Microsoft 365 (Entra ID) パスワードレスサインイン
- 498
はじめに
Microsoft 365 クラウドサービス、またその基盤に連携させるアプリケーションではパスワードレスサインインが利用できます。
パスワードを入力する機会を減らすことで、パスワードが漏洩するリスクも低減します。
セキュリティが向上し、かつユーザーの利便性も向上する方法です。
ただし、そのためには今まで以上の本人確認の強化が必要です。
本人の持ち物であり、本人が操作することを前提にスマートフォン (以下、スマホ) の認証アプリ「Microsoft Authenticator」を使うことでそれを実現します。
利用場面
役に立つ場面
具体的に次のような場面でパスワードレスサインインを利用することができます。
- スマホの Teams アプリでの組織アカウントでのサインイン。
- 組織が管理しない Windows デバイスからの VDI (Horizon) の起動のサインイン。
- デバイスプロビジョニング Web システムなどの任意のブラウザで利用できるアプリケーションのサインイン。
- Cablechan Storage などの任意のブラウザで利用できるアプリケーションのサインイン。
利用できない場面
逆に、パスワードレスサインインをセットアップしても、その機能を使わない、使えない場面があります。
- Windows のサインイン。
- 組織が管理、制御し、SSO (シングル・サイン・オン) が機能するデバイス (VDI など) でのユーザー認証。
事前準備
※ すでにインストール済みの場合は次の操作『セットアップ』へ進んでください。
スマホアプリ「Microsoft Authenticator」をインストールしてください。
iPhone などの iOS の場合は「App Store」で、Android の場合は「Google Play」で「Microsoft Authenticator」を検索してください。
または、次の QR コードをスマホで読み取ってください。
セットアップ
※ すでに組織アカウントセットアップ済みの場合は
次の操作『パスワードレスサインインの設定』へ進んでください。
システム室への連絡
一時アクセスパスの発行の依頼を行うために、システム室へご連絡ください。
電話番号:0776-20-3660
一旦お電話をお切りいただき、一時アクセスパスの通知メールが送付されてくるのをお待ちください。
ご申告いただいたメールアドレス宛に、一時アクセスパスの通知メールがきているかを確認します。
スマホの操作
Microsoft Authenticator を起動します。
| スマホ画面 | 操作説明 |
|---|---|
 |
「+」をタップします。 |
 |
「職場または学校アカウント」をタップします。 |
 |
「サインイン」をタップします。 |
 |
「別のアカウントを使用する」をタップします。 ※アカウントを複数お持ちのユーザーの方のみ左記画面が表示されます。 |
 |
・ユーザーアカウントをメールアドレス形式で入力します。 ※「メールアドレス形式」であって、メール送受信で使用するメールアドレスではありません。 普段使用しているアカウント (例: fctv-user) に次のドメインを 付与したものです。 ・ 組織ユーザーの場合の例: fctv-user@cablechan.biz ・ 取引先ユーザーの場合の例: fctv-user@cable.fukui.jp ・ユーザーアカウント入力後は、「次へ」をタップします。 |
 |
「一時アクセスパス」を入力し、「サインイン」をタップします。 ※一時アクセスパス:セットアップを行うために、システム室より発行する30分間だけ有効な一時パスワード |
 |
「続行」をタップします。 |
 |
「登録」をタップします。 この操作により組織がデバイスの情報を取得する、また管理や制御をすることはありません。 |
 |
セットアップが完了するまで待ちます。 |
 |
「登録」をタップします。 |
 |
セットアップが完了するまで待ちます。 |
 |
「完了」をタップします。 |
 |
左記画面になっていれば、セットアップ、パスワードレス認証の設定完了です。 |
パスワードレス認証の設定も含んで、Microsoft Authenticator のセットアップが完了しました。
『パスワードレスサインインの試験』へ進んでいただき、パスワードレスサインインの
動作確認を実施してください。
パスワードレスサインインの設定
本ユーザーガイド記事の本題になります。
組織アカウントでのセットアップが完了している Microsoft Authenticator アプリを起動します。
| スマホ画面 | 操作説明 |
|---|---|
 |
登録された認証アイテムをタップします。 |
 |
「パスワードレス サインインの要求の設定」 をタップします。 |
 |
パスワードを入力します。 |
 |
パスワード入力後にプッシュ通知が発生します。 通知をタップします。 |
 |
先の画面で表示されていた数字 2桁を入力します。 |
 |
セットアップを進めていきます。 この画面では「続行」をタップします。 |
 |
デバイスの登録をします。 この操作により組織がデバイスの情報を取得する、また管理や制御をすることはありません。 |
 |
ここでも「登録」をタップします。 |
 |
この画面では「完了」をタップします。 |
 |
これで完了です。 |
これで、スマホの「Microsoft Authenticator」アプリによる、パスワードレス・サインインのセットアップが完了です。
パスワードレスサインインの試験
パスワードレス認証を体験するための試験サイトを利用します。
https://pwdless-fctv.msappproxy.net/pwdless/
パスワードレス認証がセットアップされていない場合は、次のような画面になります。
パスワードレス認証がセットアップされ、パスワードレス認証の操作が成功した場合は次のような画面に遷移します。
このサイトの「ご注意」にも記載していますが、前回のサインインがパスワード入力だった場合には、本サイトでのサインインでもパスワード入力を求められることがあります。
この場合は「代わりにアプリを使用する」を選択しいただくと、パスワードレス認証の操作開始となります。
補足: パスワードの変更
次の場合はパスワードを忘れてしまって問題ありません。
- (A) 組織が管理する PC (Windows) にログインすることがない。
むしろ忘れないようにメモに記録するなどをすると、パスワードレスサインインによるパスワードを使わないことで漏洩のリスクを低減しているにもかかわらず、新たにパスワード漏洩のリスクを増やしてしまうことになります。
ただし、パスワードの 3か月ごとの変更のポリシーは維持されていますので、期限が近づいた案内メールを受信した場合は、それに従ってください。この場は、パスワードを失念した場合の手順で「パスワードリセット」を実施してください。
[EOF]