条件付きアクセス: 認証転送 (プレビュー)
認証転送は、Microsoft アプリ用の PC からモバイルへのクロスデバイス サインインを簡略化する新しい認証フローです。 認証転送を使用すると、デスクトップからモバイルなど、あるデバイスから別のデバイスに認証を転送できます。 認証転送では、ユーザーを複数のプラットフォームに接続することでユーザー エンゲージメントが向上します ユーザーは、PC 上の認証済みアプリで QR コードを使用して、モバイル アプリにサインインできます。
認証転送と条件付きアクセス
認証転送中に、すべての Microsoft Entra 条件付きアクセス ポリシーが評価されます。 認証転送では、認証要求のみが転送され、デバイス関連の要求は転送されません。
- 認証転送では、ユーザーが PC で多要素認証 (MFA) を実行する場合、モバイル デバイスで MFA を実行する必要はありません。
- 認証転送では、認証を転送する前に条件付きアクセス ポリシーが評価されます。 モバイル デバイスのポリシーが満たされていない場合、ユーザーは手動でサインインするように求められます。
- 認証転送は、モバイル デバイスに認証を転送するときに、サード パーティのモバイル デバイス管理 (MDM) ソリューションをバイパスします。
- 認証転送では、プライマリ更新トークンなどの保護されたセッション トークンでサインインした場合でも、ユーザーは PC で再認証する必要があります。 モバイル アプリで再認証する必要はありません。
サインイン ログ内の認証転送
管理者は、サインイン ログを確認して、ユーザーがサインインに認証転送を使用しているかどうかを確認できます。 認証転送の使用状況は、Microsoft Entra サインイン ログの [認証の詳細] の下に表示されます。 管理者はイベントを連続して確認できます。イベントは認証方法としての QR コードから始まります。
特定のユーザーとアプリの認証転送を管理する
認証転送は、すべてのユーザーに対して既定で有効になっています。 管理者は、条件付きアクセス ポリシーと認証フロー条件を使用して認証転送を管理できます。 この条件により、認証転送の使用を特定のユーザーやアプリに制限したり、機能をオフにしたりすることができます。
認証転送では、ユーザーをモバイル アプリにサインインする前に、該当するすべての条件付きアクセス ポリシーがチェックされます。 必要な条件が満たされていない場合、ユーザーはモバイル アプリで認証するように求められます。
認証転送条件を使用するポリシーを作成するには、「条件付きアクセス ポリシーを使用して認証転送をブロックする」の記事を参照してください。