Microsoft Entra ID を使用した FIDO2 認証のサポート

Microsoft Entra ID を使用すると、パスワードレス認証にパスキーを使用できます。 この記事では、Microsoft Entra ID とパスキーを使用したパスワードレス認証をサポートしているネイティブ アプリケーション、Web ブラウザー、オペレーティング システムについて説明します。

Note

Microsoft Entra ID は現在、FIDO2 セキュリティ キーおよび Microsoft Authenticator に格納されているデバイス バインド パスキーをサポートしています。 Microsoft は、パスキーを使用した顧客とユーザーの保護に取り組んでいます。 職場アカウント用の同期パスキーとデバイス バインド パスキーの両方に投資しています。

ネイティブ アプリケーションのサポート

次のセクションでは、Microsoft およびサード パーティのアプリケーションのサポートについて説明します。 サードパーティ ID プロバイダー (IDP) によるパスキー (FIDO2) 認証は、認証ブローカーを使用するサード パーティ製アプリケーションや、macOS、iOS、または Android 上の Microsoft アプリケーションでは現時点ではサポートされていません。

認証ブローカーでのネイティブ アプリケーションのサポート (プレビュー)

Microsoft アプリケーションは、オペレーティング システム用に認証ブローカーがインストールされているすべてのユーザーに対して、プレビュー段階の FIDO2 認証のネイティブ サポートを提供します。 FIDO2 認証は、認証ブローカーを使用するサード パーティ製アプリケーションのプレビューでもサポートされています。

次の表に、オペレーティング システムごとにサポートされている認証ブローカーを示します。

OS 認証ブローカー FIDO2 をサポートしています
iOS Microsoft Authenticator
macOS Microsoft Intune ポータル サイト1
Android2 Authenticator、ポータル サイト、またはWindows にリンク アプリ

1macOS でポータル サイトを認証ブローカーとして有効にするには、Microsoft Enterprise Single Sign On (SSO) プラグインが必要です。 macOS を実行するデバイスは、モバイル デバイス管理への登録を含む SSO プラグインの要件を満たしている必要があります。 FIDO2 認証の場合は、最新バージョンのネイティブ アプリケーションを実行していることを確認します。

Android バージョン 13 以前の FIDO2 セキュリティ キーに対する 2つのネイティブ アプリケーション サポートが開発中です。

ユーザーが認証ブローカーをインストールしている場合、Outlook などのアプリケーションにアクセスするときにセキュリティ キーを使ってサインインすることを選択できます。 FIDO2 でサインインするようにリダイレクトされ、認証が成功した後、サインインユーザーとして Outlook にリダイレクトされます。

認証ブローカーを使用しない Microsoft アプリケーションのサポート (プレビュー)

次の表に、認証ブローカーを使用しないパスキー (FIDO2) に対する Microsoft アプリケーションのサポートを示します。

アプリケーション macOS iOS Android
リモート デスクトップ
Windows アプリ

認証ブローカーを使用しないサード パーティ製アプリケーションのサポート

ユーザーが認証ブローカーをまだインストールしていない場合でも、MSAL 対応アプリケーションにアクセスする際は、パスキーを使用してサインインできます。 MSAL 対応アプリケーションの要件の詳細については、「開発するアプリで FIDO2 キーを使用したパスワードレス認証をサポートする」を参照してください。

Web ブラウザー サポート

次の表は、FIDO 2 による Microsoft Entra ID と Microsoft アカウント認証のブラウザー サポートを示しています。 コンシューマーは、Xbox、Skype、Outlook.com などのサービスの Microsoft アカウントを作成します。

OS Chrome Edge Firefox Safari
Windows N/A
macOS
ChromeOS 該当なし 該当なし 該当なし
Linux 該当なし
iOS
Android 1 該当なし

1Android デバイスで Edge を使用する Authenticator のパスキーのサポートは近日公開予定です。

各プラットフォームの Web ブラウザー サポート

次の表は、各プラットフォームでサポートされている転送を示しています。 サポートされているデバイスの種類には、USB、近距離無線通信 (NFC)、Bluetooth Low Energy (BLE) などがあります。

Windows

ブラウザー USB NFC BLE
Edge
Chrome
Firefox

ブラウザーの最小バージョン

Windows でのブラウザーの最小バージョン要件は次のとおりです。

Browser 最小バージョン
Chrome 76
Edge Windows 10 バージョン 19031
Firefox 66

1Chromium ベースの新しい Microsoft Edge では、すべてのバージョンが FIDO2 をサポートしています。 Microsoft Edge レガシでのサポートは 1903 で追加されました。

macOS

ブラウザー USB NFC1 BLE1
Edge 該当なし 該当なし
Chrome 該当なし 該当なし
Firefox2 該当なし 該当なし
Safari23 該当なし 該当なし

1NFC と BLE のセキュリティ キーは、Apple の macOS ではサポートされていません。

2これらの macOS ブラウザーでは、生体認証や PIN の設定を求めるメッセージが表示されないため、新しいセキュリティ キーの登録は機能しません。

33 つより多くのパスキーが登録されているときにサインインする」をご覧ください。

ChromeOS

ブラウザー1 USB NFC BLE
Chrome

1ChromeOS または Chrome ブラウザーでは、セキュリティ キーの登録はサポートされていません。

Linux

ブラウザー USB NFC BLE
Edge
Chrome
Firefox

iOS

ブラウザー13 Lightning NFC BLE2
Edge 該当なし
Chrome 該当なし
Firefox 該当なし
Safari 該当なし

1iOS ブラウザーでは、生体認証や PIN の設定を求めるメッセージが表示されないため、新しいセキュリティ キーの登録は機能しません。

2BLE セキュリティ キーは、iOS by Apple ではサポートされていません。

33 つより多くのパスキーが登録されているときにサインインする」をご覧ください。

Android

ブラウザー1 USB NFC BLE2
Edge
Chrome
Firefox

1Microsoft Entra ID を使用したセキュリティ キーの登録は、Android ではまだサポートされていません。

2BLE セキュリティ キーは、Google の Android ではサポートされていません。

既知の問題

3 つより多くのパスキーが登録されているときにサインインする

3 つより多くのパスキーを登録した場合、パスキーでのサインインが機能しない可能性があります。 パスキーが 3 つより多い場合は、回避策として、[サインイン オプション] をクリックしてユーザー名を入力せずにサインインします。

サインイン オプションのスクリーンショット。

PowerShell のサポート

Microsoft Graph PowerShell は FIDO2 をサポートします。 Edge の代わりに Internet Explorer を使用する一部の PowerShell モジュールでは、FIDO2 認証を実行できません。 たとえば、SharePoint Online または Teams 用の PowerShell モジュールや、管理者の資格情報を必要とする PowerShell スクリプトでは、FIDO2 に対するダイアログは表示されません。

回避策として、ほとんどのベンダーは FIDO2 セキュリティ キーに証明書を配置できます。 証明書ベースの認証 (CBA) は、すべてのブラウザーで機能します。 これらの管理者アカウントに対して CBA を有効にできる場合は、一時的に FIDO2 ではなく CBA を要求できます。

次のステップ

パスワードなしのセキュリティ キー サインインを有効にする