Microsoft Authenticator アプリでパスワードなしのサインインを有効にするEnable passwordless sign-in with the Microsoft Authenticator app

Microsoft Authenticator アプリを使用すると、パスワードを使用せずに Azure AD アカウントにサインインできます。The Microsoft Authenticator app can be used to sign in to any Azure AD account without using a password. Microsoft Authenticator では、キーベースの認証を使用して、デバイスに関連付けられているユーザー資格情報を有効にします。なお、このデバイスでは PIN または生体認証が使用されます。Microsoft Authenticator uses key-based authentication to enable a user credential that is tied to a device, where the device uses a PIN or biometric. Windows Hello for Business でも、同様のテクノロジが使用されます。Windows Hello for Business uses a similar technology.

この認証テクノロジは、モバイルを含む任意のデバイス プラットフォームで使用できます。This authentication technology can be used on any device platform, including mobile. このテクノロジはまた、Microsoft 認証ライブラリに統合されている任意のアプリまたは Web サイトで使用することもできます。This technology can also be used with any app or website that integrates with Microsoft Authentication Libraries.

サインインを承認するようユーザーに求めている、ブラウザーでのサインインの例

Microsoft Authenticator アプリから電話によるサインインを有効にしたユーザーには、自分のアプリで番号をタップするように求めるメッセージが表示されます。People who enabled phone sign-in from the Microsoft Authenticator app see a message that asks them to tap a number in their app. ユーザー名またはパスワードの入力は求められません。No username or password is asked for. アプリでサインイン プロセスを完了するには、ユーザーはさらに次の操作を行う必要があります。To complete the sign-in process in the app, a user must next take the following actions:

  1. 番号を一致させます。Match the number.
  2. [承認] を選択します。Choose Approve.
  3. 自分の PIN または生体認証を指定します。Provide their PIN or biometric.

前提条件Prerequisites

Microsoft Authenticator アプリでパスワードなしの電話によるサインインを使用するには、次の前提条件を満たしている必要があります。To use passwordless phone sign-in with the Microsoft Authenticator app, the following prerequisites must be met:

  • 検証方法としてプッシュ通知が許可されている Azure AD Multi-Factor Authentication。Azure AD Multi-Factor Authentication, with push notifications allowed as a verification method.
  • iOS 8.0 以降、または Android 6.0 以降を実行しているデバイスにインストールされている最新バージョンの Microsoft Authenticator。Latest version of Microsoft Authenticator installed on devices running iOS 8.0 or greater, or Android 6.0 or greater.

注意

Azure AD PowerShell を使用して Microsoft Authenticator のパスワードなしのサインインを有効にした場合は、それがディレクトリ全体に対して有効になっています。If you enabled Microsoft Authenticator passwordless sign-in using Azure AD PowerShell, it was enabled for your entire directory. この新しい方法の使用を有効にすると、それが PowerShell ポリシーよりも優先されます。If you enable using this new method, it supercedes the PowerShell policy. 新しい "認証方法" メニューを使用して、テナント内のすべてのユーザーに対して有効にすることをお勧めします。そうしないと、新しいポリシーに含まれていないユーザーは、パスワードなしでサインインできなくなります。We recommend you enable for all users in your tenant via the new Authentication Methods menu, otherwise users not in the new policy are no longer be able to sign in without a password.

パスワードなしの認証方法を有効にするEnable passwordless authentication methods

Azure AD でパスワードレス認証を使用するには、まず、統合された登録エクスペリエンスを有効にしてから、パスワードなしの方法に対してユーザーを有効にします。To use passwordless authentication in Azure AD, first enable the combined registration experience, then enable users for the password less method.

統合された登録エクスペリエンスを有効にするEnable the combined registration experience

パスワードなしの認証方法の登録機能は、統合された登録機能に依存しています。Registration features for passwordless authentication methods rely on the combined registration feature. ユーザー自身が統合された登録を完了できるようにするには、統合されたセキュリティ情報の登録を有効にする手順に従ってください。To let users complete the combined registration themselves, follow the steps to enable combined security information registration.

パスワードなしの電話によるサインインの認証方法を有効にするEnable passwordless phone sign-in authentication methods

Azure AD では、サインイン プロセス中に使用できる認証方法を選択できます。Azure AD lets you choose which authentication methods can be used during the sign-in process. その後、ユーザーは使用する方法を登録します。Users then register for the methods they'd like to use.

パスワードなしの電話によるサインインの認証方法を有効にするには、次の手順を実行します。To enable the authentication method for passwordless phone sign-in, complete the following steps:

  1. "全体管理者" アカウントを使用して、Azure portal にサインインします。Sign in to the Azure portal with a global administrator account.
  2. Azure Active Directory を検索して選択し、 [セキュリティ] > [認証方法] > [ポリシー] の順に移動します。Search for and select Azure Active Directory, then browse to Security > Authentication methods > Policies.
  3. [Microsoft Authenticator] で、次のオプションを選択します。Under Microsoft Authenticator, choose the following options:
    1. 有効にする - [はい] または [いいえ]Enable - Yes or No
    2. ターゲット - [すべてのユーザー] または [ユーザーの選択]Target - All users or Select users
  4. 追加された各グループまたはユーザーは既定で、パスワードレスとプッシュ通知の両方のモード ("任意" モード) で Microsoft Authenticator が使用できるようになっています。Each added group or user is enabled by default to use Microsoft Authenticator in both passwordless and push notification modes ("Any" mode). これを変更するには、各行に対して次のことを行います。To change this, for each row:
    1. [...] > [構成] の順に移動します。Browse to ... > Configure.
    2. 認証モード - [任意]、[パスワードレス]、または [プッシュ]For Authentication mode - Any, Passwordless, or Push
  5. 新しいポリシーを適用するには、 [保存] を選択します。To apply the new policy, select Save.

Microsoft Authenticator のユーザー登録と管理User registration and management of Microsoft Authenticator

Azure AD のパスワードなし認証方法にユーザーが自分自身を登録するには、次の手順を使用します。Users register themselves for the passwordless authentication method of Azure AD by using the following steps:

  1. https://aka.ms/mysecurityinfo にアクセスします。Browse to https://aka.ms/mysecurityinfo.
  2. サインインし、次に [方法の追加] > [認証アプリ] を選択してから、 [追加] を選択し、Authenticator アプリを追加します。Sign in, then add the Authenticator app by selecting Add method > Authenticator app, then Add.
  3. 指示に従って、お使いのデバイスに Microsoft Authenticator アプリをインストールして構成します。Follow the instructions to install and configure the Microsoft Authenticator app on your device.
  4. [完了] を選択して、Authenticator の構成を完了します。Select Done to complete Authenticator configuration.
  5. Microsoft Authenticator で、登録したアカウントのドロップダウン メニューから [電話によるサインインを有効にする] を選択します。In Microsoft Authenticator, choose Enable phone sign-in from the drop-down menu for the account registered.
  6. アプリの指示に従って、パスワードなしの電話によるサインインに対するアカウントの登録を完了します。Follow the instructions in the app to finish registering the account for passwordless phone sign-in.

組織はユーザーに対して、パスワードを使用しないで、自分の電話でサインインするように指示することができます。An organization can direct its users to sign in with their phones, without using a password. Microsoft Authenticator アプリの構成と電話によるサインインの有効化の詳細については、「Microsoft Authenticator アプリを使用してアカウントにサインインする」を参照してください。For further assistance configuring the Microsoft Authenticator app and enabling phone sign-in, see Sign in to your accounts using the Microsoft Authenticator app.

注意

ポリシーによって電話によるサインインを使用することが許可されていないユーザーは、Microsoft Authenticator アプリ内でそれを有効にすることができなくなります。Users who aren't allowed by policy to use phone sign-in are no longer able to enable it within the Microsoft Authenticator app.

パスワードなしの資格情報でサインインするSign in with passwordless credential

ユーザーは、以下の操作がすべて完了したら、パスワードなしサインインの利用を開始できます。A user can start to utilize passwordless sign-in after all the following actions are completed:

  • 管理者がユーザーのテナントを有効にしました。An admin has enabled the user's tenant.
  • 電話によるサインインを有効にするように、ユーザーが自分の Microsoft Authenticator アプリを更新しました。The user has updated her Microsoft Authenticator app to enable phone sign-in.

ユーザーが電話によるサインイン プロセスを初めて開始するときには、ユーザーは次の手順を行います。The first time a user starts the phone sign-in process, the user performs the following steps:

  1. サインイン ページに自分の名前を入力します。Enters her name at the sign-in page.
  2. [次へ] を選択します。Selects Next.
  3. 必要に応じて、 [その他のサインイン方法] を選択します。If necessary, selects Other ways to sign in.
  4. [Microsoft Authenticator アプリで要求を承認する] を選択します。Selects Approve a request on my Microsoft Authenticator app.

すると、ユーザーに番号が表示されます。The user is then presented with a number. パスワードを入力するのではなく、適切な番号を選択することで認証を受けるようにユーザーはアプリから求められます。The app prompts the user to authenticate by selecting the appropriate number, instead of by entering a password.

ユーザーがパスワードなしの電話によるサインインを利用すると、アプリではその後も引き続きユーザーにこの方法が案内されます。After the user has utilized passwordless phone sign-in, the app continues to guide the user through this method. ただし、ユーザーには別の方法を選択するためのオプションが表示されます。However, the user will see the option to choose another method.

Microsoft Authenticator アプリを使用したブラウザーのサインインの例

既知の問題Known Issues

次の既知の問題点があります。The following known issues exist.

パスワードなしの電話によるサインインのオプションが表示されないNot seeing option for passwordless phone sign-in

あるシナリオでは、ユーザーのパスワードなしのサインインの確認が未回答で、保留中である可能性があります。In one scenario, a user can have an unanswered passwordless phone sign-in verification that is pending. しかし、ユーザーはもう一度サインインを試みることができます。Yet the user might attempt to sign in again. この場合、ユーザーにはパスワードを入力するオプションのみが表示されると考えられます。When this happens, the user might see only the option to enter a password.

このシナリオを解決するには、次の手順を使用します。To resolve this scenario, the following steps can be used:

  1. Microsoft Authenticator アプリを開きます。Open the Microsoft Authenticator app.
  2. 通知プロンプトに応答します。Respond to any notification prompts.

これで、ユーザーはパスワードなしの電話によるサインインを引き続き利用できるようになります。Then the user can continue to utilize passwordless phone sign-in.

フェデレーション アカウントFederated Accounts

ユーザーがパスワードなしの資格情報を有効にした場合、Azure AD ログイン プロセスで login_hint の使用が停止されます。When a user has enabled any passwordless credential, the Azure AD login process stops using the login_hint. そのため、このプロセスによって、ユーザーがフェデレーション ログインの場所に向かって加速されることはなくなります。Therefore the process no longer accelerates the user toward a federated login location.

このロジックにより、通常は、ハイブリッド テナント内のユーザーが、サインインの確認のための Active Directory フェデレーション サービス (AD FS) にリダイレクトされることはありません。This logic generally prevents a user in a hybrid tenant from being directed to Active Directory Federated Services (AD FS) for sign-in verification. ただし、ユーザーには [代わりにパスワードを使用する] をクリックするという選択肢が残されています。However, the user retains the option of clicking Use your password instead.

Azure MFA サーバーAzure MFA server

オンプレミスの Azure MFA server を介して、エンド ユーザーが Multi-Factor Authentication (MFA) を利用できるようにすることができます。An end user can be enabled for multi-factor authentication (MFA), through an on-premises Azure MFA server. そのユーザーは引き続き、パスワードなしの電話によるサインイン資格情報を作成して利用することができます。The user can still create and utilize a single passwordless phone sign-in credential.

ユーザーが、パスワードなしの電話によるサインイン資格情報で Microsoft Authenticator アプリの複数のインストール (5 つ以上) をアップグレードしようとすると、この変更はエラーになることがあります。If the user attempts to upgrade multiple installations (5+) of the Microsoft Authenticator app with the passwordless phone sign-in credential, this change might result in an error.

デバイス登録Device registration

この新しい強力な資格情報を作成するには、前提条件を満たす必要があります。Before you can create this new strong credential, there are prerequisites. 前提条件の 1 つとして、Microsoft Authenticator アプリがインストールされているデバイスを、Azure AD テナント内で個々のユーザーに登録する必要があります。One prerequisite is that the device on which the Microsoft Authenticator app is installed must be registered within the Azure AD tenant to an individual user.

現在、デバイスは 1 つのテナントにのみ登録できます。Currently, a device can only be registered in a single tenant. この制限は、電話によるサインインを有効にできるのは、Microsoft Authenticator アプリの職場または学校の 1 つのアカウントのみであることを意味します。This limit means that only one work or school account in the Microsoft Authenticator app can be enabled for phone sign-in.

注意

デバイスの登録は、デバイスの管理またはモバイル デバイス管理 (MDM) と同じではありません。Device registration is not the same as device management or mobile device management (MDM). デバイスの登録の場合、Azure AD ディレクトリでデバイス ID とユーザー ID の両方が関連付けられるだけです。Device registration only associates a device ID and a user ID together, in the Azure AD directory.

次のステップNext steps

Azure AD 認証とパスワードレスの方法については、次の記事を参照してください。To learn about Azure AD authentication and passwordless methods, see the following articles: