LoginSignup
1
2

Microsoft Authenticator がパスキーをサポート!

Last updated at Posted at 2024-04-28

はじめに

先日ひっそりと Microsoft Authenticator がパスキーをサポートしたようなので、早速試してみました。

パスキーは Entra ID の認証強度では「フィッシング耐性がある MFA」という最も強い認証強度として分類されています。
これまで Microsoft Authenticator では Phone Signin というパスワードレスのサインイン利用出来ていましたが、それよりも一段強い認証強度でパスワードレスを利用できるようになりました。

前提条件

機能を試す前に下記が必要です。

  • iOS または Android の Microsoft Authenticator を最新に更新
  • Microsoft Entra の MFA 登録を行っておく
  • Android は 14 以上、iOS は 17 以上が必要

管理センターでの設定

Authenticator のパスキーをテストするために、管理者が事前に行っておく作業がいくつかあります。
細かい手順は前述のブログに書いているので割愛しますが、構成は少なくとも「セルフサービス設定を許可」は「はい」に設定し、「構成証明の適用」は「いいえ」に設定しておく必要があるので、その点だけ注意してください。
最初、「構成証明の適用」を「はい」にしたままテストしていて、セットアップが終わった後正常に認証が出来ない問題が発生しました。Learn によると将来的に対応する予定はあるようです。

image.png

Learn のページでは「キーの制限の適用」も「はい」に設定していたりしますが、ここは必須ではないので、必要に応じて設定を変更してください。パスキーのデバイスの種類 (AAGUID) を Microsoft Authenticator のみに制限したい場合は、現時点では直接 Microsoft Authenticator アプリの GUID を指定する必要があるようです。(今後 Learn の画像のようにチェックボックス一つで許可できるようになるとのこと)

ユーザーによるパスキー登録

管理者がパスキーの利用を許可した後、ユーザーは下記の手順でセットアップを行います。

  1. https://aka.ms/mysecurityinfo にアクセス (MFA が求められます)
     
  2. 「サインイン方法の追加」をクリックし、「Microsoft Authenticator のパスキー (プレビュー)」を選択
    image.png
      
  3. 自分が使用している OS を選択 (私は iPhone or iPad を選択します)
    image.png
     
  4. 下記のページで「続行」をクリック
    image.png
    上記手順に記載がある「パスキーが有効になっていることを確認します」という表現はちょっと分かりにくいと感じました。
    おそらく下記のように設定してほしいのだと思いますが、上記の表現では迷ってしまいますね。
     
     
  5. 下記のページで「次へ」をクリック
    image.png
    これもちょっと分かりにくので補足すると、上記で言う「QR コード スキャナー」とはデバイスのカメラ アプリなどを指しています。Microsoft Authenticator アプリの中で「QR コード スキャナー」を探さないようにご注意を・・。
     
  6. 下記ページで「理解しました」をクリック
    image.png
     
  7. 「iPhone、iPad、または Android デバイス」を選択して「次へ」
    image.png
     
  8. iPhone でカメラ アプリを起動して QR コードを読み込む
    image.png
      
  9. iPhone でこんな画面になるので Authenticator が選択された状態で「続ける」
    image.png
      
  10. 「OK」をクリック
    image.png
     
  11. 登録に適当な名前をつける
    image.png
     
  12. そうするとこんな感じで登録されたパスキーが表示されるようになります
    image.png

ユーザーによるパスキー利用

上記の登録が終わったら、下記のような手順で認証を行います。
ユーザー名やパスワードを指定していないので、パスワードレス サインインであることが確認できます。

  1. この認証画面が出てきたら、ユーザー名を入力したくなるのを我慢して「サインイン オプション」を選択します。
    image.png
     
  2. 「顔、指紋、PIN、またはセキュリティ キー」を選択します
    image.png
     
  3. 「別のデバイスを使用する」を選択し「次へ」をクリックします
    image.png
     
  4. 「iPhone、iPad、または Android デバイス」を選択して「次へ」をクリックします
    image.png

その後は、前述の「ユーザーによるパスキー登録」の手順 8. 9. のような QR コード読み取りと iPhone 上での許可を実施することでサインインが完了します。
サインインする度に iPhone でカメラを起動して QR コードを読み取る必要があるので、ユーザビリティは Phone Signin と比べるとかなり落ちる印象です。

終わりに

上記のような手順で Microsoft Authenticator のパスキーの動作をテストすることが出来ました。
パスキーの設定手順や、設定後の利用手順が結構分かりにくいなと感じましたが、使っているうちに慣れてくるのでしょうか・・。
現行 Entra ID で使用できる認証強度の中でも最も強い部類になるので、ユーザービリティとの兼ね合いを考えながら今後お客様に提案していきたいと思います。

1
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
2