Microsoft 365 組織アカウントでのパスワードレス有効化を行ってみました

Microsoft 365 Microsoft Authenticator Password Less

Microsoft アカウントでパスワードレスを実現できるようになったという話が 2021 年 9 月に話題となっていますが、それに先立ち Microsoft 365 組織アカウントでもパスワードレスの流れがすでにできていることをご存じでしょうか?

実際にはパスワードレス「認証」なのでパスワードを全く持ってレスにするにはもう一段時間が必要なようですが、パスワードだけでの認証が行えないようにしておくだけでセキュリティ強度は格段に高まるため、設定されることをお薦めしたいと思います。

というわけで今回はパスワードレスの有効化を見ていきたいと思います。

まず Azure AD の設定画面に入りましょう。これは管理者での実施が必要です。

https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview

f:id:mohessu:20210924151731p:plain

最初は中段にあるユーザー設定を開きます。

右ペインにユーザー機能設定の管理というリンクがあるので、これをクリックしましょう。

f:id:mohessu:20210925010926p:plain

ユーザー機能のうち、中段にある「ユーザーは、統合されたセキュリティ情報登録エクスペリエンスを使用できます。」をすべてに変更しましょう。(一部ユーザーのみ実施する場合は選択済みでも構いません。)

f:id:mohessu:20210925010943p:plain

こんな感じですね。

f:id:mohessu:20210925010957p:plain

続いて最初のメニューに戻り、中段くらいにあるセキュリティを選択します。

f:id:mohessu:20210925002957p:plain

セキュリティに入ると左ペインが最初の画面と変わります。左ペインから認証方法を選択してください。

f:id:mohessu:20210925003032p:plain

認証方法にはいくつかの種類がありますが、今回は簡単に設定できる Microsoft Authenticator を選択しましょう。これでスマホに登録した Authenticator アプリを通じたサインインが可能となります。

f:id:mohessu:20210925003109p:plain

Tips にあるように、構成からパスワードレスを選択しておくと Microsoft Authenticator からの設定、プッシュにしておくと、 Microsoft 365 の右上の顔マークをクリックして遷移できるマイアカウントの「セキュリティ情報」からの設定となります。

初回はどうしてもパスワードが必要になるので、一つ前のページの認証方法から一時アクセスを有効にしておくと新規ユーザーの取り扱いが簡単になると思います。

f:id:mohessu:20210925003146p:plain

今回はスマホを利用した設定を行いたいので、ユーザーを追加し、構成を行っていきます。

f:id:mohessu:20210925004512p:plain構成は一番右側の三点リーダーの中に。実際の設定時はグループを間に挟んだほうが楽そうですね。

f:id:mohessu:20210925004527p:plain

ここでパスワードレスを選択します。

f:id:mohessu:20210925004542p:plain

設定は最後に完了を押してあげる必要があります。

f:id:mohessu:20210925004555p:plain

設定が終わると認証方法のページに戻るので、 Microsoft Authenticator の有効列がはいになったことを確認しましょう。

f:id:mohessu:20210925004651p:plain

後はスマホ側の設定となります。

スマホより Authenticator を開きましょう。

f:id:mohessu:20210925092128p:plain

起動するとロック画面になるので、ロックを解除します。

f:id:mohessu:20210925092236p:plain

今回のユーザーはすでに Microsoft Authenticator に登録済みだったので、選択するのみですが、通常はここでサインインしていく形となります。

f:id:mohessu:20210925092408p:plain

この時点ではメニューの中に「電話によるサインインを有効にする」があるので、これをクリックしましょう。

f:id:mohessu:20210925092531p:plain

電話でサインインするにはデバイスをテナントに登録することとパスコードの設定が必要となります。続行するとその先に進みます。

f:id:mohessu:20210925092724p:plain

最初はサインインからスタートです。

ユーザー名を確認して右上のコードを取得をクリックしましょう。

f:id:mohessu:20210925093042p:plain

すると ID に関連したコードが表示されるので、それをクリックします。

クリックするとコピーされるのでそのまま貼り付けに入れます。

クリックしたら右上の完了を押しましょう。

f:id:mohessu:20210925093155p:plain

ペーストして検証を押すとコードの確認が始まります。

f:id:mohessu:20210925093320p:plain

チェックが終わると本登録。
続行を押してデバイスをテナントに登録しましょう。

f:id:mohessu:20210925093403p:plain

これで操作は完了です。上部にパスワードレスが有効と書かれ、「電話によるサインインを無効にする」というメニューが出ていれば成功です。

f:id:mohessu:20210925093441p:plain

最後にサインインを行ってみましょう。

ログアウトした状態で以下アドレスにアクセスしてください。( private モードでのアクセスが簡単です。)

https://myaccount.microsoft.com/?ref=MeControl

f:id:mohessu:20210925004723p:plain

パスワードの入力が求められますが、下部に「代わりにアプリを使用する」が表示されています。これをクリックしましょう。

f:id:mohessu:20210925012338p:plain

するとサインインの承認画面が表示されます。
画面の指示通り Microsoft Authenticator アプリに入りここに表示された番号を押下します。するとパスワード入力なしにサインインが完了しました。

f:id:mohessu:20210925012502p:plain

この時点でマイアカウントのセキュリティ情報に遷移すると規定のサインインが Authenticator アプリまたはハードウェア トークン コードになっていると思います。 

f:id:mohessu:20210925004101p:plain

Microsoft Authenticator が方法として入っているこの状態になっていれば、パスワード認証時も Microsoft Authenticator に確認が入るため、パスワードを削除したときとほとんど同じようなセキュリティ強度になったかと思います。

https://mysignins.microsoft.com/security-info

f:id:mohessu:20210925004009p:plain

この Microsoft Authenticator アプリ、 1 テナントのみに設定できるという制約があるので須賀、パスワードレス認証はかなり利便性が高くなるため、ぜひ活用していきたいものです。組織管理者はぜひ検討をしてみてください!

音楽:風馬