組織のパスキー (FIDO2) を有効にする

[アーティクル]
2025-05-05

現在パスワードを使用している企業にとって、パスキー (FIDO2) は、ユーザー名やパスワードを入力せずに認証できるシームレスな方法を従業員に提供する手段になります。パスキー (FIDO2) は、従業員の生産性を向上させ、セキュリティを強化します。

この記事では、組織でパスキーを有効にするための要件と手順の一覧を示します。これらの手順を完了すると、組織内のユーザーは、FIDO2 セキュリティキーまたは Microsoft Authenticator に格納されているパスキーを使用して、Microsoft Entra アカウントを登録してサインインできます。

Microsoft Authenticator でパスキーを有効にする方法の詳細については、「Microsoft Authenticator でパスキーを有効にする方法」を参照してください。

パスキー認証の詳細については、「 Microsoft Entra ID を使用した FIDO2 認証のサポート」を参照してください。

注

Microsoft Entra ID は現在、FIDO2 セキュリティキーおよび Microsoft Authenticator に格納されているデバイスバインドパスキーをサポートしています。 Microsoft は、パスキーを使用した顧客とユーザーの保護に取り組んでいます。職場アカウントの同期パスキーとデバイスバインドパスキーの両方に投資しています。

要件

ユーザーは、パスキー (FIDO2) を登録する前に、過去 5 分以内に多要素認証 (MFA) を完了する必要があります。
ユーザーには、 Microsoft Entra ID または Microsoft Authenticator を使用した構成証明の対象となる FIDO2 セキュリティキーが必要です。
デバイスは、パスキー (FIDO2) 認証をサポートする必要があります。 Microsoft Entra ID に参加している Windows デバイスの場合は、Windows 10 バージョン 1903 以降で最適なエクスペリエンスが得られます。ハイブリッド参加済みデバイスでは、Windows 10 バージョン 2004 以降を実行する必要があります。

パスキー (FIDO2) は、Windows、macOS、Android、iOS の主要なシナリオでサポートされています。サポートされているシナリオの詳細については、「 Microsoft Entra ID での FIDO2 認証のサポート」を参照してください。

注

Android 上の Edge での同じデバイスの登録は近日中にサポートされるようになります。

パスキー (FIDO2) の Authenticator 構成証明 GUID (AAGUID)

FIDO2 の仕様では、各セキュリティキーベンダーが登録時に Authenticator 構成証明 GUID (AAGUID) を提供する必要があります。 AAGUID は、製造元やモデルなどのキーの種類を表す 128 ビットの識別子です。デスクトップおよびモバイルデバイスのパスキー (FIDO2) プロバイダーも登録時に AAGUID を提供することが求められます。

注

ベンダーは、自身が作成するすべての実質的に同一のセキュリティキーまたはパスキー (FIDO2) プロバイダーにわたって AAGUID が同一であり、他のすべての種類のセキュリティキーまたはパスキー (FIDO2) プロバイダーの AAGUID とは (高い確率で) 異なることを保証する必要があります。これを保証するために、特定のセキュリティキーモデルまたはパスキー (FIDO2) プロバイダーの AAGUID はランダムに生成する必要があります。詳細については、「 Web 認証: 公開キー資格情報にアクセスするための API - レベル 2 (w3.org)」を参照してください。

セキュリティキーベンダーと協力して、パスキー (FIDO2) の AAGUID を特定するか、 Microsoft Entra ID での構成証明の対象となる FIDO2 セキュリティキーを参照してください。パスキー (FIDO2) がすでに登録されている場合は、ユーザーのパスキー (FIDO2) の認証方法の詳細を表示することで、AAGUID を見つけることができます。

パスキーの AAGUID を表示する方法のスクリーンショット。

パスキー (FIDO2) 認証方法を有効にする

少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
Entra ID>認証方法>ポリシー に移動します。
メソッド Passkey (FIDO2) で、トグルを [有効] に設定します。 [ すべてのユーザー] または [グループの追加] を選択して、特定のグループを選択します。 セキュリティグループのみがサポートされています。
[構成] タブで、次の 手順を実行 します。
- [ セルフサービスの設定を許可する ] を [はい] に設定します。 [いいえ] に設定すると、認証方法ポリシーでパスキー (FIDO2) が有効になっている場合でも、ユーザーはセキュリティ情報を使用してパスキーを登録できません。
- FIDO2 セキュリティキーモデルまたはパスキープロバイダーが本物であり、正当なベンダーからのものであると組織が保証する場合は、[ 構成証明の強制] を [はい ] に設定します。
  - FIDO2 セキュリティキーについては、セキュリティキーメタデータを FIDO Alliance メタデータサービスで公開および検証する必要があるほか、Microsoft の別の検証テストにも合格する必要があります。詳細については、「 Microsoft と互換性のある FIDO2 セキュリティキーベンダーになる」を参照してください。
  - Microsoft Authenticator のパスキーは、構成証明もサポートします。詳細については、「 Authenticator でのパスキー構成証明のしくみ」を参照してください。
  警告
  
  構成証明の適用は、登録時にのみパスキー (FIDO2) が許可されるかどうかを制御します。構成証明なしでパスキー (FIDO2) を登録したユーザーは、後で 構成証明の強制 がはいに設定されている場合でも、サインインをブロックされません。
キー制限ポリシー
- キー制限の適用 は、組織が特定のセキュリティキーモデルまたはパスキープロバイダー (AAGUID によって識別される) のみを許可または禁止する場合にのみ 、[はい ] に設定する必要があります。セキュリティキーベンダーと協力して、パスキーの AAGUID を特定できます。パスキーがすでに登録されている場合は、ユーザーのパスキーの認証方法の詳細を表示することで、AAGUID を見つけることができます。
警告

キー制限により、特定のモデルまたはプロバイダーが登録と認証の両方に使用できるかどうかを設定します。キーの制限を変更し、以前は許可していた AAGUID を削除すると、許可された方法を前に登録していたユーザーはサインインにそれを使用できなくなります。
構成が完了したら、[ 保存] を選択します。

注

保存しようとするとエラーが表示された場合は、1 回の操作で複数のグループを 1 つのグループに置き換え、[ 保存 ] をもう一度クリックします。

Microsoft Graph API を使用して FIDO2 セキュリティキーをプロビジョニングする (プレビュー)

現在プレビュー段階では、管理者は Microsoft Graph とカスタムクライアントを使用して、ユーザーに代わって FIDO2 セキュリティキーをプロビジョニングできます。プロビジョニングには、認証管理者ロールまたは UserAuthenticationMethod.ReadWrite.All アクセス許可を持つクライアントアプリケーションが必要です。プロビジョニングの改善点は次のとおりです。

Microsoft Entra ID から WebAuthn 作成オプション を要求する機能
プロビジョニングされたセキュリティキーを Microsoft Entra ID に直接登録する機能

これらの新しい API を使用すると、組織はユーザーに代わってセキュリティキーにパスキー (FIDO2) 資格情報をプロビジョニングする独自のクライアントを構築できます。このプロセスを簡略化するには、主要な手順 3 つが必要です。

ユーザー用の creationOptions のリクエスト: Microsoft Entra ID は、あなたのクライアントがパスキー (FIDO2) 資格情報をプロビジョニングするために必要なデータを返します。これには、ユーザー情報、証明書利用者 ID、資格情報ポリシー要件、アルゴリズム、登録チャレンジなどの情報が含まれます。
作成オプションを使用してパスキー (FIDO2) 資格情報をプロビジョニングします。creationOptionsを使用し、クライアント認証プロトコル (CTAP) をサポートするクライアントを用いて資格情報を設定してください。この手順では、セキュリティキーを挿入し、PIN を設定する必要があります。
プロビジョニングされた資格情報を Microsoft Entra ID に登録する: プロビジョニングプロセスの書式設定された出力を使用して、対象ユーザーのパスキー (FIDO2) 資格情報を登録するために必要なデータを Microsoft Entra ID に提供します。

パスキー (FIDO2) をプロビジョニングするために必要な手順を示す概念図。

Microsoft Graph API を使用してパスキー (FIDO2) を有効にする

Microsoft Entra 管理センターを使用する方法があるほか、Microsoft Graph API を使用してパスキー (FIDO2) を有効にすることもできます。パスキー (FIDO2) を有効にするには、少なくとも認証ポリシー管理者として認証方法ポリシーを更新する必要があります。

Graph エクスプローラーを使用してポリシーを構成するには、次の手順を実行します。

Graph エクスプローラーにサインインし、Policy.Read.All および Policy.ReadWrite.AuthenticationMethod アクセス許可に同意します。

認証方法ポリシーを取得します。

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

構成証明の適用を無効にして、たとえば RSA DS100 の AAGUID のみを許可するようにキー制限を適用するには、次の要求本文を使用して PATCH 操作を実行します。

PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "7e3f3d30-3557-4442-bdae-139312178b39",

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

パスキー (FIDO2) ポリシーが正しく更新されていることを確認してください。

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

パスキー (FIDO2) を削除する

ユーザーアカウントに関連付けられたパスキー (FIDO2) を削除するには、ユーザーの認証方法からを削除します。

Microsoft Entra 管理センターにサインインし、パスキー (FIDO2) を削除する必要があるユーザーを検索します。
[認証方法] を選択し>パスキー (デバイスバインド) を右クリックし、[削除] を選択します。

ユーザーが機密リソースにアクセスするときにパスキー (FIDO2) を使用してサインインさせるには、次を行います。

フィッシングに強い、組み込みの認証強度を使用する

または
カスタムの認証強度を作成する

次の手順では、カスタム認証強度を作成する方法を示します。これは、特定のセキュリティキーモデルまたはパスキー (FIDO2) プロバイダーに対してのみパスキー (FIDO2) サインインを許可する条件付きアクセスポリシーです。 FIDO2 プロバイダーの一覧については、「 Microsoft Entra ID を使用した構成証明の対象となる FIDO2 セキュリティキー」を参照してください。

Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
Entra ID>認証方法>認証の強度にアクセスします。
[ 新しい認証強度] を選択します。
新しい認証強度の名前を指定します。
必要に応じて 、[説明] を指定します。
パスキー (FIDO2) を選択します。
必要に応じて、特定の AAGUID を制限する場合は、[詳細オプション]>[AAGUID の追加] を選択します。 AAGUID を入力し、[ 保存] を選択します。
[ 次へ ] を選択し、ポリシーの構成を確認します。