Contents
Microsoft Authenticator の取得とインストール(iOS / Android)
Microsoft Authenticator は Azure AD(現 Entra ID)でパスワードレスサインインを実装する際に必ず利用する公式アプリです。正規版を入手し、端末ごとの初期設定を完了させておくことで、後続のデバイス登録やプッシュ承認がスムーズに行えます。本セクションでは iOS と Android のそれぞれで安全にアプリを取得する手順と、最小限の初期設定項目について解説します。
iOS 用ダウンロード手順
iPhone・iPad から Microsoft Authenticator を入手する標準的な流れです。
- App Store を開き、検索バーに 「Microsoft Authenticator」 と入力。
- 発行元が Microsoft Corporation の公式アプリ(青い盾のアイコン)を選択し、「取得」→「インストール」 をタップ。
公式サポートページでも同様の手順が掲載されています → https://support.microsoft.com/ja-jp/authenticator/sign-in-using-microsoft-authenticator
Android 用ダウンロード手順
Android デバイスの場合は Google Play ストアから取得します。
- Google Play を開き、検索窓に 「Microsoft Authenticator」 と入力。
- 発行元が Microsoft Corporation であることを確認し、「インストール」 ボタンを押す。
初期設定のポイント
アプリ起動後に必ず行うべき基本設定です。
- アプリを開くと 「開始」 が表示されるのでタップしてセットアップ画面へ進む。
- プッシュ通知 の許可を求められたら必ず「許可」する(認証要求が届くため必須)。
- バックアップ を有効にすると、Microsoft アカウントでコードがクラウド同期され、端末紛失時の復旧が容易になる。組織ポリシーに従い設定してください。
- 初回画面の 「アカウントを追加」 → [職場または学校のアカウント] を選択し、後述する QR コード登録手順へ進める準備が整う。
パスワードレスに必要なライセンスとテナント前提条件
パスワードレスサインイン(Phone sign‑in)は Azure AD の機能であり、利用できるプランやテナント設定が限定されています。本章では各プランの概要と、Phone sign‑in が正式に使用可能になる最低要件を整理します。
Azure AD ライセンス概要
| プラン | 主な機能 | パスワードレスへの対応 |
|---|---|---|
| Free | 基本的なユーザー管理、シングルサインオン(SSO) | 非対応(Phone sign‑in が利用不可) |
| Premium P1 | 条件付きアクセスポリシー、MFA 全般、Passwordless の基本機能 | 対応(Phone sign‑in を有効化可能) |
| Premium P2 | P1 すべて+ Identity Protection、Privileged Identity Management 等高度なリスク制御 | 対応(追加のセキュリティレイヤーが利用可能) |
Phone sign‑in が利用できるプランと必須条件
- ライセンス要件
- Azure AD Free では Phone sign‑in の機能フラグが存在しないため、最低でも Premium P1 が必要です。P2 を導入すれば同様に利用できます。
- MFA の有効化
- パスワードレスは MFA の一形態として扱われます。テナント全体または対象ユーザーに対して 多要素認証(MFA)を有効化 しておく必要があります。
- 管理者権限
- 認証方法ポリシーの変更には Global Administrator または Authentication Policy Administrator のロールが必須です。
以上を満たしたテナントであれば、次の章に進み Azure ポータル上で Phone sign‑in を有効化できます。
Azure ポータルで Phone sign‑in を有効化する手順
本節では最新 UI に合わせた操作フローを示します。2024 年 10 月時点の Azure ポータルは「認証方法ポリシー」へ直接アクセスできるよう統合されていますので、従来の「セキュリティ > 認証方法」からの遷移と若干異なる点に注意してください。
認証方法ポリシーの場所と最新 UI
- Azure portal に管理者アカウントでサインイン。
- 左側メニュー → 「Azure Active Directory」 を選択。
- 「Security(セキュリティ)」 → 「Authentication methods(認証方法)」 → 「Authentication method policy(認証方法ポリシー)」 の順にクリック。
この画面で利用可能な全ての認証方式が一覧表示され、個別に有効化・対象ユーザー設定が行えます。
Phone sign‑in の有効化設定手順
- ポリシー一覧から 「Phone sign‑in」 を探しクリック。
- 状態 を 「Enabled(有効)」 に切り替える。
- 対象ユーザー セクションで、全員に展開したい場合は 「All」、特定グループだけに限定したい場合は 「Selected groups」 を選択し、該当する Azure AD グループを追加。
- 画面下部の 「Save(保存)」 ボタンを押して設定を確定する。
設定が反映されるまで数分かかります。公式手順は Microsoft Docs に詳述されています → https://learn.microsoft.com/ja-jp/entra/identity/authentication/howto-authentication-passwordless-phone#enable-phone-sign-in
ユーザー側デバイス登録手順(QR コード方式)
Phone sign‑in を利用するためには、各ユーザーが自分のスマートフォンと Azure AD アカウントを紐付ける必要があります。最新 UI に合わせた QR コード取得からスキャンまでの流れを具体的に示します。
QR コード表示までの操作フロー
- ユーザーは Web ブラウザで myaccount.microsoft.com/security-info(「セキュリティ情報」ページ)へアクセスし、組織アカウントでサインイン。
- 「認証方法の追加」ボタンをクリックし、一覧から 「Phone sign‑in」 を選択。
- 表示された画面で 「QR コードを表示」 を押すと、5 分間有効な QR コードが生成される。
※ Azure ポータル側でも同様に Azure AD > Security > Authentication methods > Registration campaigns からキャンペーンを作成し、ユーザーへ QR コードリンクを配布できます(管理者向けオプション)。
Authenticator アプリで QR コードをスキャンする手順
- Microsoft Authenticator を起動し 「+」 → 「職場または学校のアカウント」 を選択。
- 「QR コードをスキャン」 をタップし、先ほど表示された QR コードをカメラで読み取る。
- スキャンが完了すると、デバイス名と電話番号(SMS/音声認証用)が自動的に Azure AD に登録され、「Phone sign‑in のセットアップが完了しました」 と表示される。
この時点でユーザーはパスワードなしのサインインが可能になります。
パスワードレスサインインの実際のフローと代替オプション
QR コードによるデバイス登録が終われば、日常的なサインインは以下のように行われます。また、組織の要件に応じて Credential Provider や FIDO2 キーを併用することも可能です。
プッシュ承認によるサインインフロー
- PC・Web のサインイン画面で 「Microsoft Authenticator」 を選択し、「プッシュ通知」 をクリック。
- スマートフォンの Authenticator アプリに承認要求が届くので、「承認」 ボタンをタップ。
- 認証が即座に完了し、パスワード入力は不要になる。
このフローは MFA の一形態として高いセキュリティを保持しつつ、ユーザー体験を大幅に向上させます。
Credential Provider(Passwordless Credential Provider for Windows)の導入方法
Microsoft が GitHub で公開している 「Passwordless Credential Provider」(正式名称:Microsoft Passwordless Authentication Extension)は、Windows のサインイン画面から直接プッシュ承認を呼び出すことができる拡張機能です。
- リポジトリ https://github.com/microsoft/PasswordlessCredentialProvider から最新の MSI パッケージ(
Microsoft.Passwordless.CredentialProvider.x64.msi)をダウンロード。 - 管理者権限でインストーラーを実行し、「Passwordless Authentication」 オプションにチェックを入れてインストール。
- 再起動後、Windows のサインイン画面で 「パスワードレス サインイン(Microsoft Authenticator)」 が表示されるようになる。
この拡張は Microsoft によって正式にサポートされており、エンタープライズ環境でも安全に展開できます。
FIDO2 キー併用のオプション
組織がハイブリッド認証を求める場合、YubiKey など FIDO2 準拠デバイス を Azure AD に登録し、プッシュ承認と併用できます。
- Azure portal > Azure AD > Security > Authentication methods > FIDO2 セキュリティキーで有効化。
- ユーザーは「セキュリティ情報」ページから 「FIDO2 キー」 を追加し、デバイスをタップして登録完了。
この構成により、スマートフォンが利用できない環境でもパスワードレス体験が維持できます。
よくあるトラブルと対策
実装段階で頻出する問題とその解決手順をまとめました。各症状ごとに原因例と具体的な対処方法を示しますので、障害発生時の迅速な復旧に活用してください。
| 症状 | 原因例 | 対処手順 |
|---|---|---|
| プッシュ通知が届かない | 端末で通知が無効化、またはネットワーク遮断 | 設定 → アプリ → Microsoft Authenticator → 「通知を許可」 をオン。Wi‑Fi/モバイルデータの接続状態も確認。 |
| QR コードがスキャンできない | カメラに汚れ、またはコード期限切れ(5 分) | カメラレンズを拭く/新しい QR を再生成し、表示から 5 分以内にスキャンする。 |
| Phone sign‑in が有効にならない | テナントが Premium P1 未契約、または MFA が無効 | Azure portal のライセンス状況を確認し、必要なら P1/P2 にアップグレード。Azure AD > Security > Authentication methods で MFA を必須化。 |
| Credential Provider が表示されない | MSI インストールが失敗、または OS バージョン非対応 | 管理者権限で再インストールし、Windows 10 1903 以降かを確認(サポート対象 OS)。 |
| FIDO2 キー認証が失敗 | キーのファームウェアが古い、またはブラウザ設定不備 | キーメーカーの最新ファームウェアに更新し、Chrome/Edge の WebAuthn 設定を有効化。 |
まとめ
- Microsoft Authenticator は公式ストアから取得し、プッシュ通知とバックアップを必ず有効化するだけで基本的な準備は完了します。
- パスワードレス(Phone sign‑in)を利用できるのは Azure AD Premium P1 以上 のライセンスが前提であり、MFA の有効化と管理者権限も必須です。
- Azure portal の最新 UI に沿って 「Authentication method policy」 から Phone sign‑in を有効にし、対象ユーザーを設定します。
- ユーザーは myaccount.microsoft.com/security-info で QR コードを取得し、Authenticator アプリでスキャンしてデバイス登録を完了させます。
- 本番環境でのサインインはプッシュ承認が中心となりますが、Passwordless Credential Provider や FIDO2 キー を併用すれば、Windows のサインイン画面やブラウザでもシームレスにパスワードレス体験を提供できます。
- トラブルは「通知設定」「QR 有効期限」「ライセンス確認」など基本的な点が原因になることが多く、上記対策表を参考に早期解決を図ってください。
これらの手順と注意点を踏まえて実装すれば、組織全体で安全かつユーザーに優しいパスワードレスサインインを実現できます。