朝から昼寝

ITや家計、身近なことの整理

[お知らせ]
当サイトは、2024年1月1日に
新URL(happynap.net)に引っ越しました





このページの内容は、最新ではない場合がありますので、新URLをご確認ください。






当サイトには広告を含みます。"オススメ"として紹介している商品やサービスは、個人的にそう思えたものだけです。
共感、興味をもっていただけるものがあればご利用ください (広告掲載ポリシー)。

Azure ADとMicrosoftアカウントのパスワードレス認証

セキュリティ ユーザ認証、認可 [IT]

年末年始のAmazon

happy-nap.hatenablog.com

↑ 人気

概要

Azure ADとMicrosoftアカウントは異なるサービスなので、サポートする認証機能も違います。

本記事では、Azure ADとMicrosoftアカウントにおけるパスワードレス認証関連の違いをまとめておきます。

出典:パスワードレス認証 | Microsoft Security

パスワードレス認証

Azure ADとMicrosoftアカウントのどちらも、基本的には同じパスワードレス認証方法をサポートしますが、違いもあります。

Azure ADでのパスワードレス認証

※テナントの管理者が認証方法を設定できるので、環境により使える認証方法は異なります。

Microsoft Security のページに、Azure ADにおけるパスワードレス認証の方法が3つ挙げられています。

出典:パスワードレス認証 | Microsoft Security

learn.microsoft.com のページでは、他にもパスワードレス認証の方法が書かれています。

  • Authenticator Lite (後述)
    iOS または AndroidバイスOutlook アプリ内の機能

  • 証明書ベースの認証 (後述)
    クライアント証明書

出典:Azure Active Directory で使用できる認証方法と検証方法

Microsoft Public Affiliate Program (JP)(マイクロソフトアフィリエイトプログラム)

Authenticator Lite は新機能

米国の2023年5月26日に、Outlookに組み込まれたAuthenticator的な機能である Authenticator Lite がGAリリースされたようです。

iOS または AndroidバイスOutlook アプリの一部として、Authenticator的な機能を使うことができます。

出典:Announcing General Availability of Authenticator Lite (in Outlook)

4月にパブリックプレビューとなっていた機能が正式化されたということです。

証明書ベースの認証も新機能

上記の表ではプレビューでしたが、Certificate-Based Authentication (CBA) の方も米国の2023年5月4日にGAとなっていますね。

Azure AD Certificate-Based Authentication (CBA) on Mobile now Generally Available!

We support both on-device certificates and external hardware security keys, like YubiKeys over USB or NFC on iOS and Android devices.

出典:Azure AD Certificate-Based Authentication (CBA) on Mobile now Generally Available!

(補足) Azure ADのパスワードレス認証には、認証方法ポリシーの設定が必要

補足として、Azure ADでパスワードレス認証を使用するためには、認証方法ポリシーの設定が必要です。

認証方法ポリシーは、パスワードレス認証のような最新の方法を含む、認証方法を管理するための推奨方法です。
 
出典:Azure AD の認証方法を管理する


認証方法ポリシーには、FIDO2 セキュリティ キー、一時アクセス パス、Azure AD 証明書ベースの認証など、レガシ ポリシーで使用できないその他の方法があります。
 
出典:MFA と SSPR のポリシー設定を Azure AD の認証方法ポリシーに移行する方法

Microsoftアカウントでのパスワードレス認証

Microsoftアカウントの場合は、以下3つのパスワードレス認証方法があります。

Azure ADと異なり、Authenticator Liteや証明書ベースの認証はありませんが、それ以外は基本的に同じです。

セキュリティキーがFIDO2のことを指している明確な記載が見当たりませんが、FIDO2対応セキュリティキーということで良いと思います (参考:Windows Hello またはセキュリティ キーで Microsoft アカウントにサインインする)。

具体的な設定等については、以下の記事にまとめてあります。

happy-nap.hatenablog.com

Authenticator アプリを使用した方法は少し操作手順が違う

MicrosoftアカウントでAuthenticatorアプリを使用したパスワードレス認証を行う場合、サインイン画面に表示された番号と同じものを、Authenticatorアプリ上に表示される3つの選択肢の中から選ぶ操作です。

Azure ADの場合の "数値の一致" は、上記のような選択でなく、2桁の数値を手入力するので、少し異なります。

happy-nap.hatenablog.com

パスワードレスアカウント (パスワード削除)

Azure ADでのパスワードレスアカウント

Azure ADではユーザアカウントのパスワード削除には未対応のようです。どこかに最新情報があるか探しましたが見当たりませんでした。

開発は進めていると思うのですが。

Azure AD アカウントのパスワードをなくすための開発も間もなく開始します。
 
出典:Microsoft アカウントにおけるパスワード削除機能のご紹介

ただ、規模の大きな企業やその他組織内で完全なパスワードレス認証化にたどり着くまでは、環境整備やITリテラシー教育等、相当な労力が要りそうです。

Microsoftアカウントでのパスワードレスアカウント

Microsoftアカウントでは、パスワードレスアカウント設定が可能です。

以下の記事にまとめてあります。

happy-nap.hatenablog.com

参考

パスキー対応

機会があれば、パスキー対応についても別記事にまとめてみたいと思います。

現在、Windows Hello を利用することでパスキーをサポートするサイトにサインインが可能です。近い将来、AppleGoogle のデバイス上からパスキーを使用して Microsoft アカウントにサインインできるようになります。
 
出典:FIDO 標準の拡張と Microsoft のパスワードレス ソリューションへの新たなアップデート

試していたところ、サインイン時のUI的には、既にiOSのパスキーでMicrosoftアカウントにサインインできているっぽいのですが(以下の記事の後半)。

happy-nap.hatenablog.com

まとめ

本記事では、Azure ADとMicrosoftアカウントにおけるパスワードレス認証関連の違いをまとめてみました。

余談ですが、基本的にMicrosoftのサービスの仕様は、用語やそれらの相関関係が分かりづらいです。

happy-nap.hatenablog.com

happy-nap.hatenablog.com

happy-nap.hatenablog.com