これらの構成とベスト プラクティスは、アプリケーションのユーザーが FIDO2 パスワードレス認証 を利用できないようにする一般的なシナリオを回避するのに役立ちます。
一般的なベスト プラクティス
ドメイン ヒント
ドメイン ヒントを使用して ホーム領域の検出をバイパスしないでください。 この機能は、サインインをより効率化することを目的としていますが、フェデレーション ID プロバイダーがパスワードレス認証をサポートしていない場合があります。
特定の資格情報の要求
SAML を使用している場合は、 RequestedAuthnContext 要素を使用してパスワードが必要であることを指定しないでください。
RequestedAuthnContext 要素はオプションであるため、この問題を解決するために、SAML 認証リクエストから削除できます。 この要素を使用すると、多要素認証などの他の認証オプションが正しく機能しなくなる可能性があるため、これは一般的なベスト プラクティスです。
最近使用した認証方法を使用する
ユーザーが最後に使用したサインイン方法が最初に表示されます。 これにより、ユーザーが最初に提示されたオプションを使用する必要があると信じている場合に混乱を招く可能性があります。 ただし、以下に示すように「その他のサインイン方法」を選択することで、別のオプションを選択できます。
プラットフォーム固有のベストプラクティス
ウィンドウズ
認証を実装するための推奨オプションは、次の順序で行います。
- Microsoft Authentication Library (MSAL) を使用している .NET デスクトップ アプリケーションでは、Windows 認証マネージャー (WAM) を使用する必要があります。 この統合とその利点は、 GitHub に記載されています。
- WebView2 を使用して、埋め込みブラウザーで FIDO2 をサポートします。
- システムブラウザを使用します。 デスクトップ プラットフォーム用の MSAL ライブラリでは、既定でこの方法が使用されます。 FIDO2 ブラウザーの互換性に関するページを参照して、使用するブラウザーが FIDO2 認証をサポートしていることを確認できます。
アンドロイド
FIDO2 は、 承認ユーザー エージェント またはブローカー統合として BROWSER と共に MSAL を使用する Android アプリでサポートされています。 ブローカーは、Microsoft Authenticator、ポータル サイト、または Android の Windows アプリへのリンクで出荷されます。
MSAL を使用していない場合でも、認証にはシステムの Web ブラウザーを使用する必要があります。 SSO や条件付きアクセスなどの機能は、システムの Web ブラウザーによって提供される共有 Web サーフェスに依存します。
iOS と macOS
FIDO2 は、ASWebAuthenticationSession またはブローカー統合で MSAL を使用する iOS アプリでサポートされています。 ブローカーは、iOS の Microsoft Authenticator と macOS の Microsoft Intune ポータル サイトで出荷されます。
ネットワークプロキシが、Appleによる関連付けられたドメイン検証をブロックしていないことを確認してください。 FIDO2認証を成功させるには、Appleの関連ドメイン検証が必要であり、そのためには特定のAppleドメインをネットワークプロキシから除外する必要があります。 詳しくは、 エンタープライズネットワークでApple製品を使用するを参照してください。
MSAL を使用していない場合でも、認証にはシステムの Web ブラウザーを使用する必要があります。 SSO や条件付きアクセスなどの機能は、システムの Web ブラウザーによって提供される共有 Web サーフェスに依存します。 詳細については、「 Web サービスによるユーザーの認証 |Apple 開発者向けドキュメント。
Web アプリとシングルページ アプリ
Webブラウザで実行されるアプリケーションでFIDO2パスワードレス認証を使用できるかどうかは、ブラウザとプラットフォームの組み合わせによって異なります。 FIDO2 互換性マトリクスを参照して、ユーザーが遭遇する組み合わせがサポートされているかどうかを確認できます。