この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

「パスワードなし」で認証を行うという話を聞いたことがありますでしょうか。
これはもちろんパスワード自体の存在がなくなるわけではなく、認証プロセスにおいてパスワードの入力以外の方法で認証を行うということです。

公式なドキュメントにはパスワードが削除されるという表現もされているので、なんらかの方法でそういうことが出来るようになるのかもしれませんが、未確認です。

公式なドキュメントはこちらを参照ください。
https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/concept-authentication-passwordless

現在このページで紹介されているパスワードなしの認証には2つの方法があります。

Microsoft Authenticator アプリ

このアプリは iOS や Android 向けのアプリとなっており、これらの OS のスマホがあれば特別なデバイスを用意することなく、各アプリストアからダウンロードおよびインストールし、利用することが可能となります。
このアプリの機能としては多要素認証（MFA）でも利用することができたり、パスワードなしアプリとしても利用可能となっています。設定としてはどちらかを選択する形になります。

パスワードなしでこのアプリを利用する前提として、テナントに対してこのアプリのMFAが有効になっている必要があります。
テナントの設定についてはこちらを参照ください。
https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/howto-mfa-getstarted

その上でAzureADの認証方法ポリシーの設定を行うことで利用可能となります。
設定手順はこちらとなります。
https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/howto-authentication-passwordless-phone

簡単に説明すると、Azure AD 側でこのアプリによるパスワードなし認証を許可した上で、このアプリ上の設定で「電話によるサインインを無効にする」ことによってパスワードなしの認証が利用可能となります。

設定時の注意事項

この設定を行うにあたっては Azure AD にデバイスの登録が必要となるのでご注意ください。
また、１つの端末で設定可能なアカウントは１つのみとなります。1デバイスで複数のアカウントを利用している場合もパスワードなしで行えるのは１つのみとなるのでご注意ください。

FIDO2 セキュリティ キー

もう一つの方法が物理的なキーとして、FIDO2 に対応したセキュリティ キーを利用した方法です。
はじめに紹介した公式ドキュメントの中にプロバイダーとしていくつかの製品ベンダーのリンクがあるのでご確認ください。
検証ではYubiKey 5で動作確認しました。

この認証はまだパブリックプレビューで比較的実装も新しいためいくつか制約事項もあります。
https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Announcing-the-public-preview-of-Azure-AD-support-for-FIDO2/ba-p/746362

キーの登録はAzure ADのマイ プロファイルで行います。
注意事項として、キーの登録には EdgeかFirefox のブラウザのみ対応しています。

認証の手順はこのようになります。

1. ログイン画面で「サインイン オプション」をクリック
2. 「セキュリティ キーでサインイン」をクリック
3. キーを挿し込む（はじめから挿しておいてもOK）
4. PINコードを入力
5. キーに埋め込まれているユーザーを選択

利用においても Edge か Firefox のみしか対応していませんでしたが、最近 Chrome でも認証することが出来るようになっていることが確認できました。

まとめ

パスワードなし認証は、認証が楽になることもありますが、デバイスの保護も求められます。
また、セキュリティ キーの認証ではPINの入力などが必要となるため、手間としては大きく減るわけではないです。準備や認証の容易さをもとめるならアプリによる認証がいいかもしれません。