Microsoft では、Windows Hello、パスキー (FIDO2)、Microsoft Authenticator アプリといった、非常に安全なサインイン イベントを提供できるパスワードレスの認証方法を推奨しています。 ユーザーはユーザー名やパスワードなど、他の一般的な方法を使用してサインインすることもできますが、パスワードはより安全な認証方法に置き換えるべきです。
Microsoft Entra 多要素認証 (MFA) を使用すると、ユーザーのサインイン時にパスワードのみを使用する方法に、もう 1 段セキュリティ レイヤーを追加できます。 ユーザーに対して、プッシュ通知に応答する、ソフトウェアまたはハードウェア トークンのコードを入力する、またはテキスト メッセージや電話に応答するなど、その他の形式での認証を要求することができます。
ユーザーのオンボード エクスペリエンスを単純化し、MFA とセルフサービス パスワード リセット (SSPR) の両方に登録するには、統合されたセキュリティ情報の登録を有効にすることをお勧めします。 回復性を確保するために、ユーザーに複数の認証方法の登録を求めることをお勧めします。 サインインや SSPR の間にユーザーがある方法を使用できない場合、そのユーザーは別の方法で認証することを選択できます。 詳細については、Microsoft Entra ID で回復性があるアクセス制御管理戦略を作成する方法に関するページを参照してください。
各認証方法のしくみ
認証方法の中には、FIDO2 セキュリティ キーやパスワードの利用といった、アプリケーションやデバイスにサインインする際にプライマリ要素として利用できるものがあります。 他の認証方法は、Microsoft Entra 多要素認証または SSPR を使用する場合のセカンダリ要素としてのみ使用できます。
次の表は、サインイン イベント時に各認証方法がどのタイミングで使用できるかの概要を示しています。
| メソッド | プライマリ認証 | セカンダリ認証 |
|---|---|---|
| Windows Hello for Business | あり | MFA1 |
| Microsoft Authenticator プッシュ | いいえ | MFA と SSPR |
| Microsoft Authenticator パスワードレス | あり | いいえ2 |
| Microsoft Authenticator パスキー | あり | MFA |
| Authenticator Lite | いいえ | MFA |
| パスキー (FIDO2) | あり | MFA |
| 証明書ベースの認証 (CBA) | あり | MFA |
| ハードウェア OATH トークン (プレビュー) | いいえ | MFA と SSPR |
| ソフトウェア OATH トークン | いいえ | MFA と SSPR |
| 外部認証方法 (プレビュー) | いいえ | MFA |
| 一時アクセス パス (TAP) | あり | MFA |
| テキスト | あり | MFA と SSPR |
| 音声通話 | いいえ | MFA と SSPR |
| QRコード | あり | いいえ |
| パスワード | あり | いいえ |
1Windows Hello for Business は、FIDO2 認証で使用されている場合、ステップアップ MFA 資格情報として機能できます。 ユーザーはパスキー (FIDO2) に登録する必要があります。
2パスワードレス サインインは、プライマリ認証 にCBA を使用する場合にのみ、セカンダリ認証に使用できます。
3代替電話方式は MFA にのみ使用できます。
これらの認証方法は、すべて Microsoft Entra 管理センターで構成できます。また、Microsoft Graph REST API を使用して構成することが増えています。
各認証方法のしくみの詳細については、次の概念に関する個別の記事を参照してください。
パスワード
Note
パスワードは、Microsoft Entra ID で多くの場合にプライマリとして使用される認証方法の 1 つです。 パスワード認証方法を無効にすることはできません。 プライマリ認証要素としてパスワードを使用する場合は、Microsoft Entra 多要素認証を使用してサインイン イベントのセキュリティを強化します。
特定のシナリオでは、これら他の認証方法を使用できます。
- アプリ パスワード - 先進認証をサポートしておらず、ユーザーごとの Microsoft Entra 多要素認証用に構成できる古いアプリケーションに使用されます。
- セキュリティの質問 - SSPR でのみ使用されます
- メールアドレス - SSPR にのみ使用されます
使用可能な方法と使用できない方法
管理者は、Microsoft Entra 管理センターでユーザー認証方法を表示できます。 使用可能な方法が先に一覧表示され、その後に使用できない方法が表示されます。
各認証方法は、さまざまな理由で使用できなくなる可能性があります。 たとえば、一時アクセス パスの有効期限が切れる場合や、FIDO2 セキュリティ キーが構成証明に失敗する場合があります。 ポータルが更新され、その方法が使用できない理由が示されます。
[多要素認証の再登録を要求する] のために使用できなくなった認証方法もここに表示されます。
関連するコンテンツ
最初に、セルフサービス パスワード リセット (SSPR) のチュートリアルと Azure Microsoft Entra 多要素認証 に関するページを参照してください。
SSPR の概念の詳細については、Microsoft Entra のセルフサービス パスワード リセットのしくみに関するページを参照してください。
MFA の概念の詳細については、Microsoft Entra 多要素認証のしくみに関するページを参照してください。
Microsoft Graph REST API を使用した認証方法の構成の詳細を確認してください。
使用されている認証方法を確認するには、PowerShell を使用した Microsoft Entra 多要素認証方法の分析に関する記事を参照してください。