認証は、アプリ、サービス、デバイス、またはネットワークへのアクセスを許可する前に、ユーザーの ID を検証するセキュリティ プロセスです。
Microsoft Entra ID でサポートされる認証方法
次の表では、認証方法をプライマリ認証 (第 1 要素)、Microsoft Entra多要素認証 (MFA)、セルフサービス パスワード リセット (SSPR)、またはアカウントの回復で使用できる場合の概要を示します。
| メソッド | プライマリ認証 | セカンダリ認証 | SSPR/アカウントの回復 |
|---|---|---|---|
| オーセンティケーター・ライト | いいえ | MFA | いいえ |
| 証明書ベースの認証 | イエス | MFA | いいえ |
| 電子メール OTP | いいえ | SSPR とサインイン2 | SSPR |
| 外部のMFA | いいえ | MFA | いいえ |
| ハードウェア OATH トークン (プレビュー) | いいえ | MFA | SSPR |
| Microsoft Authenticator のパスワードレス | イエス | いいえ | いいえ |
| Microsoft Authenticator プッシュ通知 | イエス | MFA | SSPR |
| Passkey (FIDO2) | イエス | MFA | いいえ |
| Microsoft Authenticator のパスキー | イエス | MFA | いいえ |
| パスワード | イエス | いいえ | いいえ |
| macOS のプラットフォーム資格情報 | イエス | MFA | いいえ |
| QRコード | イエス | いいえ | いいえ |
| SMS サインイン | イエス | MFA | SSPR |
| ソフトウェア OATH トークン | いいえ | MFA | SSPR |
| 同期されたパスキー | イエス | MFA | いいえ |
| 一時アクセス パス (TAP) | イエス | MFA | いいえ |
| 検証済み ID3 | いいえ | いいえ | アカウントの回復 |
| 音声通話 | いいえ | MFA | SSPR |
| Windows Hello for Business | イエス | MFA1 | いいえ |
1Windows Hello for Business は、ユーザーがパスキー (FIDO2) を有効にしていて、パスキーが登録されている場合に、ステップアップ MFA 資格情報として機能できます。
2セルフサービス パスワード リセット (SSPR) では、テナント メンバーに電子メール OTP を使用できます。 ゲスト ユーザーによるサインイン用に構成することもできます。
3検証済み ID は、従来の認証方法ではなく、ID 検証機能です。 アカウント回復の ID 証明を提供しますが、サインイン、MFA、または SSPR には使用できません。
フィッシングに強い認証方法
SMS、電子メール OTP、または認証アプリを使用した従来の MFA では、パスワードのみのシステムよりもセキュリティが大幅に向上しますが、これらのオプションでは、コードの入力、プッシュ通知の承認、認証アプリの使用など、ユーザーに追加の手順が必要な摩擦が生じます。 さらに、これらの MFA オプションは、リモート フィッシング攻撃を受けやすくなります。 リモート フィッシング攻撃では、攻撃者はソーシャル エンジニアリングと AI 駆動型ツールを使用して、ユーザーのデバイスに物理的にアクセスすることなく、パスワードやワンタイム コードなどの ID 資格情報を盗みます。
Microsoft では、Windows Hello for Business、パスキー (FIDO2)、FIDO2 セキュリティ キー、証明書ベースの認証 (CBA) などのフィッシングに強い認証方法を使用することをお勧めします。これは、最も安全なサインイン エクスペリエンスを提供するためです。
Microsoft Entra IDでは、次のフィッシングに対する耐性のある認証方法を使用できます。
- Windows Hello for Business
- macOS のプラットフォーム資格情報
- 同期されたパスキー (FIDO2)
- FIDO2 セキュリティキー
- Microsoft Authenticator のパスキー
- 証明書ベースの認証 (CBA)
検証済み ID ID の検証
検証済み ID は、従来の認証方法ではなく、Microsoft Entra IDでの ID 検証機能です。 サインイン、MFA、SSPR などの認証要件を満たすために使用することはできません。 代わりに、検証済み ID は、すべての認証方法が失われた場合のアカウントの回復など、信頼を再確立する必要があるシナリオに対して、ユーザーの検証済み ID の暗号化証明を提供します。
ID 検証プロファイルは、検証済み ID フローに参加できるユーザー、検証を実行するプロバイダー、および ID 要求の検証方法を制御します。 管理者は、Microsoft Entra 管理センターのアカウント回復セットアップ ウィザードを使用してプロファイルを構成します。[確認済み ID ポリシー] ページでは、プロファイルの割り当てとグローバル除外を表示できます。
詳細については、「 検証済み ID の ID 検証の概要」を参照してください。
高保証アカウントの復旧
アカウントの回復は、すべての資格情報を失い、アカウントにアクセスできなくなったユーザーを支援するプロセスです。 従来、ユーザーはヘルプ デスクに電話をかけ、質問に回答して本人確認を行い、ヘルプ デスクは資格情報をリセットします。 Microsoft Entra IDでは、高保証アカウントの回復のための生体認証照合による政府発行の ID 検証がサポートされるようになりました。ヘルプデスクの介入が不要になり、ソーシャル エンジニアリングのリスクが排除されます。
組織は、Microsoft Security Store を通じて、主要な ID 検証プロバイダー (IDV) から選択できます。 これらのパートナーは、192 の国/地域にわたるカバレッジと、運転免許証やパスポートを含む政府発行のほとんどの ID ドキュメントのリモート検証を提供しています。 Microsoft Entra Verified ID顔チェックは、Azure AI サービスを利用して、ユーザーのリアルタイムの自撮り写真を自分の ID ドキュメントから写真と照合することで、プレゼンスの証明を検証します。 一致結果のみが共有され、機密性の高い ID データは共有されません。これは、強力な ID 保証を提供しながら、ユーザーのプライバシーを維持します。