Azure ADとMicrosoftアカウントのパスワードレス認証

Azure ADとMicrosoftアカウントは異なるサービスなので、サポートする認証機能も違います。

本記事では、Azure ADとMicrosoftアカウントにおけるパスワードレス認証関連の違いをまとめておきます。

パスワードレス認証

Azure ADとMicrosoftアカウントのどちらも、基本的には同じパスワードレス認証方法をサポートしますが、違いもあります。

Azure ADでのパスワードレス認証

※テナントの管理者が認証方法を設定できるので、環境により使える認証方法は異なります。

Microsoft Security のページに、Azure ADにおけるパスワードレス認証の方法が3つ挙げられています。

• Windows Hello
  WindowsデバイスのWindows Hello機能

• Authenticator (Phone Sign-in)
  スマホのAuthenticatorアプリ (電話によるサインイン)

• FIDO2 security key
  FIDO2対応のデバイス (USB、BlueTooth、NFC)

learn.microsoft.com のページでは、他にもパスワードレス認証の方法が書かれています。

• Authenticator Lite (後述)
  iOS または Android デバイスの Outlook アプリ内の機能

• 証明書ベースの認証 (後述)
  クライアント証明書

Authenticator Lite は新機能

米国の2023年5月26日に、Outlookに組み込まれたAuthenticator的な機能である Authenticator Lite がGAリリースされたようです。

iOS または Android デバイスの Outlook アプリの一部として、Authenticator的な機能を使うことができます。

• Announcing General Availability of Authenticator Lite (in Outlook)

4月にパブリックプレビューとなっていた機能が正式化されたということです。

• パブリック プレビュー Authenticator Lite (Outlook)

証明書ベースの認証も新機能

上記の表ではプレビューでしたが、Certificate-Based Authentication (CBA) の方も米国の2023年5月4日にGAとなっていますね。

Azure AD Certificate-Based Authentication (CBA) on Mobile now Generally Available!

We support both on-device certificates and external hardware security keys, like YubiKeys over USB or NFC on iOS and Android devices.

(補足) Azure ADのパスワードレス認証には、認証方法ポリシーの設定が必要

補足として、Azure ADでパスワードレス認証を使用するためには、認証方法ポリシーの設定が必要です。

認証方法ポリシーは、パスワードレス認証のような最新の方法を含む、認証方法を管理するための推奨方法です。
　
出典：Azure AD の認証方法を管理する

認証方法ポリシーには、FIDO2 セキュリティ キー、一時アクセス パス、Azure AD 証明書ベースの認証など、レガシ ポリシーで使用できないその他の方法があります。
　
出典：MFA と SSPR のポリシー設定を Azure AD の認証方法ポリシーに移行する方法

Microsoftアカウントでのパスワードレス認証

Microsoftアカウントの場合は、以下3つのパスワードレス認証方法があります。

• Microsoft Authenticator アプリ
  Authenticator (Phone Sign-in)

• Windows Hello
  WindowsデバイスのWindows Hello機能

• 物理セキュリティ キー ※FIDO2 security keyと同等
  FIDO2対応のデバイス (USB、BlueTooth、NFC)

Azure ADと異なり、Authenticator Liteや証明書ベースの認証はありませんが、それ以外は基本的に同じです。

セキュリティキーがFIDO2のことを指している明確な記載が見当たりませんが、FIDO2対応セキュリティキーということで良いと思います (参考：Windows Hello またはセキュリティ キーで Microsoft アカウントにサインインする)。

具体的な設定等については、以下の記事にまとめてあります。

Authenticator アプリを使用した方法は少し操作手順が違う

MicrosoftアカウントでAuthenticatorアプリを使用したパスワードレス認証を行う場合、サインイン画面に表示された番号と同じものを、Authenticatorアプリ上に表示される3つの選択肢の中から選ぶ操作です。

Azure ADの場合の “数値の一致” は、上記のような選択でなく、2桁の数値を手入力するので、少し異なります。

パスワードレスアカウント (パスワード削除)

Azure ADでのパスワードレスアカウント

Azure ADではユーザアカウントのパスワード削除には未対応のようです。どこかに最新情報があるか探しましたが見当たりませんでした。

開発は進めていると思うのですが。

Azure AD アカウントのパスワードをなくすための開発も間もなく開始します。
　
出典：Microsoft アカウントにおけるパスワード削除機能のご紹介

ただ、規模の大きな企業やその他組織内で完全なパスワードレス認証化にたどり着くまでは、環境整備やITリテラシー教育等、相当な労力が要りそうです。

Microsoftアカウントでのパスワードレスアカウント

Microsoftアカウントでは、パスワードレスアカウント設定が可能です。

以下の記事にまとめてあります。

参考

パスキー対応

機会があれば、パスキー対応についても別記事にまとめてみたいと思います。

現在、Windows Hello を利用することでパスキーをサポートするサイトにサインインが可能です。近い将来、Apple や Google のデバイス上からパスキーを使用して Microsoft アカウントにサインインできるようになります。
　
出典：FIDO 標準の拡張と Microsoft のパスワードレス ソリューションへの新たなアップデート

試していたところ、サインイン時のUI的には、既にiOSのパスキーでMicrosoftアカウントにサインインできているっぽいのですが(以下の記事の後半)。

まとめ

本記事では、Azure ADとMicrosoftアカウントにおけるパスワードレス認証関連の違いをまとめてみました。

余談ですが、基本的にMicrosoftのサービスの仕様は、用語やそれらの相関関係が分かりづらいです。