はじめに

2021/3/2に正式実装された、Azure AD（以下、AAD） の Microsoft Authenticator を使用したパスワードレス認証について検証してみました。

弊社の場合

• 弊社はIdPとしてAADを使用していますが、一部レアケース運用をしています。
• PCは9割5分がWindows、残りがMacユーザーです。
• 従業員のAADアカウントには管理権は付与していません。

弊社のAAD運用方法

1. 社員にAADアカウントの パスワード は公開しない　← レアケース
2. 入社時にBYOD^[1]にMicrosoft Authenticatorをインストールしてもらい、MFAの設定をしてもらう
3. PCへのログインはPIN or 顔認証
4. 「Windows 10 Accounts」というChrome拡張機能でWindowsのログイン情報が引き継がれるため、Chrome使用中もログインは維持される

検証のきっかけ

弊社のこれまでの運用上、ほぼほぼ Microsoft Authenticator を使用することはなかったのですが、管理者側でキッティング時とかのアカウント設定や、従業員が使用中になんらかパスワードを求められた際の対応が楽にならないかなと思ったのがきっかけです。

参考記事

設定・検証にあたり、下記記事を見ながら触ってみました。
https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/howto-authentication-passwordless-deployment

https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/howto-authentication-passwordless-phone

https://note.com/yasuym1/n/n2fef7599e6f7

前提条件

ざっくり、MFAが使えてAuthenticatorアプリを使用しているデバイスが登録されてれば概ねOKといったイメージです。

前提条件	Authenticatorアプリ	FIDO2 セキュリティキー
Azure AD Multi-Factor Authentication と SSPR[2] の統合された登録が有効になっている	✓	✓
ユーザーが Azure AD Multi-Factor Authentication を実行できる	✓	✓
ユーザーが Azure AD Multi-Factor Authentication と SSPR の登録をしている	✓	✓
ユーザーがモバイル デバイスを Azure Active Directory に登録している	✓	-
Microsoft Edge や Mozilla Firefox などのサポートされているブラウザーを使用している（Windows 10 バージョン 1809 以降）	-	✓
Microsoft でテストおよび検証済みの FIDO2 セキュリティ デバイスまたは他の互換性のある FIDO2 セキュリティ デバイスを確実に使用します。	-	✓

設定手順

1. 管理者側でパスワードレス認証を有効化する

1. Azure Portal から [Azure Active Directory] をクリックする
   

2. [セキュリティ] をクリックする
   

3. [認証方法] をクリックする
   

4. [Microsoft Authenticator] をクリックする
   

5. すべてのユーザー or 特定のユーザー/グループ を追加する
   

6. [...] > [構成] をクリックし、認証モードと数値の一致が必要かどうかを設定する
   

認証モード

1. すべて　　　　：パスワードレス認証とプッシュ通知両方を使用可能
2. パスワードレス：パスワードレス認証のみにする
   （※後述の「セキュリティ情報」ページからの設定ができなくなります）
3. プッシュ　　　：プッシュ通知認証のみにする

数値の一致

画面に表示されている数値とプッシュ通知の同じ数値をタップさせるかどうか

7. 有効にする欄で [はい] を選択し、[保存] をクリックする
   

2. ブラウザ側の設定を行う (2段階認証の設定)

1. PCのブラウザで、AADの マイプロファイル画面 を開く

2. 左側メニューの [セキュリティ情報] > [方法の追加] をクリックする
   

3. プルダウンで [認証アプリ] を選択し、[追加] をクリックする
   

4. [次へ] をクリックする
   

5. [次へ] をクリックする
   

3. アプリ側の設定を行う

1. スマホに 「Microsoft Authenticator」 をインストールする
   

Android

Playストア

iOS

App Store

2. インストールしたアプリを起動する

3. 左側のメニューアイコン [≡] > [設定] をタップする
   

4. [デバイスの登録] をタップする
   

5. 対象ユーザーのメールアドレスを入力し、[デバイスの登録] をタップする
   

6. 対象ユーザーのID/PWを入力してログインする
   

7. アプリのトップに戻るとアカウントが追加されているのでタップする
   

8. [2段階認証のセットアップ] をタップする
   

4. 続・ブラウザ側の設定を行う

1. PCで表示させたQRコードを読み取り、ブラウザ側で [次へ] をクリックする
   

2. アプリ側にプッシュ通知が届くので [承認] をタップする
   

3. アプリロックの設定をしている場合、Authenticatorアプリでロック解除を行う

4. [次へ] をクリックする
   

5. [規定のサインイン方法を設定します] をクリックする
   

6. プルダウンから [Microsoft Authenticator -通知] を選択して [確認] をクリックする

5. 続・アプリ側の設定 （パスワードレス認証の有効化）

1. アプリを開き、対象ユーザーをタップする
   

2. [電話によるサインインを有効にする] をタップする
   

3. [続行] をタップする
   

検証して気づいたこと

1. 初回のAuthenticatorアプリの設定時に、対象ユーザーのパスワードレス認証が有効になっていない場合、セキュリティ情報に 認証アプリ として登録される

2. 認証アプリ として登録されている場合、そもそもアプリ側に 電話によるサインインを有効にする が表示されない

3. パスワードレス認証を設定しているアカウントを Microsoft Authenticator から削除すると、自動的にAADデバイスの登録が削除される

4. 設定の1-6で [構成] をパスワードレスに設定した時の有効化手順は別途確認が必要。上述の手順では設定できず、「アプリ内の登録を使用する必要がある」とのこと

結論

弊社ではパスワードレス認証は見送りました。
理由としては3点あります。

1. 現状では条件付きアクセスなどの整備が未完了であり、少なくともAAD・Intuneでのデバイストラスト周りが完全になるまではユーザー自身でブラウザログインとかが可能になってしまうため
2. そもそもAADのパスワードを教えていないので、従業員自身でAuthenticatorのデバイス登録等ができないため
3. 2を解決するためには、AADのパスワードを教える or 一時アクセスパスを全員分発行しないといけず、手間が多すぎるため

---

弊社のテナント環境ではこんな感じでしたが、他の環境だともっとスムーズに行く可能性もあります。
パスワードレス認証にしたら確実にログイン関連が楽になるので、運用可能な方は設定することをオススメします。

おまけ

どうやらAAD Joinするときにもパスワードレス認証は有効なようです。但し、Windowsそのものへのログインには使えない模様。

※　弊社ではユーザーに管理権を与えていないため、ローカル管理者アカウントから [設定] > [アカウント] > [職場または学校にアクセスする] からAAD Joinしています。

WindowsだとあんまりAAD Join時のパスワードレス認証は使い道なさそうかも。2台目を貸与する時くらいでしょうか。。

なお、一時アクセスパス はAAD Join時もWindowsへのログイン時にも使えませんでした。
かなしいけど、これ仕様なのよね。

脚注

1. Bring Your Own Device： 従業員個人が所有しているスマートフォンやタブレット、ノートPCといったデバイスを業務利用すること ↩︎

2. セルフサービス パスワード リセット ↩︎