Azure の認証方法について説明する

  • 6 分

認証では、資格情報を要求することで、個人、サービス、またはデバイスの ID が確立されます。 Azure では、一般的な方法として、パスワード、シングル サインオン (SSO)、多要素認証 (MFA)、パスワードレス サインインなどがあります。 最新のアプローチは、セキュリティとユーザーの利便性の両方を向上させるために設計されています。

次の図は、利便性と比較したセキュリティ レベルを示しています。 パスワードレス認証はセキュリティが高く、利便性が高い一方で、パスワード自体はセキュリティが低いものの利便性が高いことに注目してください。

パスワードのみ、多要素認証、パスワードレスの各方法をセキュリティと利便性を比較した図。両方のスケールで最も高いパスワードレス スコア。

シングル サインオンとは

シングル サインオン (SSO) を使用すると、ユーザーは 1 回サインインし、複数の信頼されたアプリケーションにアクセスできます。 SSO を使用すると、パスワードのスプロールが減少し、資格情報関連のインシデントが発生する可能性が低くなり、アカウントのロックアウトとリセットのオーバーヘッドが減少します。

運用の観点からは、SSO によってライフサイクル管理も簡略化されます。 アクセスは 1 つの ID に関連付けられ、ロールが変更されたときにアクセスの更新や削除が容易になります。

重要

以降の接続はすべて初期認証子のセキュリティに基づくため、シングル サインオンの安全性は初期認証子と同程度となります。

多要素認証とは何ですか?

多要素認証 (MFA) では、サインイン時にユーザーに追加要素の入力を求めるメッセージが表示されるため、侵害されたパスワードだけではアクセスできません。 これらの要因は、次の 3 つのカテゴリに分類されます。

  • ユーザーが知っていること (パスワードまたはチャレンジの質問)。
  • ユーザーが持っているもの - 携帯電話に送信されたコード。
  • ユーザーの特性 — 指紋や顔のスキャンなどの生体的なシグナル。

MFA を有効にすると、パスワードを取得する攻撃者は、サインインを完了するために、電話のプロンプトや生体認証信号などの 2 番目の要素を引き続き必要とします。

Microsoft Entra 多要素認証とは何ですか?

Microsoft Entra 多要素認証は、多要素認証機能を提供する Microsoft サービスです。 Microsoft Entra 多要素認証では、ユーザーは、サインイン時に電話のコールやモバイル アプリ通知などの追加の認証形式を選択できます。

パスワードレス認証とは

MFA によってセキュリティが追加されますが、パスワード自体は引き続き使いやすさとリスクの課題です。 パスワードレスメソッドは、パスワードを完全に排除し、信頼できるデバイスと生体認証信号または PIN に置き換えます。

最初の登録後、ユーザーはパスワードを入力する代わりに、PIN や指紋など、知っている、または知っている要素を使用してサインインします。

Microsoft Entra ID では、次の 3 つのパスワードレス オプションがサポートされています。

  • Windows Hello for Business
  • Microsoft Authenticator アプリ
  • FIDO2 セキュリティキー

Windows Hello for Business、Microsoft Authenticator、および FIDO2 セキュリティ キーの 3 つのカード比較。それぞれの認証の種類、フォーム ファクター、最適なシナリオが示されています。

Windows Hello for Business

Windows Hello for Business は、指定された自分用の Windows PC を持っているインフォメーション ワーカーに最適です。 生体認証や PIN 資格情報はユーザーの PC に直接関連付けられるため、所有者以外のユーザーからのアクセスが防止されます。 公開キー 基盤 (PKI) の統合とシングル サインオン (SSO) の組み込みサポートにより、Windows Hello for Business は、オンプレミスとクラウドの作業リソースにシームレスにアクセスするための便利な方法を提供します。

Microsoft Authenticator アプリ

Microsoft Authenticator アプリは、パスワードなしの資格情報として機能し、iOS または Android フォンを強力なサインイン要素に変換することもできます。

サインインするには、ユーザーは電話で通知を受け取り、画面に表示される番号と一致し、生体認証信号 (タッチまたは顔) または PIN で確認します。 パスワードは必要ありません。

FIDO2 セキュリティキー

FIDO2 は、Web 認証 (WebAuthn) 仕様に基づいて構築されたパスワードレス認証のオープン標準です。 FIDO2 セキュリティ キーは、ユーザー名やパスワードなしで認証を処理する、通常は USB ですが、Bluetoothまたは NFC でも使用できる、読み取り不可能なハードウェア デバイスです。

ユーザーが FIDO2 キーを登録し、サインイン画面でプライマリ認証方法として選択します。 ハードウェア デバイスは認証を処理するため、公開または推測できるパスワードはありません。