Microsoft Authenticator を使ったパスワードレスのサインインを有効にする

Microsoft Authenticator を使用すると、パスワードを使わずに Azure AD アカウントにサインインできます。 Microsoft Authenticator では、キーベースの認証を使用して、デバイスに関連付けられているユーザー資格情報を有効にします。なお、このデバイスでは PIN または生体認証が使用されます。 Windows Hello for Business でも、同様のテクノロジが使用されます。

この認証テクノロジは、モバイルを含む任意のデバイス プラットフォームで使用できます。 このテクノロジはまた、Microsoft 認証ライブラリに統合されている任意のアプリまたは Web サイトで使用することもできます。

サインインを承認するようユーザーに求めている、ブラウザーでのサインインの例を示すスクリーンショット。

Microsoft Authenticator から電話によるサインインを有効にしたユーザーには、自分のアプリで番号をタップするように求めるメッセージが表示されます。 ユーザー名またはパスワードの入力は求められません。 アプリでサインイン プロセスを完了するには、ユーザーはさらに次の操作を行う必要があります。

  1. ログイン画面に表示される番号を、Microsoft Authenticator のダイアログに入力します。
  2. [承認] を選択します。
  3. 自分の PIN または生体認証を指定します。

iOS 上の複数のアカウント (プレビュー)

サポートされている任意の iOS デバイス上の複数のアカウントに対し、パスワードなしの電話サインインを Microsoft Authenticator で有効にすることができます。 Azure AD に複数のアカウントを持つコンサルタントや学生、その他のユーザーは、Microsoft Authenticator に各アカウントを追加し、同じ iOS デバイスからパスワードなしの電話サインインを使用できます。

従来、管理者は、複数のアカウントを持つユーザーに対してパスワードレスのサインインを要求しない場合がありました。サインインの分だけ多くのデバイスをユーザーが持ち運ぶ必要があるためです。 1 台のデバイスから 1 ユーザーしかサインインできないという制限をなくすことで、パスワードレスの電話サインインを登録し、それを既定のサインイン方法として使用することを、管理者は不安を抱えずにユーザーに奨励することができます。

Azure AD アカウントの所属先は同じテナントでも異なるテナントでもかまいません。 1 台のデバイスからの複数アカウント サインインは、ゲスト アカウントではサポートされません。

注意

現在、iOS 上の複数のアカウントはパブリック プレビュー段階です。 一部の機能がサポートされなかったり、機能が制限されたりすることがあります。 詳細については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

前提条件

Microsoft Authenticator でパスワードレスの電話によるサインインを使用するには、次の前提条件を満たしている必要があります。

  • 推奨: 検証方法としてプッシュ通知が許可されている Azure AD Multi-Factor Authentication。 スマートフォンまたはタブレットへのプッシュ通知は、Authenticator アプリでアカウントへの不正アクセスを防止したり、不正なトランザクションを停止させたりするのに役立ちます。 Authenticator アプリは、プッシュ通知を行うように設定されたときに自動的にコードを生成します。これにより、デバイスが接続されていない場合でも、ユーザーはバックアップのサインイン方法を保持できます。

  • iOS 12.0 以降、または Android 6.0 以降を実行しているデバイスにインストールされている最新バージョンの Microsoft Authenticator。

  • Android の場合、Microsoft Authenticator を実行するデバイスが、個々のユーザーに対して登録されている必要があります。 Android で複数のアカウントを有効にするよう積極的に取り組んでいます。

  • iOS の場合、サインインに使用される各テナントにデバイスを登録する必要があります。 たとえば、次のデバイスは、すべてのアカウントにサインインを許可したければ、Contoso と Wingtiptoys に登録されている必要があります。

    • balas@contoso.com
    • balas@wingtiptoys.com および bsandhu@wingtiptoys
  • iOS の場合、使用状況データの収集を Microsoft に許可する Microsoft Authenticator のオプションを有効にする必要があります。 これは、既定では有効になっていません。 Microsoft Authenticator でそれを有効にするには、[設定]>[使用状況データ] に移動します。

    Microsoft Authenticator の OS の [使用状況データ] のスクリーンショット。

Azure AD でパスワードレス認証を使用するには、まず、統合された登録エクスペリエンスを有効にしてから、パスワードなしの方法に対してユーザーを有効にします。

パスワードなしの電話によるサインインの認証方法を有効にする

Azure AD では、サインイン プロセス中に使用できる認証方法を選択できます。 その後、ユーザーは使用する方法を登録します。 Microsoft Authenticator 認証方法のポリシーでは、従来のプッシュ MFA 方式と、パスワードなし認証方法の両方を管理します。

注意

Azure AD PowerShell を使用して Microsoft Authenticator のパスワードなしのサインインを有効にした場合は、それがディレクトリ全体に対して有効になっています。 この新しい方法の使用を有効にすると、それが PowerShell ポリシーよりも優先されます。 新しい "認証方法" メニューを使用して、テナント内のすべてのユーザーに対して有効にすることをお勧めします。そうしないと、新しいポリシーに含まれていないユーザーは、パスワードなしでサインインできません。

パスワードなしの電話によるサインインの認証方法を有効にするには、次の手順を実行します。

  1. 認証ポリシー管理者アカウントを使用して Azure portal にサインインします。

  2. Azure Active Directory を検索して選択し、 [セキュリティ]>[認証方法]>[ポリシー] の順に移動します。

  3. [Microsoft Authenticator] で、次のオプションを選択します。

    1. 有効にする - [はい] または [いいえ]
    2. ターゲット - [すべてのユーザー] または [ユーザーの選択]
  4. 追加された各グループまたはユーザーは既定で、パスワードレスとプッシュ通知の両方のモード ("任意" モード) で Microsoft Authenticator が使用できるようになっています。 これを変更するには、各行に対して次のことを行います。

    1. [...]>[構成] の順に移動します。
    2. 認証モード - [任意] または [パスワードレス] を選択します。 [プッシュ] を選択すると、パスワードレスの電話サインイン情報が使用できなくなります。
  5. 新しいポリシーを適用するには、 [保存] をクリックします。

    注意

    保存しようとしたときにエラーが表示される場合は、追加されているユーザーまたはグループの数が原因である可能性があります。 回避策として、追加しようとしているユーザーとグループを 1 つのグループに置き換え、同じ操作で、もう一度 [保存] をクリックします。

Microsoft Authenticator のユーザー登録と管理

Azure AD のパスワードなし認証方法にユーザーが自分自身を登録するには、次の手順を使用します。

  1. [https://www.microsoft.com](https://aka.ms/mysecurityinfo) を参照します。
  2. サインインし、次に [方法の追加]>[Authenticator アプリ]>[追加] をクリックして Microsoft Authenticator を追加します。
  3. 指示に従って、お使いのデバイスに Microsoft Authenticator アプリをインストールして構成します。
  4. [完了] を選択して、Authenticator の構成を完了します。
  5. Microsoft Authenticator で、登録したアカウントのドロップダウン メニューから [電話によるサインインを有効にする] を選択します。
  6. アプリの指示に従って、パスワードなしの電話によるサインインに対するアカウントの登録を完了します。

組織はユーザーに対して、パスワードを使用しないで、自分の電話でサインインするように指示することができます。 Microsoft Authenticator の構成と電話によるサインインの有効化について詳しくは、「Microsoft Authenticator アプリを使ったアカウントへのサインイン」を参照してください。

Note

ポリシーによって電話によるサインインを使用することが許可されていないユーザーは、Microsoft Authenticator 内でそれを有効にすることができなくなります。

パスワードなしの資格情報でサインインする

ユーザーは、以下の操作がすべて完了したら、パスワードなしサインインの利用を開始できます。

  • 管理者がユーザーのテナントを有効にしました。
  • ユーザーがサインイン方法として Microsoft Authenticator を追加しました。

ユーザーが電話によるサインイン プロセスを初めて開始するときには、ユーザーは次の手順を行います。

  1. サインイン ページに自分の名前を入力します。
  2. [次へ] を選択します。
  3. 必要に応じて、 [その他のサインイン方法] を選択します。
  4. [Approve a request on my Authenticator app] (Authenticator アプリで要求を承認する) を選択します。

すると、ユーザーに番号が表示されます。 パスワードを入力するのではなく、適切な番号を入力することで認証を受けるようにユーザーはアプリから求められます。

ユーザーがパスワードなしの電話によるサインインを利用すると、アプリではその後も引き続きユーザーにこの方法が案内されます。 ただし、ユーザーには別の方法を選択するためのオプションが表示されます。

Microsoft Authenticator アプリを使用したブラウザー サインインの例を示すスクリーンショット。

既知の問題

次の既知の問題点があります。

パスワードなしの電話によるサインインのオプションが表示されない

あるシナリオでは、ユーザーのパスワードなしのサインインの確認が未回答で、保留中である可能性があります。 しかし、ユーザーはもう一度サインインを試みることができます。 この場合、ユーザーにはパスワードを入力するオプションのみが表示されると考えられます。

このシナリオを解決するには、次の手順を行います。

  1. Microsoft Authenticator を開きます。
  2. 通知プロンプトに応答します。

これで、ユーザーはパスワードなしの電話によるサインインを引き続き利用できるようになります。

フェデレーション アカウント

ユーザーがパスワードなしの資格情報を有効にした場合、Azure AD ログイン プロセスで login_hint の使用が停止されます。 そのため、このプロセスによって、ユーザーがフェデレーション ログインの場所に向かって加速されることはなくなります。

このロジックにより、通常は、ハイブリッド テナント内のユーザーが、サインインの確認のための Active Directory フェデレーション サービス (AD FS) にリダイレクトされることはありません。 ただし、ユーザーには [代わりにパスワードを使用する] をクリックするという選択肢が残されています。

オンプレミスのユーザー

オンプレミスでエンド ユーザーが多要素認証 (MFA) を利用できるようにすることができます。 そのユーザーは引き続き、パスワードなしの電話によるサインイン資格情報を作成して利用することができます。

ユーザーが、パスワードレスの電話によるサインイン資格情報で Microsoft Authenticator の複数のインストール (5 つ以上) をアップグレードしようとすると、この変更はエラーになることがあります。

次のステップ

Azure AD 認証とパスワードレスの方法については、次の記事を参照してください。