パスワードレス認証は、ユーザーがパスワード入力なしで認証を完了する仕組みで、現代企業のセキュリティ戦略の到達点とされる方式です。 Microsoft 内部統計では『パスワードレスはパスワード + MFA より 99.9% 安全』とされ、Microsoft 自身も社内の 100% パスワードレス化を完了しています。 本記事では、Microsoft Entra ID の 5 つのパスワードレス方式・使い分け・段階的導入ロードマップを網羅的に整理します。
| 方式 | 形態 | セキュリティ | コスト | 適用シーン |
|---|---|---|---|---|
| Microsoft Authenticator | スマホアプリ Push | 高 | 最小 | 全社員標準 |
| FIDO2 セキュリティキー | USB/NFC ハードウェア | 最高 | 1 個 50 USD | 特権ロール |
| Windows Hello for Business | 生体認証 + TPM | 高 | 無料 | Windows ユーザー |
| Temporary Access Pass (TAP) | 時限的 OTP | 中 | 無料 | オンボーディング・緊急 |
| Certificate-based (CBA) | スマートカード | 最高 | カード + PKI | 政府・金融 |
スマホアプリで Push 通知承認 + 数字マッチングによる認証。最も普及している方式で、コスト最小・展開容易・全社員向け標準です。
サインインリクエスト時に Web 側に表示された 2 桁の数字を Authenticator アプリ側で入力させる方式。
FIDO2 (Fast IDentity Online v2) は WebAuthn 標準ベースのハードウェアトークン認証。最高セキュリティレベルの方式です。
コスト: YubiKey 5 NFC で 1 個 50 USD 程度、特権ロール 10-50 名対象なら数十万円の投資で大幅セキュリティ向上。Backup キーは必ず 2 個保持 (1 個は安全な保管場所) を推奨。
Windows 10/11 内蔵のパスワードレス認証で、生体認証 (顔・指紋) または PIN + TPM で認証。
| モデル | 条件 | 推奨度 |
|---|---|---|
| Cloud Kerberos Trust | Entra Connect 不要 | 最推奨 (最もシンプル) |
| Hybrid Cloud Trust | Entra Connect 必須・Hybrid Joined | 既存ハイブリッド環境向け |
| On-premises | オンプレ AD 中心 | レガシー |
Cloud Kerberos Trust が最もシンプルで、Entra ID + Intune の組み合わせで Windows デバイス管理している組織には最適。 Intune Configuration Profile で『Windows Hello for Business を必須化』Policy を全社展開するのが標準です。
時限的なワンタイムパスワードで、Microsoft Authenticator / FIDO2 の初期登録時や紛失時の代替認証用。
本番運用では IT Help Desk チームに TAP 発行権限を委譲、ユーザーサポート効率化が標準パターン。
スマートカード・PIV カード・USB トークンに証明書を格納し、PKI ベースで認証する方式。
パスワードレス完全移行までの 12-18 ヶ月プラン:
パスワードレス認証とは何ですか?
パスワードレス認証は、ユーザーがパスワード入力なしで認証を完了する仕組み。Microsoft Entra ID では Microsoft Authenticator (Push 通知) / FIDO2 セキュリティキー / Windows Hello for Business / Temporary Access Pass / Certificate-based Authentication の 5 つの主要方式を提供。パスワードのフィッシング・リスト型攻撃・パスワードリセット負荷・記憶ストレスを排除し、Microsoft 内部統計では『パスワードレスはパスワード + MFA より 99.9% 安全』。Microsoft 自身も社内の 100% パスワードレス化を完了 (2020 年代前半) しており、現代企業のセキュリティ戦略の到達点とされる方式です。
5 つのパスワードレス方式の使い分けは?
Microsoft Authenticator (Push 通知): スマホアプリで Push 通知承認 + 数字マッチング、最も普及・コスト最小、全社員向け標準。FIDO2 セキュリティキー (YubiKey 等): USB / NFC ハードウェアトークン、最高セキュリティ、特権ロール向け。Windows Hello for Business (生体認証 + TPM): Windows デバイス内蔵の指紋・顔認証、Windows 中心企業向け。Temporary Access Pass (TAP): 時限的なワンタイムパスワード、新入社員オンボーディングや FIDO 紛失時の代替アクセス。Certificate-based Authentication (CBA): スマートカード・PIV カード、政府機関・金融機関の規制対応。複合採用パターン: 全社員 = Microsoft Authenticator + Windows Hello、特権ロール = FIDO2 必須、緊急時 = TAP、規制業界 = CBA というレイヤード構成が標準です。
Microsoft Authenticator の Number Matching とは?
Number Matching は 2023 年から Microsoft Authenticator で標準化された MFA セキュリティ機能。サインインリクエスト時に Web 側に表示された 2 桁の数字を Authenticator アプリ側で入力させる方式。従来の Push 通知のみ (Yes / No タップ) では『MFA Fatigue 攻撃 (大量 Push で誤承認誘発)』に弱かったが、Number Matching で物理的に同じセッションを操作している証明が必要に。Microsoft は全テナントで Number Matching を強制化 (2023-05)、すべての Microsoft Authenticator ユーザーが自動的に Number Matching を経験する状態。これにより MFA 突破のソーシャルエンジニアリング攻撃が大幅減少しています。
FIDO2 セキュリティキーはどう導入しますか?
FIDO2 (Fast IDentity Online v2) は WebAuthn 標準ベースのハードウェアトークン認証。YubiKey 5 シリーズ・Feitian・SoloKey などのキーが Microsoft 認定済み。導入手順: 1) Microsoft Entra ID で『Passkey (FIDO2)』認証方式を有効化 (Authentication methods policy)、2) Conditional Access で『FIDO2 認証必須』を特権ロールに適用、3) ユーザーが Entra ID の Security info に FIDO2 キーを登録 (PIN 設定 + Touch)、4) 以降のサインインで FIDO2 キーで認証 (USB 挿し or NFC タップ + Touch + PIN)。コスト: YubiKey 5 NFC で 1 個 50 USD 程度、特権ロール 10-50 名対象なら数十万円の投資で大幅セキュリティ向上。Backup キーは必ず 2 個保持 (1 個は安全な保管場所) を推奨します。
Windows Hello for Business の構成は?
Windows Hello for Business は Windows 10/11 内蔵のパスワードレス認証で、生体認証 (顔・指紋) または PIN + TPM (Trusted Platform Module) で認証。3 つのデプロイモデル: Cloud Kerberos Trust (推奨、Entra Connect 不要)・Hybrid Cloud Trust (Entra Connect 必須・Azure AD Hybrid Joined)・On-premises (オンプレ AD 中心)。Cloud Kerberos Trust が最もシンプルで、Entra ID + Intune の組み合わせで Windows デバイス管理している組織には最適。生体認証は Windows Hello センサー対応デバイス (Surface・最新 ThinkPad など) 必須、非対応デバイスは PIN ベースで運用。Intune Configuration Profile で『Windows Hello for Business を必須化』Policy を全社展開するのが標準。
Temporary Access Pass (TAP) はどう使いますか?
Temporary Access Pass (TAP) は、時限的なワンタイムパスワードで、Microsoft Authenticator / FIDO2 の初期登録時や紛失時の代替認証用。代表的なユースケース: 1) 新入社員のオンボーディング (初日アクセス用、TAP を渡して初回ログイン → Authenticator 登録)、2) FIDO2 キー紛失時の緊急アクセス (TAP で再認証 → 新規 FIDO2 キー登録)、3) パスワードレス強制化後のレガシーアカウントへの初期アクセス。生成方法: Entra ID 管理センターでユーザーの Authentication methods → Temporary Access Pass → Generate (有効期限 1 時間-30 日・Use 回数指定可・One-time / Multi-use)。本番運用では IT Help Desk チームに TAP 発行権限を委譲、ユーザーサポート効率化が標準パターンです。
パスワードレス導入のロードマップは?
段階的導入が推奨。Phase 1 (1-3 ヶ月): Microsoft Authenticator 全社展開 + Number Matching 強制 + パスワードレス推奨 (パスワードはまだ有効)。Phase 2 (3-6 ヶ月): Windows Hello for Business を全 Windows デバイスで強制、FIDO2 を特権ロール 50 名に展開。Phase 3 (6-12 ヶ月): Conditional Access で『パスワード認証を Block』ポリシー有効化、パスワードレス完全移行 (Self-Service Password Reset は緊急時のみ)。Phase 4 (12-18 ヶ月): Authentication methods policy で従来 MFA (SMS / Voice Call) を Disable、最高セキュリティ MFA のみに統一。Microsoft の Zero Trust Adoption Framework がガイドラインを提供、Authentication strength policy で柔軟な強制度合いをコントロール可能です。
関連認定試験は?
SC-300 (Identity and Access Administrator Associate) のドメイン 2 (Authentication 25-30%) でパスワードレス認証が深く問われる本領域の本命認定。SC-100 (Cybersecurity Architect Expert) でゼロトラスト戦略の認証強化、MS-102 (Microsoft 365 Administrator Expert) のドメイン 2 で全社展開戦略、AZ-104 (Administrator) で基礎。Microsoft セキュリティ系認定全般で必須の知識領域で、ゼロトラスト戦略の Identities 柱の中核技術です。
関連記事・技術深掘り
SC-300 完全ガイド|Microsoft Identity and Access Administrator Associate 出題範囲・学習リソース・合格戦略【2026 年版】
Microsoft Certified: Identity and Access Administrator Associate (SC-300) の完全ガイド。4 ドメインの出題範囲、Microsoft Entra ID の ユーザー / グループ / アプリ管理、Conditional Access / MFA / PIM / Entra ID Governance の実装、3-4 ヶ月の合格ロードマップ、SC-200 / SC-100 / SC-500 への展開ルートを日本語で網羅。
Microsoft Entra ID Governance 完全ガイド|Entitlement Management・Access Review・Lifecycle Workflows【2026 年版】
Microsoft Entra ID Governance の完全ガイド。Entitlement Management (Access Package)・Access Review・PIM・Lifecycle Workflows・Terms of Use・B2B/B2C を網羅解説。SOC2 / ISO 27001 コンプライアンス対応、JML プロセス自動化、関連認定試験 (SC-300 / SC-100 / MS-102) を日本語で網羅。
Microsoft Entra B2B / External ID 完全ガイド|パートナー招待・顧客認証・Cross-tenant Settings【2026 年版】
Microsoft Entra B2B Collaboration (パートナー組織招待) と External ID for customers (顧客認証) の完全ガイド。ゲスト招待フロー・Cross-tenant Access Settings・External Tenant 構成・Entitlement Management 自動化・Conditional Access 統合・関連認定試験 (SC-300 / MS-102 / SC-100) を日本語で網羅。
Microsoft Entra MFA 詳細ガイド|認証方式選定・Conditional Access・Number Matching・Phishing-resistant MFA【2026 年版】
Microsoft Entra Multi-Factor Authentication (MFA) の詳細ガイド。10 種類の認証方式選定・Conditional Access での MFA 強制・Per-user MFA vs Conditional Access MFA・Security Defaults・MFA Fatigue 攻撃対策・Phishing-resistant MFA・関連認定試験 (SC-300 / SC-100 / MS-102) を日本語で網羅。
本記事の技術情報は Microsoft Entra Passwordless Authentication Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure、Microsoft Entra、Windows Hello は Microsoft group of companies の商標です。FIDO2 / WebAuthn は FIDO Alliance / W3C の規格です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...