先日、セキュリティ対策としてパスキー（※1）の設定を行ったのですが、iPhoneでパスキーを設定した後、何故かWindowsPCのPINで、Microsoftアカウントにログインできるようになったので、そのことについて少し調べました。

※1 パスキー認証とは、パスワードを使わず、スマートフォンなどのデバイスに保存された生体認証（指紋・顔）やPINコードで本人確認を行う、パスワードに代わる新しい認証方式です。管理者によってON/OFF可能です。
パスキー (FIDO2) を使用してサインインする

 

私のWindows PC端末は、Microsoft Entra IDに登録されており、Microsoftアカウントでのサインイン履歴が確認できる状態でした（※2）。
※2 mysignins.microsoft.comに接続デバイスとして表示されている状態

この状態で、iPhoneにパスキーを設定したことで、Microsoftアカウントに対するFIDO2認証が有効化され、Windows HelloのPIN認証器がFIDO2認証器として認識され、ログインに利用可能な状態になったと考えられます。
つまり、私のWindowsPCがFIDO2認証器としてMicrosoft Entra IDにもともと登録されていた為に、iPhoneでパスキーを設定したことで、Windows側のPIN認証器が“使える状態”になったと考えられます。

 

 

現在の私の状況は、

Windows PCだけで（パスキーを登録したiPhoneが無くても）MSアカウントにログインできる、

という状況です。新しいPCやデバイスなどでMSアカウントに接続する場合は、iPhoneが必須となります。
今まで2つのデバイスが必要だったのに、1つ（PC）だけで認証できるのはセキュリティ的に問題ないのか、と思うかもしれませんが、パスキーは1つの操作で多要素認証と同等の強度を実現しているというのがFIDO2の設計思想です。

 

iPhoneでパスキーを設定したのに、何故WindowsPCのPINで認証できるようになったのか、ということが不思議でしたので、調べたことを記載しておきました。