はじめに
本記事は、以下のイベント (YonaYona Entra ID Night) で発表された3つの認証方式の違いをまとめたものです。
以下3名の記事で扱っている Entra ID 認証方式の違いを、同一観点で整理した比較表です。
横軸を認証方法、縦軸を比較観点としてまとめています。
-
オリビアさん: QRコード認証
(Qiita記事)https://qiita.com/Olivia_0707/items/3fab395c730ee1d0fcf1
(スライド)https://speakerdeck.com/olivia_0707/20260430-yonayona-entra-id-night-entra-id-no-qr-kodoren-zheng-tutehe-desuka
-
Shokolateさん: デバイス認証(CBA)
(Qiita記事)https://qiita.com/shokolate/items/05d56955caf0d56d7bf9
(スライド)https://www.docswell.com/s/shoko4kata/KY8ENE-2026-04-30-210021
-
私の記事: パスキー認証 (FIDO2)
(Qiita記事)https://qiita.com/carol0226/stocks/3670cb8678daed11b191
(スライド)https://www.docswell.com/s/carol0226/KL3JX8-yonayona-Entra-ID-Night
比較表
注)Shokolate さんは、発表時に プラットフォームベース / Hybrid Join / Intune 準拠 / CBA を説明されていますが、以下の表では、CBA を取り出して比較しています。
★プラットフォームベース / Hybrid Join / Intune 準拠 は、条件付きアクセスで、QRコード認証、CBA、パスキー と組み合わせて AND 条件で より厳しく制御が可能です。
| 観点 | QRコード認証(オリビアさん) | 証明書ベース認証 CBA(Shokolateさん) | デバイスバインドパスキー(carol0226) | 同期パスキー(carol0226) |
|---|---|---|---|---|
| 構築難易度 | 低 テナント有効化、対象グループ設定、ユーザーごとのQR/PIN配布で開始しやすい |
高 ADCSや証明書配布、ルートCA登録、認証強度・条件付きアクセス設計など前提が多い |
中~高 登録デバイスの固定化・管理が必須 |
中 機能有効化、プロファイル設計、ターゲット割当など運用設計が必要 |
| 利用できる認証器 | 主に紙やカードに印刷された QRコード + PIN | デバイス スマートカード(PIV/CAC) YubiKey(PIV)などに保存された証明書 |
Windows Hello for Business、FIDO2 セキュリティキー、Authenticator のパスキー など、登録デバイスにのみ保存 | iCloud Keychain、1Password、Roboform など 3rd Party のパスキー対応サービス |
| セキュリティ強度 | 低〜中 単一要素前提のため、条件付きアクセスなど併用が前提 |
高 証明書ベースMFAとして構成可能で、組織管理の強い統制が可能 |
高 登録デバイス上でのみ存在 |
中~高 フィッシング耐性は高いが、同期基盤のセキュリティに依存 |
| Windows サインイン | ✕ | 〇 Win10/11 Entra Join / Hybrid Join 必須 |
〇 Win11 22H2以降 Entra Join / Hybrid Join 必須 (Authenticator のパスキーでは ✕) |
✕ |
| ブラウザ認証 | 〇 | 〇 | 〇 | 〇 |
| スマホアプリ認証 | 〇 | △ WebView経由 |
〇 WHfB は ✕ |
△ WebView経由 |
| 主な注意点 | QR紛失時の再発行、有効期限管理(最大395日)、条件付きアクセス(場所やデバイス)との組み合わせを推奨 | 証明書ライフサイクル管理(発行・配布・失効)と運用設計の負荷が高い | デバイス紛失・変更時の再登録が必須。管理者向けの推奨方式 | デバイス紛失時の復旧が同期基盤依存 |
注釈
本比較は各記事の検証時点・記載内容を基にしています。
Entraは機能更新が速いため、実運用時は最新のMicrosoft Learnで要件再確認を推奨します。
使い分けの目安(要約)
- 現場でとにかく早く展開したい: QRコード認証
- 強固な統制を重視したい: CBA
- 利便性と耐フィッシングのバランスを取りたい: パスキー
さいごに
4方式は「どれが最強か」よりも、利用者層・運用体制・端末管理方式に応じた選定が重要です。
特に、セキュリティ強度と運用負荷のトレードオフを先に合意しておくと、導入後のギャップを減らせます。