Azure AD 認証をパスワードなしで行う

「パスワードなし」で認証を行うという話を聞いたことがありますでしょうか。
これはもちろんパスワード自体の存在がなくなるわけではなく、認証プロセスにおいてパスワードの入力以外の方法で認証を行うということです。

公式なドキュメントにはパスワードが削除されるという表現もされているので、なんらかの方法でそういうことが出来るようになるのかもしれませんが、未確認です。

公式なドキュメントはこちらを参照ください。
https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/concept-authentication-passwordless

現在このページで紹介されているパスワードなしの認証には2つの方法があります。

Microsoft Authenticator アプリ

このアプリは iOS や Android 向けのアプリとなっており、これらの OS のスマホがあれば特別なデバイスを用意することなく、各アプリストアからダウンロードおよびインストールし、利用することが可能となります。
このアプリの機能としては多要素認証(MFA)でも利用することができたり、パスワードなしアプリとしても利用可能となっています。設定としてはどちらかを選択する形になります。

パスワードなしでこのアプリを利用する前提として、テナントに対してこのアプリのMFAが有効になっている必要があります。
テナントの設定についてはこちらを参照ください。
https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/howto-mfa-getstarted

その上でAzureADの認証方法ポリシーの設定を行うことで利用可能となります。
設定手順はこちらとなります。
https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/howto-authentication-passwordless-phone

簡単に説明すると、Azure AD 側でこのアプリによるパスワードなし認証を許可した上で、このアプリ上の設定で「電話によるサインインを無効にする」ことによってパスワードなしの認証が利用可能となります。

設定時の注意事項

この設定を行うにあたっては Azure AD にデバイスの登録が必要となるのでご注意ください。
また、1つの端末で設定可能なアカウントは1つのみとなります。1デバイスで複数のアカウントを利用している場合もパスワードなしで行えるのは1つのみとなるのでご注意ください。

FIDO2 セキュリティ キー

もう一つの方法が物理的なキーとして、FIDO2 に対応したセキュリティ キーを利用した方法です。
はじめに紹介した公式ドキュメントの中にプロバイダーとしていくつかの製品ベンダーのリンクがあるのでご確認ください。
検証ではYubiKey 5で動作確認しました。

この認証はまだパブリックプレビューで比較的実装も新しいためいくつか制約事項もあります。
https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Announcing-the-public-preview-of-Azure-AD-support-for-FIDO2/ba-p/746362

キーの登録はAzure ADのマイ プロファイルで行います。
注意事項として、キーの登録には EdgeかFirefox のブラウザのみ対応しています。

認証の手順はこのようになります。

  1. ログイン画面で「サインイン オプション」をクリック
  2. 「セキュリティ キーでサインイン」をクリック
  3. キーを挿し込む(はじめから挿しておいてもOK)
  4. PINコードを入力
  5. キーに埋め込まれているユーザーを選択

利用においても Edge か Firefox のみしか対応していませんでしたが、最近 Chrome でも認証することが出来るようになっていることが確認できました。

まとめ

パスワードなし認証は、認証が楽になることもありますが、デバイスの保護も求められます。
また、セキュリティ キーの認証ではPINの入力などが必要となるため、手間としては大きく減るわけではないです。準備や認証の容易さをもとめるならアプリによる認証がいいかもしれません。

いいね (←参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルプロセス&テクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください