次の方法で共有

Authenticator でパスワードなしのサインインを有効にする

Authenticator は、パスワードを使用せずに Microsoft Entra アカウントにサインインするために使用されます。 Authenticator は、キーベースの認証を使用して、デバイスに関連付けられているユーザー資格情報を有効にします。この場合、デバイスは PIN または生体認証を使用します。 Windows Hello for Business でも同様のテクノロジが使用されます。

認証テクノロジは、モバイルを含む任意のデバイス プラットフォームで使用できます。 Authenticator は、iOS または Android で実行できます。

ユーザーにサインインの承認を求めるブラウザー サインインの例を示すスクリーンショット。

Authenticator からの電話によるサインインには、アプリ内の番号をタップするようにユーザーに求めるメッセージが表示されます。 ユーザー名やパスワードは要求されません。 アプリでサインイン プロセスを完了するには、次の手順に従います。

  1. [Authenticator]\(認証\) ダイアログで、サインイン画面に表示される番号を入力します。
  2. [ 承認] を選択します
  3. PIN または生体認証を提供します。

複数のアカウント

サポートされている任意の Android または iOS デバイスの Authenticator で、複数のアカウントに対してパスワードなしの電話によるサインインを有効にすることができます。 Microsoft Entra ID に複数のアカウントを持つコンサルタント、学生、その他のユーザーは、Authenticator に各アカウントを追加し、同じデバイスからすべてのユーザーにパスワードなしの電話サインインを使用できます。

Microsoft Entra アカウントの所属先は同じテナントでも異なるテナントでもかまいません。 1 台のデバイスからの複数アカウント サインインは、ゲスト アカウントではサポートされません。

前提条件

Authenticator でパスワードなしの電話によるサインインを使用するには、次の前提条件を満たす必要があります。

  • 推奨: Microsoft Entra 多要素認証 (MFA) と、検証方法として許可されるプッシュ通知。 ユーザーのスマートフォンまたはタブレットにプッシュ通知を送信すると、Authenticator アプリがアカウントへの不正アクセスを防ぎ、不正なトランザクションを停止できます。 Authenticator アプリは、プッシュ通知を行うように設定すると、自動的にコードが生成されます。 デバイスが接続されない場合でも、ユーザーにはバックアップのサインイン方法があります。

  • サインインに使用される各テナントにデバイスを登録する必要があります。 たとえば、すべてのアカウントがサインインできるようにするには、次のデバイスを Contoso と Wingtip Toys に登録する必要があります。

    • balas@contoso.com
    • balas@wingtiptoys.com および bsandhu@wingtiptoys

Microsoft Entra ID でパスワードレス認証を使用するには、最初に統合された登録エクスペリエンスを有効にしてから、パスワードなしの方法でユーザーを有効にします。

パスワードなしの電話によるサインインの認証方法を有効にする

Microsoft Entra ID を使用すると、 認証ポリシー管理者 は、サインインに使用できる認証方法を選択できます。 認証方法ポリシーで Microsoft Authenticator を有効にして、従来のプッシュ MFA メソッドとパスワードレス認証方法の両方を管理できます。

認証方法として Microsoft Authenticator 有効にすると、ユーザーは セキュリティ情報 に移動して、サインインする方法として Authenticator を登録できます。 Microsoft Authenticator は、 セキュリティ情報の方法として一覧表示されます。 たとえば、有効と登録内容に応じて、 Microsoft Authenticator-Passwordless または Microsoft Authenticator-MFA Push が表示されます。

パスワードレス電話によるサインインの認証方法を有効にするには、次の手順に従います。

  1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
  2. Entra ID>認証メソッド>ポリシー に移動します。

各グループは、既定で Any モードを使用するように有効になっています。 どのモードでも 、グループ メンバーはプッシュ通知またはパスワードなしの電話によるサインインでサインインできます。

注意

保存しようとするとエラーが表示される場合は、追加されるユーザーまたはグループの数が原因である可能性があります。 回避策として、追加しようとしているユーザーとグループを同じ操作の 1 つのグループに置き換えます。 次に、[ 保存] をもう一度選択します。

ユーザーの登録

ユーザーは、Microsoft Entra ID のパスワードなしの認証方法に登録します。 MFA 用に Authenticator アプリを既に登録しているユーザーは、次のセクションに進み、電話によるサインインを有効にする

電話による直接サインインの登録

ユーザーは、パスワードなしの電話によるサインインに直接 Authenticator アプリ内で登録できます。ただし、最初に Authenticator を自分のアカウントに登録する必要はありません。ただし、パスワードは発生しません。 その方法は次のとおりです。

  1. 管理者または組織から 一時アクセス パス を取得します。
  2. Authenticator アプリをダウンロードしてモバイル デバイスにインストールします。
  3. Authenticator を開き、[アカウント追加] を選択し、職場または学校アカウント選択します。
  4. [ サインイン] を選択します
  5. 手順に従って、管理者または組織から提供された一時アクセス パスを使用してアカウントでサインインします。
  6. サインイン後、追加の手順に従って電話によるサインインを設定します。

マイ Sign-Ins へのガイド付き登録

注意

ユーザーは、Authenticator 認証モードが [任意 ] または [ プッシュ] に設定されている場合にのみ、統合された登録を使用して Authenticator を登録できます。

Authenticator アプリを登録するには、次の手順に従います。

  1. [セキュリティ情報] を参照します。
  2. サインインし、[Authenticator アプリメソッド 追加][ を追加して Authenticator を追加する] を選択します。
  3. 指示に従って、デバイスに Authenticator アプリをインストールして構成します。
  4. [ 完了] を 選択して、Authenticator の構成を完了します。

電話によるサインインを有効にする

ユーザーが Authenticator アプリに登録したら、電話によるサインインを有効にする必要があります。

  1. Microsoft Authenticator で、登録されているアカウントを選択します。
  2. [ パスワードレス サインイン要求の設定] を選択します。
  3. アプリの指示に従って、パスワードなしの電話によるサインインに対するアカウントの登録を完了します。

組織はユーザーに対して、パスワードを使用しないで、自分の電話でサインインするように指示することができます。 Authenticator の構成と電話によるサインインの有効化の詳細については、Authenticator アプリを使用したアカウントへのサインイン に関するページを参照してください。

注意

ポリシーによってユーザーが電話によるサインインを使用できないように制限されている場合、ユーザーは Authenticator 内でそれを有効にできません。

パスワードなしの資格情報でサインインする

ユーザーは、以下の操作がすべて完了したら、パスワードレス サインインの利用を開始できます。

  • 管理者がユーザーのテナントを有効にしました。
  • ユーザーがサインイン方法として Authenticator を追加しました。

電話によるサインイン プロセスを初めて開始するには、次の手順に従います。

  1. [サインイン] ウィンドウに自分の名前を入力します。
  2. [ 次へ] を選択します。
  3. 必要に応じて、[ その他のサインイン方法] を選択します。
  4. [Authenticator アプリで要求を承認する] を選択します。

その後、数値が表示されます。 アプリは、パスワードを入力するのではなく、適切な番号を入力してユーザーに認証を求めます。

ユーザーがパスワードなしの電話によるサインインを使用すると、アプリは引き続きこの方法でユーザーをガイドします。 ユーザーには、別の方法を選択するオプションも表示されます。

Authenticator アプリを使用したブラウザー サインインの例を示すスクリーンショット。

一時アクセス パス

テナント管理者が、ユーザーが一時アクセス パスを使用して Authenticator アプリで初めてパスワードなしのサインインを設定できるようにセルフサービス パスワード リセットを有効にした場合は、次の手順に従います。

  1. モバイル デバイスまたはデスクトップでブラウザーを開き、[ セキュリティ情報] に移動します。
  2. Authenticator アプリをサインイン方法として登録します。 このアクションにより、アカウントがアプリにリンクされます。
  3. モバイル デバイスに戻り、Authenticator アプリを使用してパスワードなしのサインインをアクティブ化します。

管理

Authenticator を管理する最善の方法として、認証方法ポリシーをお勧めします。 認証ポリシー管理者 、このポリシーを編集して Authenticator を有効または無効にすることができます。 管理者は、特定のユーザーとグループを利用対象に含めたり除外したりできます。

管理者は、Authenticator の使用方法をより適切に制御するようにパラメーターを構成することもできます。 たとえば、ユーザーが承認する前にコンテキストを増やすことができるように、サインイン要求に場所またはアプリ名を追加できます。

既知の問題

次の既知の問題点があります。

パスワードなしの電話によるサインインのオプションが表示されない

1 つのシナリオでは、ユーザーが未応答のパスワードなしの電話によるサインイン検証を保留にしている可能性があります。 ユーザーがもう一度サインインしようとすると、パスワードを入力するオプションのみが表示されます。

このシナリオを解決するには、次の手順を実行します。

  1. Authenticator を開きます。
  2. 通知プロンプトに応答します。

次に、パスワードなしの電話によるサインインを引き続き使用します。

AuthenticatorAppSignInPolicy はサポートされていません

レガシ ポリシー AuthenticatorAppSignInPolicy は Authenticator ではサポートされていません。 Authenticator アプリでユーザーがプッシュ通知またはパスワードなしの電話によるサインインを有効にするには、 認証方法ポリシーを使用します。

フェデレーション アカウント

ユーザーがパスワードなしの資格情報を有効にすると、Microsoft Entra サインイン プロセスは login\_hintの使用を停止します。 このプロセスは、ユーザーをフェデレーション サインインの場所に向けて加速させなくなりました。

通常、このロジックにより、ハイブリッド テナント内のユーザーがサインイン検証のために Active Directory フェデレーション サービスに誘導されるのを防ぐことができます。 [ 代わりにパスワードを使用 する] を選択するオプションは引き続き使用できます。

オンプレミスのユーザー

管理者は、オンプレミスの ID プロバイダーを介して MFA のユーザーを有効にすることができます。 ユーザーは、パスワードなしの電話によるサインイン資格情報を 1 つ作成して使用できます。

ユーザーがパスワードなしの電話によるサインイン資格情報を使用して Authenticator の複数のインストール (5 以降) をアップグレードしようとすると、この変更によってエラーが発生する可能性があります。

関連コンテンツ

Microsoft Entra 認証とパスワードレスの方法については、次の記事を参照してください。