Microsoft アカウントでパスワードレスを実現できるようになったという話が 2021 年 9 月に話題となっていますが、それに先立ち Microsoft 365 組織アカウントでもパスワードレスの流れがすでにできていることをご存じでしょうか?
実際にはパスワードレス「認証」なのでパスワードを全く持ってレスにするにはもう一段時間が必要なようですが、パスワードだけでの認証が行えないようにしておくだけでセキュリティ強度は格段に高まるため、設定されることをお薦めしたいと思います。
というわけで今回はパスワードレスの有効化を見ていきたいと思います。
まず Azure AD の設定画面に入りましょう。これは管理者での実施が必要です。
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview
最初は中段にあるユーザー設定を開きます。
右ペインにユーザー機能設定の管理というリンクがあるので、これをクリックしましょう。
ユーザー機能のうち、中段にある「ユーザーは、統合されたセキュリティ情報登録エクスペリエンスを使用できます。」をすべてに変更しましょう。(一部ユーザーのみ実施する場合は選択済みでも構いません。)
こんな感じですね。
続いて最初のメニューに戻り、中段くらいにあるセキュリティを選択します。
セキュリティに入ると左ペインが最初の画面と変わります。左ペインから認証方法を選択してください。
認証方法にはいくつかの種類がありますが、今回は簡単に設定できる Microsoft Authenticator を選択しましょう。これでスマホに登録した Authenticator アプリを通じたサインインが可能となります。
Tips にあるように、構成からパスワードレスを選択しておくと Microsoft Authenticator からの設定、プッシュにしておくと、 Microsoft 365 の右上の顔マークをクリックして遷移できるマイアカウントの「セキュリティ情報」からの設定となります。
初回はどうしてもパスワードが必要になるので、一つ前のページの認証方法から一時アクセスを有効にしておくと新規ユーザーの取り扱いが簡単になると思います。
今回はスマホを利用した設定を行いたいので、ユーザーを追加し、構成を行っていきます。
構成は一番右側の三点リーダーの中に。実際の設定時はグループを間に挟んだほうが楽そうですね。
ここでパスワードレスを選択します。
設定は最後に完了を押してあげる必要があります。
設定が終わると認証方法のページに戻るので、 Microsoft Authenticator の有効列がはいになったことを確認しましょう。
後はスマホ側の設定となります。
スマホより Authenticator を開きましょう。
起動するとロック画面になるので、ロックを解除します。
今回のユーザーはすでに Microsoft Authenticator に登録済みだったので、選択するのみですが、通常はここでサインインしていく形となります。
この時点ではメニューの中に「電話によるサインインを有効にする」があるので、これをクリックしましょう。
電話でサインインするにはデバイスをテナントに登録することとパスコードの設定が必要となります。続行するとその先に進みます。
最初はサインインからスタートです。
ユーザー名を確認して右上のコードを取得をクリックしましょう。
すると ID に関連したコードが表示されるので、それをクリックします。
クリックするとコピーされるのでそのまま貼り付けに入れます。
クリックしたら右上の完了を押しましょう。
ペーストして検証を押すとコードの確認が始まります。
チェックが終わると本登録。
続行を押してデバイスをテナントに登録しましょう。
これで操作は完了です。上部にパスワードレスが有効と書かれ、「電話によるサインインを無効にする」というメニューが出ていれば成功です。
最後にサインインを行ってみましょう。
ログアウトした状態で以下アドレスにアクセスしてください。( private モードでのアクセスが簡単です。)
https://myaccount.microsoft.com/?ref=MeControl
パスワードの入力が求められますが、下部に「代わりにアプリを使用する」が表示されています。これをクリックしましょう。
するとサインインの承認画面が表示されます。
画面の指示通り Microsoft Authenticator アプリに入りここに表示された番号を押下します。するとパスワード入力なしにサインインが完了しました。
この時点でマイアカウントのセキュリティ情報に遷移すると規定のサインインが Authenticator アプリまたはハードウェア トークン コードになっていると思います。
Microsoft Authenticator が方法として入っているこの状態になっていれば、パスワード認証時も Microsoft Authenticator に確認が入るため、パスワードを削除したときとほとんど同じようなセキュリティ強度になったかと思います。
https://mysignins.microsoft.com/security-info
この Microsoft Authenticator アプリ、 1 テナントのみに設定できるという制約があるので須賀、パスワードレス認証はかなり利便性が高くなるため、ぜひ活用していきたいものです。組織管理者はぜひ検討をしてみてください!
音楽:風馬