユーザーは、[設定] > [アカウント] > サインイン オプション > [セキュリティ キー] で、FIDO2 デバイスをリセットできますUser can reset FIDO2 device at Settings > Accounts > sign in options > Security Key
ユーザーは FIDO2 デバイス (1903) を使用してサインインできるThe user can sign in with FIDO2 device (1903) ユーザーはサインイン ウィンドウからセキュリティ キーを選択し、正常にサインインできます。User can select Security Key from the sign-in window, and successfully sign in.

Azure AD Web アプリへのパスワードなしの FIDO サインインPasswordless FIDO sign-in to Azure AD web apps

シナリオScenario 予想される結果Expected results
ユーザーは Microsoft Edge を使用して aka.ms/mysecurityinfo で FIDO2 デバイスを登録できるThe user can register FIDO2 device at aka.ms/mysecurityinfo using Microsoft Edge 登録は成功しますRegistration should succeed
ユーザーは Firefox を使用して aka.ms/mysecurityinfo で FIDO2 デバイスを登録できるThe user can register FIDO2 device at aka.ms/mysecurityinfo using Firefox 登録は成功しますRegistration should succeed
ユーザーは Microsoft Edge を使用して FIDO2 デバイスで OneDrive Online にサインインできるThe user can sign in to OneDrive online using FIDO2 device using Microsoft Edge サインインは成功しますSign-in should succeed
ユーザーは Firefox を使用して FIDO2 デバイスで OneDrive Online にサインインできるThe user can sign in to OneDrive online using FIDO2 device using Firefox サインインは成功しますSign-in should succeed
Azure Active Directory ポータルの [認証方法] ウィンドウ内で FIDO2 セキュリティ キーをオフにすることにより、FIDO2 デバイス登録のロールバックをテストするTest rolling back FIDO2 device registration by turning off FIDO2 Security Keys within the Authentication method window in the Azure Active Directory portal ユーザーは、自分のセキュリティ キーを使用してサインインするように求められます。Users will be prompted to sign in using their security key. ユーザーが正常にサインインすると、次のエラーが表示されます。"会社のポリシーでは、別の方法を使用してサインインする必要があります。"Users will successfully sign in and an error will be displayed: "Your company policy requires that you use a different method to sign in". その後、ユーザーは別の方法を選択して正常にサインインできるようになります。Users should then be able to select a different method and successfully sign in. ウィンドウを閉じてもう一度サインインし、同じエラー メッセージが表示されないことを確認します。Close the window and sign in again to verify they do not see the same error message.

ロールバックのための計画Plan for rollback

パスワードなし認証は軽量の機能であり、エンド ユーザーへの影響は最小限に抑えられますが、ロールバックが必要になる場合があります。Though passwordless authentication is a lightweight feature with minimal impact on end users, it may be necessary to roll back.

ロールバックを行うには、管理者が Azure Active Directory ポータルにサインインし、目的の強力な認証方法を選択して、有効にするオプションを [いいえ] に変更する必要があります。Rolling back requires the administrator to sign in to the Azure Active Directory portal, select the desired strong authentication methods, and change the enable option to No. このプロセスにより、すべてのユーザーのパスワードなし機能が無効になります。This process turns off the passwordless functionality for all users.

FIDO2 セキュリティ デバイスを既に登録しているユーザーには、次回のサインイン時に、セキュリティ デバイスの使用を求めるメッセージが表示され、次のエラーが表示されます。Users that have already registered FIDO2 security devices are prompted to use the security device at their next sign-in, and then see the following error:

別のサインイン方法を選択する

パスワードレス認証のデプロイとトラブルシューティングDeploy and troubleshoot passwordless authentication

選択した方法に適した後の手順に従います。Follow the steps aligned to your chosen method below.

必要な管理者ロールRequired administrative roles

Azure AD ロールAzure AD Role 説明Description
グローバル管理者Global Administrator 最小特権ロールは、統合された登録エクスペリエンスを実装できます。Least privileged role able to implement combined registration experience.
認証管理者Authentication Administrator 認証方法を実装および管理できる最小限の特権を持つロール。Least privileged role able to implement and manage authentication methods.
UserUser デバイスで Authenticator アプリを構成するか、Web または Windows 10 でのサインイン用のセキュリティ キー デバイスを登録するための、最小限の特権を持つロール。Least privileged role to configure Authenticator app on device, or to enroll security key device for web or Windows 10 sign-in.

Microsoft Authenticator アプリでの電話によるサインインをデプロイするDeploy phone sign-in with the Microsoft Authenticator app

記事「Microsoft Authenticator アプリを使用したパスワードなしのサインインを有効にする」の手順に従って、組織内でのパスワードなしの認証方法として Microsoft Authenticator アプリを有効にします。Follow the steps in the article, Enable passwordless sign-in with the Microsoft Authenticator app to enable the Microsoft Authenticator app as a passwordless authentication method in your organization.

FIDO2 セキュリティ キーによるサインインをデプロイするDeploy FIDO2 security key sign-in

記事「Azure AD へのパスワードなしのセキュリティ キー サインインを有効にする」の手順に従って、パスワードレス認証方法として FIDO2 セキュリティ キーを有効にします。Follow the steps in the article, Enable passwordless security key sign in for Azure AD to enable FIDO2 security keys as passwordless authentication methods.

電話によるサインインのトラブルシューティングTroubleshoot phone sign-in

シナリオScenario 解決策Solution
ユーザーが、統合された登録を実行できない。User cannot perform combined registration. 統合された登録が有効になっていることを確認します。Ensure combined registration is enabled.
ユーザーが Authenticator アプリで電話によるサインインを有効にできない。User cannot enable phone sign-in authenticator app. ユーザーがデプロイのスコープ内にいることを確認します。Ensure user is in scope for deployment.
ユーザーはパスワードレス認証のスコープ内にいないが、パスワードなしのサインインのオプションを表示され、それを実行できない。User is NOT in scope for passwordless authentication, but is presented with passwordless sign-in option, which they cannot complete. このシナリオは、ポリシーが作成される前に、ユーザーがアプリケーションで電話によるサインインを有効にした場合に発生します。This scenario occurs when the user has enabled phone sign-in in the application prior to the policy being created.
"サインインを有効にするには":パスワードなしのサインインが有効になっているユーザーのスコープにユーザーを追加します。To enable sign in: Add the user to the scope of users enabled for passwordless sign-in.
"サインインをブロックするには": ユーザーにそのアプリケーションから資格情報を削除させます。To block sign in: have the user remove their credential from that application.

セキュリティ キーによるサインインのトラブルシューティングTroubleshoot security key sign-in

シナリオScenario 解決策Solution
ユーザーが、統合された登録を実行できない。User can't perform combined registration. 統合された登録が有効になっていることを確認します。Ensure combined registration is enabled.
ユーザーがセキュリティの設定でセキュリティ キーを追加できない。User can't add a security key in their security settings. セキュリティ キーが有効になっていることを確認します。Ensure that security keys are enabled.
ユーザーが Windows 10 のサインイン オプションでセキュリティ キーを追加できない。User can't add security key in Windows 10 sign-in options. Windows サインイン用のセキュリティ キーを確認しますEnsure that security keys for Windows sign in
エラー メッセージ:We detected that this browser or OS doesn't support FIDO2 security keys. (このブラウザーまたは OS では FIDO2 セキュリティ キーがサポートされていないことが検出されました。)Error message: We detected that this browser or OS doesn't support FIDO2 security keys. パスワードなしの FIDO2 セキュリティ デバイスは、Windows 10 バージョン 1809 以降のサポートされているブラウザー (Microsoft Edge、Firefox バージョン 67) でのみ登録できます。Passwordless FIDO2 security devices can only be registered in supported browsers (Microsoft Edge, Firefox version 67) on Windows 10 version 1809 or higher.
エラー メッセージ:会社のポリシーでは、別の方法を使用してサインインする必要があります。Error message: Your company policy requires that you use a different method to sign in. テナントでセキュリティ キーが有効になっているかどうか不明です。Unsure security keys are enabled in the tenant.
ユーザーが Windows 10 バージョン 1809 でセキュリティ キーを管理できないUser unable to manage my security key on Windows 10 version 1809 バージョン 1809 では、FIDO2 キー ベンダーによって提供されるセキュリティ キー管理ソフトウェアを使用する必要があります。Version 1809 requires that you use the security key management software provided by the FIDO2 key vendor. ベンダーにサポートについてお問い合わせください。Contact the vendor for support.
FIDO2 のセキュリティ キーが破損している可能性がある - どうすればテストできるか。I think my FIDO2 security key may be defective—how can I test it. https://webauthntest.azurewebsites.net/ に移動して、テスト アカウントの資格情報を入力し、問題のあるセキュリティ キーをプラグインして、画面の右上にある [+ ] ボタンを選択し、[作成] をクリックして、作成プロセスを実行します。Navigate to https://webauthntest.azurewebsites.net/, enter credentials for a test account, plug in the suspect security key, select the + button at the top right of the screen, click create, and go through the creation process. このシナリオが失敗する場合、デバイスに欠陥がある可能性があります。If this scenario fails, your device may be defective.

次のステップNext steps