ID プラットフォームの主な機能の 1 つは、ユーザーがデバイス、アプリケーション、またはサービスにサインインするときに資格情報を検証または 認証することです。 Microsoft Entra ID では、認証にはユーザー名とパスワードの検証以上のものが含まれます。 セキュリティを強化し、ヘルプ デスクの支援の必要性を減らすために、Microsoft Entra 認証には次のコンポーネントが含まれています。
- セルフサービスパスワードリセット
- Microsoft Entra 多要素認証
- パスワードの変更をオンプレミス環境に書き戻すためのハイブリッド統合
- オンプレミス環境にパスワード保護ポリシーを適用するためのハイブリッド統合
- パスワードレスの認証
これらの認証コンポーネントの詳細については、短いビデオをご覧ください。
エンド ユーザー エクスペリエンスの向上
Microsoft Entra ID は、ユーザーの ID を保護し、サインイン エクスペリエンスを簡素化するのに役立ちます。 セルフサービス パスワード リセットなどの機能を使用すると、ユーザーは任意のデバイスから Web ブラウザーを使用してパスワードを更新または変更できます。 この機能は、ユーザーが自分のパスワードを忘れた場合やアカウントがロックされている場合に特に便利です。 ヘルプデスクまたは管理者がサポートを提供するのを待たずに、ユーザーは自分自身のブロックを解除して作業を続けることができます。
Microsoft Entra 多要素認証を使用すると、ユーザーはサインイン時に追加の認証形式 (電話やモバイル アプリの通知など) を選択できます。 この機能により、ハードウェア トークンなどの単一の固定形式のセカンダリ認証の要件が軽減されます。 ユーザーが現在 1 つの形式の追加認証を持っていない場合は、別の方法を選択して作業を続行できます。
パスワードレス認証を使用すると、ユーザーがセキュリティで保護されたパスワードを作成して覚える必要がなくなります。 Windows Hello for Business や FIDO2 セキュリティ キーなどの機能を使用すると、ユーザーはパスワードなしでデバイスまたはアプリケーションにサインインできます。 この機能により、さまざまな環境でパスワードを管理する複雑さが軽減されます。
セルフサービスパスワードリセット
セルフサービスによるパスワード リセットにより、ユーザーは管理者やヘルプ デスクの関与なしで、パスワードを変更またはリセットできます。 ユーザーのアカウントがロックされている場合、またはパスワードを忘れた場合は、プロンプトに従ってブロックを解除し、作業に戻ることができます。 この機能により、ユーザーが自分のデバイスまたはアプリケーションにサインインできない場合のヘルプ デスクの呼び出しと生産性の低下が軽減されます。
セルフサービス パスワード リセットは、次のシナリオで機能します。
- パスワードの変更 - ユーザーが自分のパスワードを知っていても、新しいものに変更したい場合。
- パスワードのリセット - ユーザーがパスワードを忘れた場合やパスワードをリセットする場合など、サインインできない場合。
- アカウントのロック解除 - ユーザーのアカウントがロックアウトされ、自分のアカウントのロックを解除する必要があるため、ユーザーがサインインできない場合。
ユーザーがセルフサービス パスワード リセットを使用してパスワードを更新またはリセットすると、そのパスワードをオンプレミスの Active Directory 環境に書き戻すこともできます。 パスワード ライトバックにより、ユーザーはオンプレミスのデバイスとアプリケーションで更新された資格情報をすぐに使用できるようになります。
Microsoft Entra 多要素認証
多要素認証は、サインイン プロセス中に、携帯電話にコードを入力したり指紋スキャンを行ったりするなど、追加の形式の識別を求めるメッセージがユーザーに表示されるプロセスです。
パスワードのみを使用してユーザーを認証する場合、攻撃の安全でないベクトルが残されます。 パスワードが脆弱であるか、他の場所に公開されている場合、実際にはユーザーがユーザー名とパスワードを使用してサインインしているか、それとも攻撃者ですか? 2 番目の形式の認証が必要な場合、この追加要素は攻撃者が簡単に取得または複製できないため、セキュリティが強化されます。
Microsoft Entra 多要素認証は、次の認証方法のうち 2 つ以上を要求することで機能します。
- 知っているもの(通常はパスワード)。
- 電話やハードウェア キーなど、簡単に複製できない信頼できるデバイスなど、お持ちのデバイス。
- ユーザー自身 (指紋スキャンや顔面認識などの生体認証)。
ユーザーは、セルフサービス パスワード リセットと Microsoft Entra 多要素認証の両方を 1 つの手順で登録して、オンボーディング エクスペリエンスを簡素化できます。 管理者は、使用できるセカンダリ認証の形式を定義できます。 Microsoft Entra 多要素認証は、ユーザーがそのプロセスをさらにセキュリティで保護するためにセルフサービス パスワード リセットを実行する場合にも必要になる場合があります。
パスワード保護
既定では、Microsoft Entra ID は Password1 などの脆弱なパスワードをブロックします。 グローバル禁止パスワード リストが自動的に更新され、既知の脆弱なパスワードが含まれます。 Microsoft Entra ユーザーがこれらの脆弱なパスワードのいずれかにパスワードを設定しようとすると、より安全なパスワードを選択するための通知を受け取ります。
セキュリティを強化するために、カスタム パスワード保護ポリシーを定義できます。 これらのポリシーでは、フィルターを使用して、 Contoso などの名前や ロンドンなどの場所を含むパスワードのバリエーションをブロックできます。
ハイブリッド セキュリティのために、Microsoft Entra パスワード保護をオンプレミスの Active Directory 環境と統合できます。 オンプレミス環境にインストールされているコンポーネントは、Microsoft Entra ID からグローバル禁止パスワード リストとカスタム パスワード保護ポリシーを受け取り、ドメイン コントローラーはそれらを使用してパスワード変更イベントを処理します。 このハイブリッドアプローチにより、ユーザーが資格情報を変更する方法や場所に関係なく、強力なパスワードの使用を強制できます。
パスワードレスの認証
多くの環境の最終目標は、サインイン イベントの一部としてのパスワードの使用を削除することです。 Azure パスワード保護や Microsoft Entra 多要素認証などの機能はセキュリティの向上に役立ちますが、ユーザー名とパスワードは脆弱な認証形式のままであり、攻撃を受けたり、ブルート フォース攻撃を受けたりする可能性があります。
パスワードなしの方法でサインインすると、Windows Hello for Business での生体認証や FIDO2 セキュリティ キーなどの方法を使用して資格情報が提供されます。 これらの認証方法は、攻撃者が簡単に複製することはできません。
ユーザーのサインイン エクスペリエンスを簡略化し、攻撃のリスクを軽減するために、Microsoft Entra ID にはパスワードレスの方法を使用してネイティブに認証する方法が用意されています。
次のステップ
最初に、セルフサービス パスワード リセット (SSPR) のチュートリアルと Azure Microsoft Entra 多要素認証 に関するページを参照してください。
セルフサービス パスワード リセットの概念の詳細については、「 Microsoft Entra のセルフサービス パスワード リセットのしくみ」を参照してください。
多要素認証の概念の詳細については、「 Microsoft Entra 多要素認証のしくみ」を参照してください。