社内でパスワードレス認証を導入するために設定してみましたので、覚書です。

Azure AD から Microsoft Entra ID へ

Azure AD の名前が変わります。
2023年7月に発表があり、順次新し名前 Microsoft Entra ID に変わっていき2023年中には完了予定のようです。

Azure Active Directory の新しい名前

一時アクセスパス(TemporaryAccess Pass、TAP)とは

期間内に1回、もしくは期間内であれば複数回アクセスできるパスコードを発行して、ユーザーにサインインしてもらうしくみです。
Microsoft Entra ID で対応しているパスワードレス認証は Windows Hello for Business や Microsoft Authenticator アプリ、FIDO2 セキュリティキーが対応しています。
一時アクセスパスは、これらのパスワードレス認証などの認証方法のオンボーディングに利用します。

設定手順

手順は下記の３つとなります。

1. 認証方法の有効化
2. 一時アクセスパスの発行
3. ユーザーのサインイン手順

認証方法の有効化

Microsoft Entra 管理センター > ID > 保護 > 認証方法 のポリシーより、一時アクセスパスを選択します。

一時アクセスパスを有効化します。組織全体かセキュリティグループ単位で指定できます。

一時アクセスパスの構成を編集します。
ユーザーへ一時アクセスパスでパスを発行する際に各設定は変更可能ですが、最短・最長期間のとパスコードの長さは変更できない為、構成で予め設定しておきます。

一時アクセスパスの発行

一時アクセスパスをユーザーに発行します。
ID > ユーザー > すべてのユーザー から対象のユーザーをクリックします。

認証方法を選択し、認証方法の設定画面に移動します。
一時アクセスパスを設定するには「新しいユーザー認証方法のエクスペリエンスに切り替えてください。今すぐ使用するには...」をクリックして、新しいユーザー認証方法のエクスペリエンスに切り替えます。

認証方法の追加をクリックし、方法の選択：一時アクセスパスを選択します。

遅延開始時刻: 有効化すると一時アクセスパスの利用開始日時を指定できます。無効の場合、設定後即時利用可能です。
アクティブ化期間: 認証方法を有効化した際に設定した最低有効期間から最長有効期間の範囲で選択できます。
一時使用: アクティブな期間中、はいは１回のみ利用でき、いいえは複数回利用できます。

各項目の設定が終わったら、追加 をクリックします。

パスの指定に自動生成された一時アクセスパスと、パスワードレス認証を利用するために機器の登録をするユーザーのセキュリティ情報のリンク https://aka.ms/mysecurityinfo が表示されますので、各項目をコピーしてユーザーに連絡します。

ユーザーのサインイン

セキュリティ情報のリンク https://aka.ms/mysecurityinfo にアクセスすると、ログイン用のメールアドレス(Microsoft 365 や Microsoft Entra ID のアカウント)を入力します。
続いて、一時アクセスパスを聞かれるので、一時アクセスパスを入力します。
※ https://www.microsoft365.com/ などからでもサインイン可能です。

あとは、セキュリティ情報のサイン方法の追加より、パスワードレス認証の機器を登録します。
次回以降は、パスワードレス認証でサインインできるようになります。
※パスワードレス認証を設定するにはパスワードレスに対応した機器と設定が必要です。

さいごに

一時アクセスパスの設定手順について記事にしてみました。
一時アクセスパスとパスワードレス認証を組み合わせて利用することで、ユーザーにパスワードを教えることなくパスワードレス認証を導入できます。
なお、この方法は、パスワードレス認証などの認証方法のオンボーディングなどのために一時的にアクセスするためのしくみです。中長期的に利用する手段ではありませんのでご利用の際にはご注意ください。

FIDO2 セキュリティキーを利用したパスワードレス認証についても後日記事にする予定です。

参考リンク

パスワードレスの認証方法を登録するように Azure AD で一時アクセス パスを構成する
パスワードなしのセキュリティ キー サインインを有効にする