Azure AD 認証をパスワードなしで行う

「パスワードなし」で認証を行うという話を聞いたことがありますでしょうか。
これはもちろんパスワード自体の存在がなくなるわけではなく、認証プロセスにおいてパスワードの入力以外の方法で認証を行うということです。

公式なドキュメントにはパスワードが削除されるという表現もされているので、なんらかの方法でそういうことが出来るようになるのかもしれませんが、未確認です。

公式なドキュメントはこちらを参照ください。
https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/concept-authentication-passwordless

現在このページで紹介されているパスワードなしの認証には2つの方法があります。

Microsoft Authenticator アプリ

このアプリは iOS や Android 向けのアプリとなっており、各アプリストアからダウンロードおよびインストール可能です。
このアプリは多要素認証(MFA)でも利用することができ、パスワードなしアプリとしても利用可能となります。

パスワードなしでこのアプリを利用する前提として、テナントに対してこのアプリのMFAが有効になっている必要があります。
テナントの設定についてはこちらを参照ください。
https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/howto-mfa-getstarted

その上でAzureADの認証方法ポリシーの設定を行うことで利用可能となります。(手順割愛)

FIDO2 セキュリティ キー

もう一つの方法が物理的なキーとして、FIDO2 に対応したセキュリティ キーを利用した方法です。
はじめに紹介した公式ドキュメントの中にプロバイダーとしていくつかの製品ベンダーのリンクがあるのでご確認ください。
検証ではYubiKey 5で動作確認しました。

この認証はまだパブリックプレビューで比較的実装も新しいためいくつか制約事項もあります。
https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Announcing-the-public-preview-of-Azure-AD-support-for-FIDO2/ba-p/746362

キーの登録はAzure ADのマイ プロファイルで行います。
注意事項として、キーの登録には EdgeかFirefox のブラウザのみ対応しています。

認証の手順はこのようになります。

  1. ログイン画面で「サインイン オプション」をクリック
  2. 「セキュリティ キーでサインイン」をクリック
  3. キーを挿し込む(はじめから挿しておいてもOK)
  4. PINコードを入力
  5. キーに埋め込まれているユーザーを選択

利用においても Edge か Firefox のみしか対応していませんでしたが、最近 Chrome でも認証することが出来るようになっていることが確認できました。

まとめ

パスワードなし認証は、認証が楽になることもありますが、デバイスの保護も求められます。
また、セキュリティ キーの認証ではPINの入力などが必要となるため、手間としては大きく減るわけではないです。準備や認証の容易さをもとめるならアプリによる認証がいいかもしれません。

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、弊社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。