認証は、リソース、アプリケーション、サービス、デバイス、またはネットワークへのアクセスを許可する前に、ユーザーの ID を確認するプロセスです。 システムが、ユーザーがサインインする際に、自分が主張している本人であることを確認する方法です。
Microsoft Entra ID でサポートされる認証方法
次の表は、プライマリ認証 (第 1 要素)、Microsoft Entra 多要素認証 (MFA) によるセカンダリ認証、セルフサービス パスワード リセット (SSPR) に認証方法を使用できるタイミングの概要を示しています。
| メソッド | プライマリ認証 | セカンダリ認証 |
|---|---|---|
| Windows Hello for Business | イエス | MFA1 |
| macOS のプラットフォーム資格情報 | イエス | MFA |
| Passkey (FIDO2) | イエス | MFA |
| Microsoft Authenticator のパスキー | イエス | MFA |
| 同期されたパスキー | イエス | MFA |
| 証明書ベースの認証 | イエス | MFA |
| Microsoft Authenticator のパスワードレス | イエス | いいえ |
| Microsoft Authenticator プッシュ通知 | イエス | MFA と SSPR |
| オーセンティケーター・ライト | いいえ | MFA |
| ハードウェア OATH トークン (プレビュー) | いいえ | MFA と SSPR |
| ソフトウェア OATH トークン | いいえ | MFA と SSPR |
| 外部のMFA | いいえ | MFA |
| 一時アクセス パス (TAP) | イエス | MFA |
| ショート メッセージ サービス (SMS) サインイン | イエス | MFA と SSPR |
| 音声通話 | いいえ | MFA と SSPR |
| QRコード | イエス | いいえ |
| 電子メール OTP | いいえ | SSPR とサインイン2 |
| パスワード | イエス | いいえ |
1Windows Hello for Business は、ユーザーがパスキー (FIDO2) を有効にしていて、パスキーが登録されている場合に、ステップアップ MFA 資格情報として機能できます。
2セルフサービス パスワード リセット (SSPR) では、テナント メンバーに電子メール OTP を使用できます。 ゲスト ユーザーによるサインイン用に構成することもできます。
フィッシングに強い認証方法
従来の MFA と SMS、電子メール OTP、または認証アプリを使用すると、パスワードのみのシステムよりもセキュリティが大幅に向上しますが、これらのオプションでは、コードの入力、プッシュ通知の承認、認証アプリの使用など、ユーザーに追加の手順が必要な摩擦が生じます。 さらに、これらの MFA オプションは、リモート フィッシング攻撃を受けやすくなります。 リモート フィッシング攻撃では、攻撃者はソーシャル エンジニアリングと AI 駆動型ツールを使用して、ユーザーのデバイスに物理的にアクセスすることなく、パスワードやワンタイム コードなどの ID 資格情報を盗みます。
Microsoft では、Windows Hello for Business、パスキー (FIDO2)、FIDO2 セキュリティ キー、証明書ベースの認証 (CBA) などのフィッシングに強い認証方法を使用することをお勧めします。これは、最も安全なサインイン エクスペリエンスを提供するためです。
Microsoft Entra ID では、次のフィッシングに対する耐性のある認証方法を使用できます。
- Windows Hello for Business
- macOS のプラットフォーム資格情報
- 同期されたパスキー (FIDO2)
- FIDO2 セキュリティキー
- Microsoft Authenticator のパスキー
- 証明書ベースの認証 (CBA)
高保証アカウントの復旧
アカウントの回復は、すべての資格情報を失い、アカウントにアクセスできなくなったユーザーを支援するプロセスです。 従来、ユーザーはヘルプ デスクに電話をかけ、質問に回答して本人確認を行い、ヘルプ デスクは資格情報をリセットします。 Microsoft Entra ID では、高保証アカウントの回復のために、AI を利用した生体認証照合による政府発行の ID 検証がサポートされるようになりました。
組織は、 Microsoft セキュリティ ストア (Idemia、Lexis Nexis、Au10tix) を通じて、主要な ID 検証プロバイダー (IDV) から選択できます。 これらのパートナーは、192 の国/地域にわたるカバレッジと、運転免許証やパスポートを含む政府発行のほとんどの ID ドキュメントのリモート検証を提供しています。 Azure AI サービスを利用した Microsoft Entra Verified ID Face Check は、ユーザーのリアルタイムの自撮り写真を自分の ID ドキュメントから写真に照合することで、信頼の重要な層を追加します。 Face Check では、機密性の高い ID データではなく一致結果のみを共有することで、ユーザーのプライバシーが向上し、企業は ID を主張する人物が本人であることを確認できます。
この機能を有効にすると、ネイティブに統合されたエンド ツー エンド フローが提供され、ユーザーは自分のアカウントへのアクセスを安全に回復できます。 詳細については、「 Microsoft Entra ID アカウントの回復の概要」を参照してください。