Microsoft Authenticatorでパスワードレスサインインを設定する方法

前提条件と必要なライセンス

デバイス要件

ライセンス要件

• Entra ID Premium P1 が必須です。パスワードレス認証（Authenticator）自体は P1 で利用できます。
• Premium P2 は任意ですが、条件付きアクセスの高度な制御やリスクベースのポリシーを組み合わせる場合に推奨されます。

📌 公式情報: https://learn.microsoft.com/ja-jp/entra/identity/authentication/howto-authentication-passwordless-phone

MFA の全社適用

パスワードレスは MFA の一形態です。テナント全体で多要素認証が有効化されていないと、ポリシー作成時にエラーになることがあります。

• Azure portal → 「Azure Active Directory」 > 「セキュリティ」 > 「認証方法」 の画面から「MFA を必須」に設定してください（手順は公式ドキュメント参照）。
• 必要に応じて条件付きアクセスで対象ユーザー・デバイスを絞り込むことが可能です。

Microsoft Authenticator のインストールとアカウント登録

1. アプリの入手と初期設定（iOS / Android 共通）

1. 公式ストアからダウンロード
2. iOS：App Store → 「Microsoft Authenticator」
3. Android：Google Play → 同上
4. 組織アカウントでサインイン
5. アプリ起動 → + ボタン → 「職場または学校のアカウント」を選択
6. 組織メールアドレス（例: user@contoso.com）を入力し、画面指示に従って認証

2. デバイスの Azure AD への登録手順

1. Azure portal → 「Azure Active Directory」 > 「ユーザー」 で対象ユーザーを選択
2. 左メニューの 「認証方法」 を開き、「Microsoft Authenticator」 をクリック
3. 表示される QR コードまたは 6 桁コードをアプリ側でスキャン／入力し、登録完了

⚠️ 手順中に「QR コードの有効期限が切れました」と表示された場合は、再度 「認証方法」 画面から新しいコードを取得してください。

Azure portal でのパスワードレス認証ポリシー作成

1. パスワードレスモードの有効化

この設定だけでテナント全体に対してパスワードレスサインインが有効になります（個別ユーザーの除外は条件付きアクセスで実施）。

2. 条件付きアクセスポリシーとの併用例

1. 「Azure Active Directory」 > 「セキュリティ」 > 「条件付きアクセス」 → 「新規ポリシー」 作成
2. 対象ユーザー/グループ、対象アプリケーションを選択
3. 「アクセス制御」 → 「認証方法」 → 「Microsoft Authenticator（パスワードレス）」 のみ許可
4. ポリシーを有効化し、保存

📌 この構成により、対象ユーザーはパスワード入力なしでサインインでき、他の認証方式はブロックされます。

パスワードレスサインインフローの検証

1. プッシュ通知による承認手順

2. QR コードによる初回ペアリング手順

1. Azure portal の 「ユーザー」 > 「認証方法」 で QR コードを表示
2. Authenticator アプリで 「+」 → 「職場または学校のアカウント」 → 「QRコードスキャン」 を選択
3. スキャン完了後、デバイスが Azure AD に紐付けられ、以降プッシュ通知で承認可能になる

3. テストサインインの確認ポイント

• Azure AD サインインログ：Authentication Method = Passwordless (Microsoft Authenticator) が記録されているか。
• ポリシー適用遅延：変更後 5 分以内にログが反映されることを目安とする（最大 30 分程度のラグは許容範囲）。

📌 テストは管理者アカウントだけでなく、一般ユーザーアカウントでも実施し、全体への影響を事前に把握してください。

個人 Microsoft アカウントでのパスワードレス化手順

個人アカウントは組織テナントと UI が異なる点だけ注意すれば、同一の Authenticator エンジンが利用できます。

トラブルシューティング・ロールバック・運用チェックリスト

よくあるエラーと対処法

設定解除・ロールバック手順

1. パスワードレスモード無効化
2. Azure portal → 「認証方法」 > 「Microsoft Authenticator」 → 「認証モード」を 「MFA（プッシュ／コード）」 に変更し保存。
3. ユーザー側のデバイス解除
4. Authenticator アプリで対象アカウントを選択 → 「設定」→「デバイスの削除」または「アカウントの削除」。
5. MFA の代替方式が有効か確認
6. パスワードレスを無効にした直後、全ユーザーが少なくとも電話・メールなど別の MFA 手段で認証できることを必ず検証。

⚠️ ロールバック時に MFA が無効化されたままだと、対象ユーザーはサインイン不能になるリスクがあります。

監査ログと運用チェックリスト

1. 監査項目

• サインインログ：Authentication Method = Passwordless (Microsoft Authenticator) が期待通りに記録されているか。
• 条件付きアクセスレポート：ポリシー適用率が 100 %（除外ユーザーなし）であること。
• デバイス登録状況：Azure AD デバイス ページの「認証済みデバイス」数が増加しているか月次レビュー。

2. 実装後 1 週間目のチェックリスト

• [ ] 全ユーザーが Authenticator アプリにデバイスを登録済み
• [ ] サインインログにパスワードレス認証が記録されていることを確認
• [ ] ポリシー適用遅延が 5 分以内で収まっているか
• [ ] 除外ユーザーや未登録デバイスが残っていないか

3. 定期的なメンテナンス項目

まとめ

• 必須前提：Entra ID Premium P1、対応デバイス（iOS 14+/Android 9+）および全社 MFA の有効化。
• 設定手順は「Authenticator アプリのインストール → デバイス登録 → パスワードレスモード有効化」の 3 ステップで完結します。
• 検証はプッシュ通知と QR コードの両方を用い、Azure AD のサインインログで認証方式が正しく記録されているか確認してください。
• 運用ではエラー対応フロー・ロールバック手順・監査チェックリストを定期的に実施し、安定したパスワードレス環境を維持します。

これらのポイントを踏まえて導入すれば、ユーザー体験の向上とフィッシング耐性の強化が同時に達成できます。