2024年1月より、Microsoft Entra ID(旧称:Azure Active Directory / Azure AD)でコンピューターやモバイル端末に保存された「端末に紐づくパスキー」のプレビューがリリースされます。これにより、ユーザーはスマホ等の端末を使ってフィッシングに強い認証を行うことができるようになります。

「端末に紐づくパスキー」とは

パスキーは、パスワードを使わずにオンラインサービスの ID認証を安全で簡単にできる認証(FIDO認証)の資格情報です。端末によって生成される暗号化キーのペアで構成され、パスワードとは異なりフィッシング耐性があります。
端末に紐づくパスキーとは、認証に必要な資格情報を保存された端末(認証器)を利用した場合のパスキーを指します。
このプレビューリリースにあたり、既存の FIDO2 認証方法ポリシーとユーザーが体験する機能が拡張される予定です。

管理者設定

Entra 管理センターでは、認証方法ポリシーおよび条件付きアクセス認証強度ポリシー内で、「FIDO2 セキュリティキー」の名前が「パスキー (FIDO2)」に変更されます。

なお、特定のセキュリティキーモデルのみを許可する場合は、FIDO2 ポリシーにてキーの制限を実施する必要があるようです。キーの制限を実施しない場合は、新しいプレビュー機能により、Windows、macOS、iOS、Android に保存された端末に紐づくパスキーの登録が可能になるとのことです。
FIDO2 キー制限の詳細については、下記公開情報をご参照ください。

<公開情報>
パスワードなしのセキュリティ キー サインイン – Microsoft Entra ID | Microsoft Learn

サインイン方法の登録

セキュリティ情報ポータルでのサインイン方法の追加にて、コンピュータ、モバイルデバイス、またはセキュリティキーの端末に紐づくパスキーを登録するための「パスキー(プレビュー)」という新しい登録オプションがユーザーに表示されます。

ユーザーのサインイン

Windows Hello for Business および FIDO2 セキュリティキーの既存のサインインオプションは、「顔、指紋、PIN、またはセキュリティキー」に名称が変更されます。
「端末に紐づくパスキー」のサインインオプションは、セキュリティキー、コンピュータ、およびモバイルデバイスから提示されるパスキー認証情報を包括するために「パスキー」という用語が使用されます。

2023年12月現在ユーザーに表示されるテキスト:
「Windows Hello またはセキュリティ キーを使用してサインイン」

2024年1月にユーザーに表示されるテキスト:
「顔、指紋、PIN、またはセキュリティキー」
「パスキーでサインイン」

サイバー攻撃は、社会のデジタル化や国際情勢の変化に伴い、ますます拡大し、多様化しています。組織の管理者は、セキュリティのリスクを認識し、対策を強化する必要があります。
セキュリティ面の不明点・不安な点がありましたら、Livestyleのマネージド セキュリティデスク サービスのご利用をご検討ください。まずはお気軽にご相談いただければと思います。