[ME-ID] 物理の FIDO2 のみに制限したいのに 他の認証方法の登録が出来てしまう場合の対策

はじめに

Microsoft Entra ID (ME-ID) で、認証強度を構成し 物理のセキュリティキー (FIDO2) のみに制御（完全パスワードレス化）することが可能です。
構成の方法は、以下の記事で紹介しています。

本記事では、上記の構成をしたのに、利用者が 認証の方法を追加する際に、意図しない認証方法を登録できてしまう問題の解決方法について解説しています。

課題

以下のように FIDO2 を有効化して、Microsoft Authenticator や SMS、ハードウェアトークン は 無効化しています。

しかし、以下のように ユーザーが「セキュリティ情報」から、サインイン方法を追加しようとすると、以下のように 不要な選択肢が表示されてしまう場合があります。
（"セキュリティ情報" の URL）
https://mysignins.microsoft.com/security-info

上記の赤枠「＋サインイン方法の追加」を押した際に表示される画面

問題点
これでは、利用者が 表示された認証方法が利用できると勘違いし、登録してしまう可能性があります。
しかし、いざ認証しようとすると 以下の画面が表示されて サインインができません。
そのため 不要なユーザーサポートが必要になってしまいます。

ゴール
以下のように、認証に利用できる方法のみが、登録時の設定画面に表示されるようにすることで、根本解決できます。

原因

この事象が発生している原因は、２つ挙げられます。

• ① Microsoft Authenticator のパスキー に関する影響
• ② 新しい認証方法ポリシーの移行 に関する影響（← 2025年9月30日までの影響）

この２つの影響が重なり合っているため、理解が難しい状況になっています。
① だけを解消しても、② のせいで 意図した結果にならない場合がありました。
これは、ひとつひとつを理解して設定していけば、大丈夫です。

① Microsoft Authenticator のパスキー に関する影響

利用者には、物理の FIDO2 セキュリティキー しか使わせたくないのに、以下の選択肢が出てしまう場合があります。
（これを非表示にしたい）

（これだけを表示させたい）

上記の２つの設定は、以下の認証方法の設定で パスキー (FIDO2) を 有効（はい）にすることで表示されるようになります。

① の 解決策

以下の その１ または その２ の構成を行うことで、"Microsoft Authenticator のパスキー" の表示のみを抑制することが可能になります。

その１
以下の記事を参考に 特定製品の FIDO2 セキュリティキーのみを許可します。

このとき、以下の図の赤枠の Microsoft Authenticator に チェックを入れないようにしてください。

その２
特定製品には限定したくないが Microsoft Authenticator のパスキー を非表示にしたい場合は、パスキー (FIDO2) の設定で、構成タブ の設定 を 以下のように構成します。

Microsoft Authenticator にチェックをいれることで、緑枠２行の AAGUID が自動的に追加されます。
この２つの AAGUID が ブロック として構成することで、パスキーとしての Microsoft Authenticator が無効化され、その結果 登録時の選択肢 に表示されなくなります。

② 新しい認証方法ポリシーの移行 に関する影響

利用者には、物理の FIDO2 セキュリティキー しか使わせたくないのに、以下の選択肢が出てしまう場合があります。

こちらの問題は、以下の Support Blog で説明されている「新しい認証方法ポリシー」への移行と関係しています。

Support Blog：MFA と SSPR を新しい認証方法ポリシーに移行する方法
https://jpazureid.github.io/blog/azure-active-directory/how-to-authentication-methods-manage/

この移行状態が、移行前 や 移行が進行中 になっていると、レガシー MFA ポリシー と SSPR ポリシー で設定されている内容とマージされる仕組みになっており、影響があります。

② の 解決策

以下の その１ または その２ の構成を行うことで、不要な４種類（"Microsoft Authenticator" "ハードウェアトークン" "電話" "電子メール"）の表示を抑制することが可能になります。

その１
「移行が完了済み」まで移行が進むと、レガシーな MFA や SSPR を無効化されるため、新しい認証ポリシー で有効化した設定のみに表示が抑制されます（2025 年 9 月 30 日 以降は、強制的に この状態になるようです）

その２
「移行前」や「移行が進行中」の場合でも、レガシー側の設定と、新しい認証ポリシー側の両方で 無効化 することで、表示の抑制をすることも可能です。

つまり、新しい認証ポリシー だけで無効化しても、表示を抑制できなかった理由は、レガシー側が有効になっていて、これとマージされていることが原因になっていました。

この原因を特定する際に、以下の投稿が参考になりました。
https://techcommunity.microsoft.com/discussions/microsoft-entra/mfa-with-fido2-without-mobile-phone-no-sms-or-ms-authenticator/4049598

まとめ

• 「移行前」「移行が進行中」では、レガシーポリシーと 新しい認証方法ポリシー で同じ色の枠のうち、１つでも ON であれば、「サインイン方法の追加」の欄に設定が表示されます。
• 「移行が完了済み」であれば、新しい認証方法ポリシーの設定のみが、「サインイン方法の追加」の欄に反映されます。
• パスキー (FIDO2) が ON であれば、赤枠の２つの設定が表示されるようになりますが、キーの制限によって、ピンク枠の設定を非表示にできます。

ある程度の組み合わせは、私の検証で確認していますが、全パターンのチェックまではできていません。
以下の Support Blog の表の説明を踏まえて、上記の図に反映しています。

Support Blog の表

★上記の図は、以下の Support Blog より、抜粋しています。

さいごに

今年は、集中的に パスワードレス や FIDO2 に関する記事を投稿しています。
以下に、ストックリスト を公開していますので、併せて 参照してみてください。