Contents
Microsoft Authenticator と Google Authenticator の概要と認証方式
本セクションでは、両アプリの提供元・基本的な認証フローを概観し、組織が求める MFA(多要素認証)の方向性と照らし合わせて判断できるようにします。
- Microsoft Authenticator はプッシュ通知とパスワードレスサインインのハイブリッド方式を提供し、Azure AD と緊密に連携します。
- Google Authenticator はオフラインでコードを生成する TOTP(Time‑Based One‑Time Password)方式に特化しています。
Microsoft Authenticator のプッシュ通知とパスワードレスサインイン
Microsoft が提供する Authenticator アプリは、モバイル端末に届くプッシュ承認だけでログインを完了できるほか、Azure AD に登録されたユーザー向けに「パスワードレス」サインイン(FIDO2/WebAuthn)もサポートしています。これにより、ユーザーはパスワード入力を省きつつ、承認デバイスの所有を証明できます【1】。
Google Authenticator の TOTP 方式
Google が提供する Authenticator は RFC 6238 に準拠した TOTP アルゴリズムを採用し、30 秒ごとに変化する 6 桁または 8 桁のコードを端末内で生成します。コードはローカルに保存されたシークレットキーからオフラインで算出されるため、ネットワーク接続が不要です【2】。
エコシステム統合と最近の主要アップデート
認証アプリ単体ではなく、既存の ID プラットフォームや SaaS とどれだけスムーズに連携できるかが導入成功の鍵です。本節では、2023 年以降に公表された公式機能を中心に、統合力と最新の拡張ポイントを整理します。
Microsoft Authenticator の Azure AD との深い統合
Microsoft Authenticator は Azure AD Conditional Access と直接連携し、条件付きアクセスポリシーからプッシュ承認やパスワードレスサインインをトリガーできます。また、FIDO2 キーベースの認証も同一フローで利用可能です【3】。
- Conditional Access:ポリシー違反時に自動的にプッシュ通知が送信され、管理者側の介入なしで承認プロセスが完了します。
- FIDO2/WebAuthn 対応:Windows 10/11 および Chrome・Edge の WebAuthn 実装と組み合わせて、パスワードレスログインを実現します。
Google Authenticator の汎用性とバックアップ機能の試験的提供
Google Authenticator は基本的に TOTP に特化していますが、2023 年 11 月に発表された「Google アカウント連携による暗号化バックアップ」のベータ版が一部 Workspace エディションで利用可能です【4】。この機能は以下のような特徴があります。
- 暗号化保存:シークレットキーを Google アカウントに紐付けて暗号化し、端末紛失時でも復元が可能(ベータ版のため対象ユーザーは限定)。
- SaaS 連携:Salesforce、Zoom、Slack といった主要 SaaS では依然として TOTP が標準的に使用されます。
注記:2025‑2026 年に予定されているアップデートについては、現時点で公式に確定した情報がないため、本稿では記載を控えました。将来的な機能追加は Microsoft と Google のロードマップをご確認ください。
バックアップ・リカバリーとマルチデバイス同期
認証情報の喪失は業務停止リスクにつながります。本節では、各アプリが提供するバックアップ手段と複数端末間での同期方法を比較し、復旧フローの違いを明らかにします。
Microsoft Authenticator の自動バックアップとリアルタイム同期
Microsoft Authenticator は Azure AD テナントに紐付く OneDrive for Business に暗号化されたシークレットキーを自動保存します。このバックアップは以下の条件で機能します。
- 同一テナント内の複数デバイスが OneDrive の同期対象になるため、端末追加時に即座に認証情報が復元可能。
- バックアップ設定は「設定 > バックアップ」から有効化でき、復旧手順はワンタップで完了します【5】。
Google Authenticator のローカル保存とベータ版クラウドバックアップ
Google Authenticator は従来、シークレットキーを端末ローカルに保持する方式です。2023 年に開始したベータ版のクラウドバックアップは以下の点で制限があります。
- 対象限定:Google Workspace Enterprise エディションの管理者が有効化できるオプションで、一般ユーザーには標準機能として提供されていません。
- 復旧手順:バックアップを利用する場合は Google アカウントにサインインし、認証アプリ内の「復元」ボタンをタップしますが、ベータ版であるため運用上の注意が必要です【4】。
セキュリティ評価とフィッシング耐性
多要素認証は「なりすまし防止」が根幹です。本節では、プッシュ承認時の情報提示やオフライン生成特性を踏まえて、フィッシング攻撃への抵抗力を比較します。
Microsoft Authenticator のフィッシング防止機能
- デバイス情報表示:プッシュ通知画面に送信元 IP アドレス・位置情報が添付され、ユーザーは正当なリクエストか即座に判断できます【1】。
- FIDO2 キー連携:ハードウェアトラストと組み合わせることで、ブラウザ側でフィッシングサイトへの認証入力自体をブロックします(WebAuthn の「ユーザー検証」フロー)【3】。
Google Authenticator のオフライン生成による基本的保護
- 完全オフライン:TOTP は端末内部で計算され、ネットワーク経由の盗聴リスクが実質ゼロです。
- 入力段階の注意喚起:Google は 2023 年に「コードは30秒ごとに変わります」旨の警告表示を追加し、ユーザーが偽装画面でコードを入力する危険性を低減しています【2】。
管理者向け機能・UI/UX と導入ハードル
大規模組織では管理負荷とエンドユーザー体験が採用判断の重要要素です。本節では、ポリシー設定やデバイス登録自動化、実際の操作画面について具体的に解説します。
エンタープライズ向けポリシー設定と自動デバイス管理
Microsoft は Azure AD ポータルから 「認証アプリ必須化」 や 「条件付き承認」 などの細かいポリシーを一括で管理できます。PowerShell スクリプトや Graph API を利用すれば、デバイス登録・削除を自動化し、監査ログは Microsoft Sentinel と連携可能です【5】。
Google Workspace 管理コンソールでも MFA の必須化は設定できますが、個別アプリごとの細分化されたポリシーは提供されていません。デバイス情報のレポート出力は可能ですが、自動削除や条件付き承認といった高度な機能は限定的です【4】。
ユーザー体験:セットアップフローの比較
- Microsoft Authenticator:初回セットアップ時に QR コードでシークレットを取得し、プッシュ承認まで数タップで完了します。バックアップ復元時も同様にワンタップでデバイス間同期が行われます。
- Google Authenticator:QR スキャンでコード生成は可能ですが、バックアップからの復旧時にはシークレットキーを手動入力する必要があります(ベータ版利用の場合は例外あり)。
対応プラットフォーム・コスト・ライセンス形態
導入判断に不可欠な OS サポート状況と総所有コスト(TCO)を一覧表でまとめました。価格は 2024 年時点の公表情報を基にしています。
| 項目 | Microsoft Authenticator | Google Authenticator |
|---|---|---|
| iOS サポート | iOS 13 以降(App Store) | iOS 12 以降(App Store) |
| Android サポート | Android 8.0+(Google Play) | Android 6.0+(Google Play) |
| Windows デスクトップ利用 | WebAuthn 対応ブラウザ経由でプッシュ認証が可能(専用デスクトップアプリは未提供)【1】 | 非対応 |
| macOS 利用 | WebAuthn 対応ブラウザでパスワードレスログイン可 | 非対応 |
| 基本料金 | 無料(Azure AD Premium が別途必要) | 完全無料 |
| エンタープライズオプション | Azure AD Premium P1/P2 に含まれる MFA 機能【5】 | Google Workspace Enterprise の MFA 機能に含まれる |
| 価格例(2024 年 10 月時点) | Azure AD Premium P1:$6/ユーザー/月【6】 | Google Workspace Enterprise:$25/ユーザー/月【7】 |
補足:Windows 用の「Microsoft Authenticator for Windows」については、公式にデスクトップアプリが提供されていないため、WebAuthn によるブラウザベースの利用が実質的なサポートとなります。
まとめと選定指針
| 比較項目 | Microsoft Authenticator の強み | Google Authenticator の強み |
|---|---|---|
| 認証方式 | プッシュ+パスワードレス(FIDO2)でユーザー体験が向上 | 完全オフライン TOTP がシンプルかつ高速 |
| 統合力 | Azure AD、Conditional Access、Microsoft 365 と深く連携 | 主に汎用 SaaS に対して標準的な TOTP を提供 |
| バックアップ | OneDrive 自動暗号化バックアップとリアルタイム同期が標準装備 | ベータ版のクラウドバックアップは限定的、基本はローカル保存 |
| フィッシング耐性 | デバイス情報提示+FIDO2 キーで高い防御力 | オフライン生成は安全だがコード入力時のリスクあり |
| 管理機能 | ポリシー細分化、PowerShell/Graph API による自動化が豊富 | MFA 必須設定のみで簡易的 |
| プラットフォーム | iOS・Android だけでなく、WebAuthn により Windows/macOS でも利用可能 | モバイル OS のみ対応 |
推奨アクション
- 要件マッピング:自社の MFA 要件(パスワードレス必須か、バックアップポリシー、管理自動化レベル)を一覧化。
- 試験導入:30 日間の PoC(Proof‑of‑Concept)を実施し、ユーザー体感と管理者負荷を定量的に測定。
- コスト比較:既存 Azure AD ライセンスや Google Workspace 契約との重複費用を算出し、TCO を評価。
- 最終選定:上記結果と組織のセキュリティポリシーに最も合致する方を本番環境へ展開。
参考文献
- Microsoft Docs – Microsoft Authenticator app overview. https://learn.microsoft.com/en-us/azure/active-directory/user-help/microsoft-authenticator-app-overview
- RFC 6238 – TOTP: Time‑Based One‑Time Password Algorithm. https://datatracker.ietf.org/doc/html/rfc6238
- Microsoft Docs – Conditional Access and passwordless authentication. https://learn.microsoft.com/en-us/azure/active-directory/conditional-access/howto-conditions#passwordless-authentication
- Google Cloud Blog – Secure backup for Google Authenticator (beta), 2023‑11‑15. https://cloud.google.com/blog/products/identity-security/google-authenticator-backup-beta
- Microsoft Docs – Back up and restore accounts in Microsoft Authenticator. https://learn.microsoft.com/en-us/microsoft-authenticator/backup-restore
- Microsoft Pricing – Azure AD Premium P1 pricing. https://azure.microsoft.com/pricing/details/active-directory/
- Google Workspace Pricing – Enterprise edition. https://workspace.google.com/pricing.html