概要

個人用のMicrosoftアカウントで、パスワードレスアカウント設定 (＝パスワード削除) をしてみました。

対象は、Microsoftアカウントです。Azure AD上のユーザアカウントではありません。

• 概要
• パスワードレスアカウント設定とは
  • パスワードレス認証とパスワードレスアカウント設定の違い
    • パスワードレス認証
    • パスワードレスアカウント
• パスワードレスアカウント設定してみる
  • パスワードレス認証してみる
• パスワードレスアカウントでもパスワードレス認証ができない例外
• パスワードレスアカウント設定を有効にするなら2段階認証はオフ
  • SMSや電子メールのコードは通常のパスワードレス認証手段ではない
• パスワードレスアカウント設定をするなら複数の認証デバイスの登録を
• セキュリティキー登録したデバイスはパスキーとしても使用可っぽい
• まとめ
• 参考

パスワードレスアカウント設定とは

Microsoftアカウントでは、パスワードレスアカウント設定を行うことができます。

「パスワードレス化」とはどういう意味ですか?
　
パスワードレス化とは、パスワードを削除し、パスワードなしの方法を使用してサインインすることを意味します。
　
Windows Hello、Microsoft Authenticator アプリ、SMS または電子メール コード、物理セキュリティ キーなどのパスワードレス ソリューションは、より安全で便利なサインイン方法を提供します。
　
While passwords can be guessed, stolen, or phished, only you can provide fingerprint authentication, or provide the right response on your mobile at the right time.
　
出典：Microsoft アカウントでパスワードを使用しない方法　※英文箇所のみ英語ページより引用(日本語ページの内容が不明瞭だったため差し替え)

上記のとおり、パスワードレスアカウント設定を有効化すると、そのMicrosoftアカウントからパスワード情報が削除されます。

それまで使用していたパスワードを使って認証することはできなくなります。

つまり、このMicrosoftアカウントは、 "パスワードレス認証しかできない" という状態になります (一部の例外については後述)。

パスワードレス認証とパスワードレスアカウント設定の違い

ちょっと紛らわしい表現なので、Microsoftアカウントにおける "パスワードレス認証" と "パスワードレスアカウント設定" の違いについて記載しておきます。

パスワードレス認証

Microsoftアカウントにサインインする際、パスワードを使わずにサインインすることです。

あらかじめ登録したMicrosoft Authenticator アプリ (以下、Authenticatorアプリ) やセキュリティキー等により、パスワードレス認証をすることができます。

なお、後述のパスワードレスアカウント設定が無効の場合は、サインイン方法の選択肢として、パスワードレス認証でなく、2段階認証 ( パスワード認証 ＋ コードのSMS送信等 )や、パスワード認証 (2段階認証も無効の場合) を行うことも可能です。

パスワードレスアカウント

パスワード情報を保持していないMicrosoftアカウントです。

パスワードレスアカウントは、"パスワードレス認証しかできない" という状態です (一部の例外については後述)。

パスワードレスアカウント設定を有効化すると、そのMicrosoftアカウントのパスワード情報は削除されます。

前述のとおり、パスワードレスアカウントでなくても、パスワードレス認証自体は可能です。

パスワードレスアカウント設定してみる

2023年6月時点で試したときの手順です。

1. Microsoftアカウントの管理画面にて、追加のセキュリティオプションのページを開きます。

2. "追加のセキュリティ" にある "パスワードレス アカウント" の "有効にする" を選択します。
   

3. 画面の指示に従い、Authenticator アプリで承認します。アプリを未登録の場合、登録するよう指示されます。
   

4. Microsoftアカウントの管理画面で、"パスワードレス アカウント" が "オン" になっていれば、パスワードレスアカウント設定は完了です。
   

ちなみに、Authenticatorアプリ上で、該当のアカウントをタップすると、"このデバイスを使用して、パスワードなしでこのアカウントにサインインできます" と表示されます。

パスワードレス認証してみる

パスワードレスアカウントの設定を終えると、以降は、パスワードレス認証でのみサインイン方法できます。

Authenticatorアプリを使用した場合は、サインイン画面に表示された番号と同じものを、Authenticatorアプリ上に表示される3つの選択肢の中から選ぶ操作です。

※一度サインイン済みのブラウザ (おそらくCookieが保存されたブラウザ) での次回以降のサインイン時には、番号の選択は求められず、承認のみになるようです。
※Azure ADの場合 ("数値の一致") と少し操作方法が異なります。

happy-nap.hatenablog.com

他にも、Windows Helloやセキュリティキーを用いたパスワードレス認証方法があります。

パスワードレスアカウントでもパスワードレス認証ができない例外

古いアプリやデバイスは、パスワードレス認証に対応していません。パスワードによる認証 (2段階認証が有効な場合にはアプリパスワードによる認証) が必要となります。

そもそもサポート終了済みのものは使用しない方が良いので、細かい説明は省略します。

パスワードなしのアカウントは、すべてのアプリとサービスで機能しますか?
　
いいえ。 一部の古いバージョンの Windows、アプリ、サービスでは、引き続きパスワードが必要です。 次のいずれかを使用する場合は、引き続きパスワードを使用してください:
　
Xbox 360
Office 2010 以前
Office for Mac 2011 以前
IMAP および POP メール サービスを使用する製品とサービス
Windows 8.1、Windows 7 以前
リモート デスクトップや資格情報マネージャーなどの一部の Windows 機能
一部のコマンド ラインおよびタスク スケジューラ サービス。
出典：Microsoft アカウントでパスワードを使用しない方法

引き続きアプリ パスワードが必要ですか?
　
はい。 2 段階認証を有効にしてパスワードレスにする場合、一部のアプリまたは古いデバイス (Outlook 2010、Xbox 360、セキュリティ カメラなどのメール送信デバイスを含む) にはそれぞれアプリのパスワードが必要になります。 アプリ パスワードについてはこちらをご覧ください。
　
出典：Microsoft アカウントでパスワードを使用しない方法

パスワードレスアカウント設定を有効にするなら2段階認証はオフ

上記のような例外はあるものの、例外に該当するアプリや機器を使用していなければ、パスワードレスアカウント設定を有効にする際には、合わせて2段階認証はオフにした方が良いかと思います。

ただし、複数のパスワードレス認証手段を用意しておくことをおすすめします。

SMSや電子メールのコードは通常のパスワードレス認証手段ではない

2023年6月時点で試してみたところ、SMS (電話番号) や電子メールに対してコードを送信する方法は、通常のパスワードレス認証の方法として使用するものではないようです。

例えば、Authenticatorアプリを使用できない場合に、SMSへのコード送信は可能ですが、(パスワードレスアカウントの場合) パスワード設定を求められます。パスワード設定すると、サインインが成功します。ただ、当然パスワードレスアカウントではなくなります。

以降のサインインは、(2段階認証がオフの場合) パスワードのみでサインインが可能となります。

サインイン後、認証方法の変更等、セキュリティ設定画面を開く際には、追加の認証が必要ですが、Authenticatorアプリでの承認以外に、SMSへのコード送信による認証可能です。

Microsoftの説明では、"SMS コード" はパスワードレス認証の方法として使用できそうな記載もあるのですが、おそらく不可です。

上記より、SMSや電子メールのコードは、あくまでアカウント復旧用の手段という位置づけになるかと思います。
ただ、登録したSMSや電子メールを乗っ取られている場合には、Microsoftアカウントに不正アクセスできることになるので、そのようなリスクを避けたい場合には、SMSや電子メールでのコード確認という認証方法は削除しておいた方が良いでしょう。

電子メールでのコード送信も確認しようと思いましたが、なぜかメールが届かなかったので試せませんでした。

パスワードレスアカウント設定をするなら複数の認証デバイスの登録を

せっかくのパスワードレスアカウントも、"スマホを紛失したら何もできない" といった設定では大変です。

パスワードレス認証手段は複数確保しておくべきなので、以下のような構成をおすすめします。

• 1つ目：スマホのAuthenticatorアプリ
• 2つ目：PCのWindows Hello

2つ目は、あらかじめ登録済みのPCでのみ認証可能なので注意が必要です。

• オプション：セキュリティキー

Windows Hello登録するPCを常時携帯しない、あるいはそのPC以外のデバイスで頻繁にサインインする場合には、スマホ紛失時に備えてセキュリティキーを登録しておくことをおすすめします。登録するセキュリティキーは1つでも良いですが、きちんと備えるなら2つ登録し、1つを携帯、もう1つは安全な場所に保管する使い方をおすすめします。

FIDO2対応のセキュリティキーであればMicrosoftアカウントのパスワードレス認証にも対応可能ですが、安価な理由がよく分からないものは避けた方が良いでしょう。

セキュリティキーの例は以下です。
青い方はPIN入力でロック解除するタイプ、黒い方はPINに加えて指紋認証によるロック解除するタイプです。

セキュリティキー登録したデバイスはパスキーとしても使用可っぽい

試していたところ、セキュリティキーとして登録したスマホ(iPhone)をパスキーとして使用することができました。
(Chromeにて、サインイン時のセキュリティキー挿入画面でキャンセル → "パスキーを使用する" 画面で "スマートフォンまたはタブレットを使用する" を選択)

Microsoftアカウントが正式にパスキー対応したというアナウンスは見当たりませんでしたが、動作的にはセキュリティキーとして登録したスマホにより、"パスキー" という単語と共にパスワードレス認証が可能です。Chromium系ブラウザのUI仕様のせいかもしれませんが、詳細は未確認です。Firefoxでは不可です。

最近のスマホはFIDO2対応のセキュリティキーとして使えるので(要BlueTooth接続)、Microsoftアカウントのパスキー正式対応ではなくとも、結果的に動作しているように思います。

なお、この方法を使ったとしても、スマホ紛失時に困るという点では同じなので、複数のパスワードレス認証手段を登録しておくことをおすすめします。

まとめ

本記事では、Microsoftアカウントにおけるパスワードレスアカウント設定についてまとめてみました。

もちろん今後、普及すると思うのですが、すべてのユーザに対して、よりハードルの高いセキュリティリテラシー習得を求めるような構造になる気もしています。

参考

• Microsoft アカウントにおけるパスワード削除機能のご紹介

• FIDO 標準の拡張と Microsoft のパスワードレス ソリューションへの新たなアップデート
  "近い将来、Apple や Google のデバイス上からパスキーを使用して Microsoft アカウントにサインインできるようになります。"

happy-nap.hatenablog.com

happy-nap.hatenablog.com