パスワードなしのセキュリティ キー サインインを有効にするEnable passwordless security key sign-in

現在パスワードを使用していて、共有 PC 環境がある企業では、セキュリティ キーにより、ユーザー名やパスワードを入力しないで認証を行うシームレスな方法が、ワーカーに提供されます。For enterprises that use passwords today and have a shared PC environment, security keys provide a seamless way for workers to authenticate without entering a username or password. セキュリティ キーを使うと、ワーカーの生産性が向上し、セキュリティが強化されます。Security keys provide improved productivity for workers, and have better security.

このドキュメントでは、セキュリティ キーに基づくパスワードレス認証を有効にする方法について説明します。This document focuses on enabling security key based passwordless authentication. この記事を最後まで読むと、FIDO2 セキュリティ キーを使用して、お使いの Azure AD アカウントで Web ベースのアプリケーションにサインインできるようになります。At the end of this article, you will be able to sign in to web-based applications with your Azure AD account using a FIDO2 security key.

必要条件Requirements

Web アプリやサービスへのログインにセキュリティ キーを使用するには、WebAuthN プロトコルをサポートするブラウザーが必要です。To use security keys for logging in to web apps and services, you must have a browser that supports the WebAuthN protocol. これには、Microsoft Edge、Chrome、Firefox、Safari などが含まれます。These include Microsoft Edge, Chrome, Firefox, and Safari.

デバイスを準備するPrepare devices

Azure AD 参加済みデバイスでは、Windows 10 バージョン 1903 以降を使用することをお勧めします。For Azure AD joined devices the best experience is on Windows 10 version 1903 or higher.

Hybrid Azure AD 参加済みデバイスでは、Windows 10 バージョン 2004 以降が実行されている必要があります。Hybrid Azure AD joined devices must run Windows 10 version 2004 or higher.

パスワードなしの認証方法を有効にするEnable passwordless authentication method

統合された登録エクスペリエンスを有効にするEnable the combined registration experience

パスワードなしの認証方法の登録機能は、統合された登録機能に依存しています。Registration features for passwordless authentication methods rely on the combined registration feature. 統合されたセキュリティ情報の登録の有効化に関する記事に記載されている手順に従って、統合された登録を有効にします。Follow the steps in the article Enable combined security information registration, to enable combined registration.

FIDO2 セキュリティ キーの方法を有効にするEnable FIDO2 security key method

  1. Azure portal にサインインします。Sign in to the Azure portal.
  2. [Azure Active Directory] > [セキュリティ] > [認証方法] > [認証方法ポリシー] の順に移動します。Browse to Azure Active Directory > Security > Authentication methods > Authentication method policy.
  3. 方法 [FIDO2 セキュリティ キー] で、次のオプションを選択します。Under the method FIDO2 Security Key, choose the following options:
    1. 有効にする - [はい] または [いいえ]Enable - Yes or No
    2. ターゲット - [すべてのユーザー] または [ユーザーの選択]Target - All users or Select users
  4. 構成を 保存 します。Save the configuration.

FIDO2 セキュリティ キーのユーザー登録と管理User registration and management of FIDO2 security keys

  1. https://myprofile.microsoft.com を参照します。Browse to https://myprofile.microsoft.com.
  2. まだしていない場合はサインインします。Sign in if not already.
  3. [セキュリティ情報] をクリックします。Click Security Info.
    1. ユーザーが既に 1 つ以上の Azure AD Multi-Factor Authentication 方法を登録している場合は、FIDO2 セキュリティ キーをすぐに登録することができます。If the user already has at least one Azure AD Multi-Factor Authentication method registered, they can immediately register a FIDO2 security key.
    2. 少なくとも 1 つの Azure AD Multi-Factor Authentication 方法を登録していない場合は、いずれかを追加する必要があります。If they don't have at least one Azure AD Multi-Factor Authentication method registered, they must add one.
  4. [方法の追加] をクリックし、 [セキュリティ キー] を選択して、FIDO2 セキュリティ キーを追加します。Add a FIDO2 Security key by clicking Add method and choosing Security key.
  5. [USB デバイス] または [NFC デバイス] を選択します。Choose USB device or NFC device.
  6. キーを準備し、 [次へ] を選択します。Have your key ready and choose Next.
  7. ボックスが表示され、ユーザーは、セキュリティ キーの PIN を作成/入力してから、生体認証または指紋認証でキーに必要なジェスチャを実行するよう求められます。A box will appear and ask the user to create/enter a PIN for your security key, then perform the required gesture for the key, either biometric or touch.
  8. ユーザーは、結合された登録エクスペリエンスに戻り、キーが複数ある場合にキーを見分けられるよう、わかりやすい名前を指定することを求められます。The user will be returned to the combined registration experience and asked to provide a meaningful name for the key so the user can identify which one if they have multiple. [次へ] をクリックします。Click Next.
  9. [完了] をクリックしてプロセスを完了します。Click Done to complete the process.

パスワードなしの資格情報でサインインするSign in with passwordless credential

以下の例では、ユーザーは既に自分の FIDO2 セキュリティ キーをプロビジョニングしています。In the example below a user has already provisioned their FIDO2 security key. ユーザーは、Windows 10 バージョン 1903 以降のサポートされているブラウザーで FIDO2 セキュリティ キーを使用して、Web 上でサインインすることを選択できます。The user can choose to sign in on the web with their FIDO2 security key inside of a supported browser on Windows 10 version 1903 or higher.

Microsoft Edge でのセキュリティ キーによるサインイン

トラブルシューティングとフィードバックTroubleshooting and feedback

この機能についてフィードバックを共有したい場合、または問題が発生した場合は、次の手順を使用して Windows フィードバック Hub アプリ経由で共有してください。If you'd like to share feedback or encounter issues with this feature, share via the Windows Feedback Hub app using the following steps:

  1. フィードバック ハブ を起動し、サインインしていることを確認します。Launch Feedback Hub and make sure you're signed in.
  2. 次の分類でフィードバックを送信します。Submit feedback under the following categorization:
    • カテゴリ:セキュリティとプライバシーCategory: Security and Privacy
    • サブカテゴリ: FIDOSubcategory: FIDO
  3. ログをキャプチャするには、 [Recreate my Problem](問題の再現) オプションを使用します。To capture logs, use the option to Recreate my Problem.

既知の問題Known issues

セキュリティ キーのプロビジョニングSecurity key provisioning

管理者がセキュリティ キーをプロビジョニングし、それをプロビジョニング解除することはできません。Administrator provisioning and de-provisioning of security keys is not available.

Hybrid Azure AD 参加済みデバイスへのキャッシュされたログオンCached logon on Hybrid Azure AD joined devices

FIDO2 キーを使用したキャッシュされたログオンは、Windows 10 バージョン 20H2 のハイブリッド Azure AD 参加済みデバイスで失敗します。Cached logon with FIDO2 keys fails on hybrid Azure AD joined devices on Windows 10, version 20H2. その結果、オンプレミスのドメイン コントローラーへの通信経路が利用できない場合、ユーザーはログインできなくなります。As a result, users will not be able to login when line of sight to the on-premises domain controller is unavailable. これは、現在、調査中です。This is currently under investigation.

UPN の変更UPN changes

Microsoft では、Hybrid Azure AD 参加済みデバイスと Azure AD 参加済みデバイスに対する、UPN の変更を可能にする機能のサポートに取り組んでいます。We are working on supporting a feature that allows UPN change on hybrid Azure AD joined and Azure AD joined devices. ユーザーの UPN が変更されると、その変更に対応するために FIDO2 セキュリティ キーを変更することはできなくなります。If a user's UPN changes, you can no longer modify FIDO2 security keys to account for the change. 解決策は、デバイスをリセットすることです。その場合、ユーザーを再登録する必要があります。The resolution is to reset the device and the user has to re-register.

次のステップNext steps

FIDO2 セキュリティ キーでの Windows 10 のサインインFIDO2 security key Windows 10 sign in

オンプレミスのリソースに対する FIDO2 認証を有効にするEnable FIDO2 authentication to on-premises resources

デバイス登録の詳細Learn more about device registration

Azure AD Multi-factor Authentication の詳細Learn more about Azure AD Multi-Factor Authentication