Microsoft Authenticatorを使用した組織アカウントのパスワードレスサインイン
本日の記事は、先日の Microsoft Ignite 2018 で発表された組織アカウント[Azure ADアカウント]のMicrosoft Authenticatorを使用したパスワードレスサインインについての内容です。
今、パスワードの時代は終わりを迎えようとしています。先週、Microsoft Authenticatorを使用したAzure ADアカウントへのパスワードレスサインインがパブリックプレビューとして、利用可能になりました。この機能を使用すると、Azure ADアカウントを持つ組織の従業員は、パスワードから解放され、Microsoft Authenticatorアプリを使用して、安全なマルチファクタ認証を行えるようになります。
この機能、なぜパスワードレスなのにMFAなのか個人的によくわかっていなかったのですが、実際に試してみてわかりました。電話によるサインインを有効にしている場合、Office365などのポータルへのサインイン時に “数字” が表示されます。その数字をスマートフォンのMicrosoft Authenticatorアプリ上に表示されている 3つの数字の中から合致している数字を選択し、さらにi Phone Xの場合この後 Face IDによる認証を求められます。この複合的な要素によって、パスワードレスの多要素認証を実現しているようです。
この機能は現在のところ、過去の記事でご紹介したApple Watchを使用した認証には対応していないようです。今後のアップデートで対応されそうな気がしています。では、実際の動作イメージを以下からご確認ください。
■機能説明
ユーザー名を入力した後にパスワードの入力を求められるのではなく、Microsoft Authenticatorアプリで数字をタップするように指示するメッセージが表示されます。アプリでは、ユーザーが選択した番号が一致し承認された後に、PINまたは生体認証を提供する必要があります。
■操作イメージ
- Passwordless Sign-Inを有効化したアカウントで、PCのWEBブラウザから、Office365 Portalにサインインします。サインイン画面で、アカウントを入力します。
2.[サインインの承認]-[サインインするには、以下に表示される番号をMicrosoft Authenticatorアプリでタップしてください。]と表示されるので、表示される数字を確認します。
3.組織アカウントの電話によるサインインを有効化ししているスマートフォンで、Microsoft Authenticatorアプリを開きます。表示されている数字の中から、PCのWEBブラウザに表示されている数字と同じ数字をタップします。
4. iPhone Xの場合、Face IDによる認証が実行されます。認証が成功した場合、[承認済み]とアプリ上部に表示されます。
5. PCのWEBブラウザで、Office365へのサインインが完了します。
※現在、パスワードレスサインインを実行すると、iPhoneとペアリングされているApple Watchに以下通知がされますが、ここで[承認]を選択しても、パスワードレスサインインを完了させる事できません。現在は、通常の多要素認証時の追加要素の承認としてApple Watchが使用できます。詳細は過去の記事を参照してください。
■制限事項
この新しい強力な資格情報を作成するための前提条件の1つは、Azure ADテナント内に存在するデバイスが個々のユーザーに登録されていることです。デバイスの登録制限により、1台のデバイスは1つのアカウントにしか登録できません。この制限は、Microsoft Authenticatorアプリで職場または学校のアカウントを1つだけ使用して、Password less Sign-inを有効化できることを意味します。
パブリックプレビュー中に本機能を使用してみたい方は、以下Docsの記事から試してみてください。
※この機能の操作検証は、検証用のテナントで操作を実行される事を強く推奨します。既にMFAを有効化しているユーザーは、本機能有効化後自動的にパスワードレスサインインが有効化されます。
■Passwordless phone sign-in with the Microsoft Authenticator app (public preview)
RSS - 投稿
