Contents
前提条件と環境準備
パスワードレス認証はテナントレベル・デバイスレベルの両方で正しく構成しないと有効化できません。このセクションでは、必須ライセンス と 端末側のロック解除設定 を確認する手順を示します。
必要なライセンスとテナント設定
Entra ID テナントに Azure AD Premium P1 以上(もしくは P2)のライセンスが割り当てられていることが前提です。Premium が無いと Passwordless の機能自体が非表示になります[^ms‑lic].
| 手順 | 操作内容 |
|---|---|
| 1 | Azure ポータル → Azure Active Directory → Licenses → All products を開く |
| 2 | 「Azure AD Premium P1」または「P2」が表示されていることを確認 |
| 3 | 対象ユーザーへライセンスを割り当て(Assign)し、ステータスが Enabled になることをチェック |
補足:組織全体でパスワードレスを展開する場合は、対象ユーザーを Azure AD グループにまとめて一括割り当てすると管理コストが削減できます。
デバイスの生体認証/PIN 設定
Microsoft Authenticator は端末ロック解除(指紋・顔認証・PIN)と連携することで、プッシュ承認時に 所有物+本人確認 の二要素を実現します。以下は iOS と Android それぞれの設定手順です。
iOS デバイス
- 設定 → Face ID とパスコード または Touch ID とパスコード を開き、ロック解除に生体認証または PIN が有効化されていることを確認。
- 生体情報が未登録の場合は「顔/指紋を追加」から設定してください。
Android デバイス
- 設定 → セキュリティ → 生体認証とセキュリティ → 指紋、顔認証、または 画面ロック PIN を有効化。
- 端末メーカー固有の UI がある場合は、同様に「ロック画面」設定から有効化します。
運用上の注意:企業ポリシーで生体認証または PIN の必須を明文化し、導入前に IT 部門が全端末で確認できるチェックリストを作成するとトラブル防止になります。
Azure ポータルで Passwordless (Phone sign‑in) を有効化
この章では、管理者が Azure portal から Phone sign‑in(プッシュ通知)方式を有効にする具体的な手順と、設定ミスを防ぐチェックポイントを解説します。
Authentication methods → Passwordless authentication の構成手順
- サインイン:管理者権限で Azure ポータルにログイン
- メニュー遷移:
Azure Active Directory►Security►Authentication methods►Passwordless authenticationを選択 - Phone sign‑in の有効化:一覧から Phone sign‑in スイッチを On にする[^ms‑phone]
- 対象ユーザー/グループの指定:全社に展開する場合は
All users、部門別に限定したい場合は事前作成した Azure AD グループを選択 -
デバイス登録ポリシー:
-
既存デバイスのみ許可(MDM 管理下の端末だけ)
-
新規デバイスも許可(BYOD 環境で柔軟に対応)
-
保存 → 設定が反映されたことを確認するため、テストユーザーでサインインを試みます。
ポイント:設定画面の「Require device to be marked as compliant」と「Allow unmanaged devices with passwordless」は 2024 年 11 月の更新で追加されたオプションです。利用可否は組織のリスク許容度に合わせて選択してください[^ms‑policy]。
エンドユーザー側の導入手順
実際にユーザーが行う作業は アプリインストール → アカウント追加 → プッシュ通知許可 → 生体認証連携 の 4 ステップです。以下では iOS と Android の違いを明示しながら、Zenn 記事の手順を踏襲しています。
アプリのインストールとアカウント追加
| 手順 | 操作内容 |
|---|---|
| 1 | App Store または Google Play から Microsoft Authenticator(最新版)をダウンロード |
| 2 | アプリ起動 → + アイコン → 職場または学校のアカウント を選択 |
| 3 | 組織メールアドレスと既存パスワードでサインイン。MFA が要求された場合は現在使用中の認証手段で承認 |
| 4 | 通知許可:iOS は設定 → 通知 → Authenticator をオン、Android はインストール時に自動付与されるが「設定」→「アプリと通知」で確認 |
ヒント:初回サインイン後は画面右上のメニューから デバイスのリフレッシュ が可能です。同期エラーが出た際はこの操作で解消できることがあります[^jbs‑sync].
生体認証/PIN ロックの有効化
- iOS:Authenticator アプリ → 設定 → 生体認証を使用 をオンにすると、Face ID/Touch ID が自動的に連携
- Android:設定 → PIN ロック または 指紋ロック を選択し、端末の生体情報と同期
有効化後、プッシュ承認時にデバイスロック解除が要求されるため、紛失・盗難リスクが大幅に低減します。
Zero‑Trust 環境への統合(Conditional Access と MFA の併用)
Passwordless は Zero‑Trust の「常に検証」戦略の核となります。ここでは Conditional Access で必須化する方法と、リスクが高いシナリオで追加 MFA を組み合わせる例を示します。
条件付きアクセスポリシーで Passwordless を必須化
- Azure ポータル →
Security→Conditional Access→ + New policy - 対象:ユーザー/グループ(全社または特定部門)と クラウド アプリ(All cloud apps か限定アプリ)を選択
- アクセス制御 → Grant →
Require passwordless authenticationをチェック。必要に応じてRequire multi-factor authenticationも併せて有効化 - ポリシー名を付け、On にして保存
この設定により、対象ユーザーはサインイン時に必ず Authenticator のプッシュ承認が求められます。条件付きアクセスポリシーの詳細は Microsoft Docs の「[Conditional Access overview]」をご参照ください[^ms‑ca].
高リスクシナリオでの MFA 追加
| 条件 | 推奨設定 |
|---|---|
| 国外からのアクセス、または 匿名 IP と判定された場合 | Conditional Access の Location 条件で「信頼できないロケーション」 → Require multi-factor authentication をオン |
| Azure AD Identity Protection が High risk を検出した場合 | 同ポリシーで Risk level = High → Require passwordless + MFA (Authenticator OTP) |
この二段階構成により、パスワードレスがベースでもリスクが高いケースでは追加認証が自動的に要求されます。
運用上のベストプラクティスとトラブルシューティング
導入後に直面しやすい課題と、その対処方法をまとめました。実務で頻出するシナリオを想定していますので、運用マニュアルに組み込んでおくことを推奨します。
デバイス紛失時の復旧手順
- リモート削除:Azure ポータル →
Devices→ 該当端末 → Delete(または Retire) - ユーザーに バックアップコード を生成させるよう指示(Authenticator アプリの設定画面から取得可能)[^ms‑backup]
- 新しいデバイスで Authenticator を再インストールし、バックアップコードでアカウント復元
ポイント:バックアップコードは紙媒体や安全なパスワードマネージャに保管させ、定期的に更新するプロセスを整備してください。
プッシュ通知が届かない/同期エラーの対処
- OS の通知設定確認
- iOS:設定 → 通知 → Microsoft Authenticator → ロック画面・バナー表示をオン
-
Android:設定 → アプリと通知 → Authenticator → バックグラウンド制限を許可
-
省電力モードの影響:省エネ設定が有効だとバックグラウンド通信が停止することがあります。必要に応じて一時的にオフにしてください。
-
アカウントリフレッシュ手順
- Authenticator アプリを開き、右上メニューから Refresh account(または Sign out → Sign in)を実行
- Azure ポータルで対象ユーザーの Authentication methods → Phone sign‑in ステータスが
Enabledか確認し、必要なら Re‑register ボタンをクリック
これらの手順は JBS ブログに掲載された「Authenticator の通知不達対策」でも推奨されています[^jbs‑notif].
最新情報と機能追加(2024 年 11 月時点)
Microsoft Docs によると、2024 年 11 月の更新で Passwordless のデバイス登録ポリシーが細分化されました。主な変更点は以下の通りです。
Require device to be marked as compliant:MDM 管理下の端末のみ許可Allow unmanaged devices with passwordless:管理外端末でもパスワードレスを限定的に許可
この柔軟化により、BYOD 環境での導入ハードルが低くなると同時に、リスクベースでポリシーを切り替えることが可能になりました。将来的には Azure AD B2C 向け Passwordless for Web Apps がプレビュー段階で提供される予定です(2025 年上半期予定)[^ms‑future]。
運用アドバイス:ポリシー変更は組織のリスク評価と合わせて四半期ごとに見直し、Microsoft からの更新情報は公式ブログや Docs の「What's new」ページで随時チェックしてください。
参考文献
以上が、Microsoft Authenticator を活用したパスワードレスサインインの導入から運用までの完全ガイドです。最新ドキュメントを定期的に確認しつつ、組織固有のリスクポリシーと合わせて設定を調整してください。