Microsoft Authenticator は、Microsoft Entra の職場または学校アカウントまたは Microsoft アカウントにもう 1 つのセキュリティ レベルを提供します。 Android と iOS でご利用可能です。 Microsoft Authenticator アプリを使うと、ユーザーはサインイン時にパスワードレスで認証を行うことができます。 さらに、セルフサービス パスワード リセット (SSPR) または多要素認証 (MFA) イベントの間の認証オプションとして使用することもできます。
Microsoft Authenticator では、通知と確認コードを使用することによりパスキー、パスワードレス サインイン、MFA がサポートされます。
- ユーザーは Authenticator アプリでパスキーを使用してサインインし、生体認証サインインまたはデバイス PIN を使ってフィッシングに強い認証を実行できます。
- ユーザーは、Authenticator の通知を設定し、ユーザー名とパスワードの代わりに Authenticator を使ってサインインできます。
- ユーザーはモバイル デバイスで MFA 要求を受け取り、携帯電話からサインインの試行を承認または拒否できます。
- さらに、Authenticator アプリで OATH 確認コードを使用して、サインイン インターフェイスにコードを入力することもできます。
詳細については、「Microsoft Authenticator を使ったパスワードレスのサインインを有効にする」を参照してください。
注
ポータル サイトのバージョンが 2111 (5.0.5333.0) より前の Android ユーザーは、ポータル サイト アプリケーションを新しいバージョンに更新するまで Authenticator を登録できません。
パスキー サインイン
Authenticator は、ユーザーが携帯電話からフィッシングに強いパスワードレス認証を実行可能にする無料のパスキー ソリューションです。 Authenticator アプリでパスキーを使用する主な利点は次のとおりです。
- パスキーは、簡単かつ大規模にデプロイできます。 その後、モバイル デバイス管理 (MDM) と Bring Your Own Device (BYOD) シナリオの両方で、ユーザーの電話でパスキーを使用できます。
- Authenticator のパスキーは、余計なコストがかからず、ユーザーがどこにでも持ち運ぶことができます。
- Authenticator のパスキーはデバイスバインドであり、パスキーが作成されたデバイスから離れないことを保証します。
- ユーザーは、オープンな WebAuthn 標準に基づく最新のパスキー イノベーションを最新の状態で利用し続けることができます。
- 企業は、認証フローに加えて、Federal Information Processing Standards (FIPS) 140 コンプライアンスなどの他の機能を付加できます。
デバイス バインド パスキー
Authenticator アプリのパスキーは、パスキーが作成されたデバイスから分離されないようデバイスにバインドされています。 iOS デバイスでは、Authenticator はセキュリティで保護されたエンクレーブを使用してパスキーを作成します。 Android では、セキュア エレメントをサポートするデバイス上のセキュア エレメントでパスキーを作成するか、高信頼実行環境 (TEE) にフォールバックします。
Authenticator でパスキーの構成証明が機能するしくみ
パスキー (FIDO2) ポリシーで構成証明が有効になっている場合、Microsoft Entra ID は、パスキーが作成されているセキュリティ キー モデルまたはパスキー プロバイダーの正当性の検証を試みます。 ユーザーが Authenticator にパスキーを登録すると、正規の Microsoft Authenticator アプリが Apple と Google のサービスを使ってパスキーを作成したことが構成証明によって検証されます。 各プラットフォームにおける構成証明の詳細なしくみは次のとおりです。
iOS: Authenticator 構成証明は、iOS App Attest サービスを使用して Authenticator アプリの正当性を確認してから、パスキーを登録します。
アンドロイド:
- Play Integrity 構成証明の場合、Authenticator 構成証明は、Play Integrity API を使用して Authenticator アプリの正当性を確認してから、パスキーを登録します。
- キー構成証明の場合、Authenticator 構成証明は、Android によるキー構成証明を使用して、登録対象のパスキーがハードウェアでサポートされていることを確認します。
注
iOS と Android のいずれでも、Authenticator 構成証明は Apple および Google のサービスを利用して、Authenticator アプリの信びょう性を検証します。 サービスの使用量が多いとパスキーの登録に失敗する可能性があり、ユーザーは再試行が必要になることがあります。 Apple および Google のサービスが停止している場合、Authenticator 構成証明は、サービスが復旧するまで構成証明を必要とする登録をブロックします。 Google Play Integrity サービスの状態を監視するには、「Google Play ステータス ダッシュボード」を参照してください。 iOS App Attest サービスの状態を監視するには、「システム ステータス」を参照してください。
構成証明の構成方法について詳しくは、「Microsoft Entra ID 用に Microsoft Authenticator でパスキーを有効にする方法」をご覧ください。
通知を通じたパスワードレス サインイン
Authenticator アプリから電話によるサインインを有効にしたユーザーには、ユーザー名の入力後にパスワードの入力を求めるプロンプトは表示されず、代わりにアプリに番号を入力するよう求めるメッセージが表示されます。 正しい番号を選択すると、サインイン プロセスは完了です。
この認証方法によって高レベルのセキュリティが実現し、ユーザーがサインイン時にパスワードを入力する必要がなくなります。
パスワードレスのサインインを開始するには、「Microsoft Authenticator でパスワードレスのサインインを有効にする」を参照してください。
モバイル アプリを介した通知による MFA
Authenticator アプリは、スマートフォンまたはタブレットに通知をプッシュして、アカウントへの不正アクセスを防止したり、不正なトランザクションを停止させたりするのに役立ちます。 ユーザーは通知を確認し、適切であった場合は、 [確認] を選択します。 適切でない場合は、 [拒否] を選択します。
注
2023 年 8 月以降、未知の場所からのサインインで通知が生成されないのと同様、異常なサインインでは通知が生成されません。 異常なサインインを承認するには、ユーザーは、Microsoft Authenticator を開くか、Outlook などの関連するコンパニオン アプリで Authenticator Lite を開くことができます。 次に、プルダウンして更新するか、[更新] をタップして、要求を承認できます。
中国では、Android デバイスのモバイル アプリを介した通知の方法は機能しません。これは、Google Play のサービス (プッシュ通知など) が同地域でブロックされているためです。 ただし、iOS の通知は機能します。 Android デバイスの場合、それらのユーザーが代替の認証方法を利用できるようにする必要があります。
モバイル アプリからの確認コード
Authenticator アプリをソフトウェア トークンとして使用して、OATH 確認コードを生成できます。 ユーザー名とパスワードを入力したら、Authenticator アプリから提供されたコードをサインイン インターフェイスに入力します。 検証コードにより、2 番目の形式の認証が行われます。
注
Authenticator によって生成された OATH 検証コードは、証明書ベースの認証ではサポートされていません。
ユーザーは、最大 5 つの OATH ハードウェア トークンまたは Authenticator アプリなどの認証アプリケーションを組み合わせて、いつでも使用できるように構成できます。
Microsoft Entra 認証に準拠した FIPS 140
米国国立標準技術研究所 (NIST) 特別出版物 800-63B に記載されているガイドラインに従って、米国政府機関が使用する認証子は、FIPS 140 検証済み暗号化を使用する必要があります。 このガイドラインは、米国政府機関がエグゼクティブ オーダー (EO) 14028 の要件を満たすのに役立ちます。 加えて、このガイドラインは、規制薬物の電子処方箋 (EPCS) を扱う医療機関などの他の規制対象業界が規制要件を満たすのにも役立ちます。
Federal Information Processing Standards (FIPS) 140 は、情報技術の製品やシステムに含まれる暗号化モジュールに関して最低限のセキュリティ要件を規定する米国政府の規格です。 暗号化モジュール検証プログラム (CMVP) は、FIPS 140 標準に対するテストを維持します。
iOS 用 Microsoft Authenticator
バージョン 6.6.8 以降、iOS 用 Microsoft Authenticator は、Apple iOS FIPS 140 準拠デバイスで FIPS 検証済み暗号化用のネイティブ Apple CoreCrypto モジュールを使用します。 フィッシングに強いデバイス バインド パスキー、プッシュ多要素認証 (MFA)、パスワードレス携帯電話サインイン (PSI)、時間ベースのワンタイム パスコード (TOTP) を使用するすべての Microsoft Entra 認証では、FIPS 暗号化が使用されます。
使用され、準拠している iOS デバイスの FIPS 140 検証済み暗号化モジュールの詳細については、 Apple iOS セキュリティ認定を参照してください。
Android 用 Microsoft Authenticator
Android 用 Microsoft Authenticator のバージョン 6.2409.6094 以降では、パスキーを含む Microsoft Entra ID のすべての認証が FIPS 準拠と見なされます。 Authenticator は wolfSSL Inc. 暗号化モジュールを使用して、Android デバイスで FIPS 140 セキュリティ レベル 1 のコンプライアンスを実現します。 認定の詳細については、「 暗号化モジュール検証プログラム」を参照してください。
セキュリティ情報での Microsoft Authenticator 登録の種類の決定
ユーザーは、セキュリティ情報 (次のセクションの URL を参照) にアクセスするか、MyAccount からセキュリティ情報を選択して、Microsoft Authenticator の登録を管理および追加できます。 Microsoft Authenticator 登録がパスワードレスの携帯電話によるサインインと MFA のどちらであるかを区別するために、専用のアイコンが使用されます。
| Authenticator 登録の種類 | アイコン |
|---|---|
| Microsoft Authenticator: パスワードレスの電話によるサインイン |  |
| Microsoft Authenticator: (通知/コード) |  |
SecurityInfo のリンク
| クラウド | セキュリティ情報 URL |
|---|---|
| Azure Commercial (Government Community Cloud (GCC) を含む) | https://aka.ms/MySecurityInfo |
| 米国政府向け Azure (GCC High と DoD を含む) | https://aka.ms/MySecurityInfo-us |
Authenticator の更新プログラム
Microsoft では、高いレベルのセキュリティを維持するため、Authenticator を継続的に更新しています。 ユーザーが可能な限り最高のエクスペリエンスを得られるよう、Authenticator アプリを継続的に更新することをお勧めします。 重要なセキュリティ更新プログラムがある場合、最新でないバージョンのアプリが動作せず、ユーザーが認証を完了できなくなる可能性があります。 サポートされていないバージョンのアプリを使っているユーザーは、サインインを続ける前に最新バージョンにアップグレードするよう求められます。
さらに、組織が高いセキュリティ水準を維持できるよう、Microsoft は古いバージョンの Authenticator アプリを定期的に廃止しています。 ユーザーのデバイスが最新バージョンの Microsoft Authenticator をサポートしていない場合、ユーザーはアプリでサインインできません。 MFA を完了するには、Microsoft Authenticator で OATH 検証コードを使用してサインインすることをお勧めします。
次のステップ
パスキーを使用し始めるには、「Microsoft Authenticator で Microsoft Entra ID 用のパスキーを有効にする方法」をご覧ください。
パスワードレス サインインの詳細については、「Microsoft Authenticator でパスワードレス サインインを有効にする」を参照してください。
Microsoft Graph REST API を使用した認証方法の構成の詳細を確認してください。