パスワードレス認証は、セキュリティ向上とユーザー体験の改善に大きく貢献する認証方式です。しかし、いざ有効にしようとしたときに「対象ユーザーが表示されない」「登録ボタンがグレーアウトしている」「認証方法自体が選択できない」といった問題に直面することがあります。こうしたトラブルの多くは、Entra ID(旧Azure Active Directory)の認証方法ポリシーが正しく設定されていないことが原因です。本記事では、パスワードレス認証を有効にできない場合に確認すべき認証方法ポリシーのポイントを、具体的な手順とともに解説します。
【要点】この記事で確認すること
- 最初に見る場所: Azure portal > Entra ID > 保護 > 認証方法 > ポリシー
- 切り分けの軸: 端末側(OSバージョン・ブラウザ・TMPなど)、アカウント側(ライセンス・グループ割り当て)、管理設定側(ポリシーの有効/無効・対象スコープ)
- 注意点: 認証方法ポリシーの変更は組織全体のサインインに影響するため、テストユーザーや段階的なロールアウトを推奨します。管理者権限がない場合は変更せず、IT部門に連絡してください。
ADVERTISEMENT
目次
1. パスワードレス認証の種類と前提条件
主要なパスワードレス認証方式
Entra IDで利用できるパスワードレス認証には、以下の3つの主要な方式があります。それぞれ利用条件が異なりますので、まずは自分が使いたい方式が組織で許可されているかを確認しましょう。
- Windows Hello for Business: デバイスにサインインする際にPINや生体認証を使う方式。Windows 10/11 Pro/Enterprise、Hybrid Azure AD JoinまたはAzure AD Joinが必要です。
- Microsoft Authenticatorアプリ: スマートフォンにインストールしたアプリで承認する方式。iOSまたはAndroid、アプリの最新バージョンが必要です。
- FIDO2セキュリティキー: USBやNFCのハードウェアキーを使う方式。対応ブラウザ(Edge、Chrome、Firefoxなど)とOSが必要です。
前提条件
パスワードレス認証を有効にするには、Entra IDのライセンス(P1またはP2)が必要です。無料ライセンスでは一部の機能が制限される場合があります。また、各方式ごとにデバイスのOSバージョンやブラウザの要件があります。例えば、FIDO2キーを使うためにはWindows 10 version 1903以降などが推奨されます。さらに、認証方法ポリシーで明示的に「有効」に設定され、対象ユーザーまたはグループが指定されている必要があります。
2. 認証方法ポリシーの確認手順
Azure portalでの確認方法
以下の手順で、現在の認証方法ポリシーを確認できます。この操作にはグローバル管理者または認証ポリシー管理者の権限が必要です。
- ブラウザで https://portal.azure.com にアクセスし、管理者アカウントでサインインします。
- Azure portalのホーム画面で「Azure Active Directory」を検索して開きます。現在は「Microsoft Entra ID」という名称に変更されていますが、検索では旧名でもヒットします。
- 左メニューから「保護」を選択し、「認証方法」をクリックします。
- 認証方法の一覧から、有効にしたい方式(例:「FIDO2 セキュリティ キー」「Microsoft Authenticator」「Windows Hello for Business」)をクリックします。
- 各方式のポリシー画面で「有効」または「対象」の設定が「すべてのユーザー」または適切なグループになっていることを確認します。ステータスが「無効」のままでは、ユーザーはその方式を登録できません。
- 必要に応じて「構成」タブで詳細設定(例:FIDO2キーの認証方法制限、キーの種類など)も確認します。
対象ユーザーまたはグループの設定確認
ポリシーが「有効」になっていても、対象ユーザーまたはグループに自分が含まれていないと利用できません。Azure portalの「認証方法」画面で、各方式の「対象」欄に表示されているグループ名を確認し、自分がそのグループのメンバーであるかどうかを確認してください。グループのメンバーシップは「グループ」メニューから検索できます。
3. 認証方法ポリシーの設定項目と注意点
認証方法ポリシーには、方式ごとに細かい設定項目があります。以下の表に主な設定項目と注意点をまとめました。
| 認証方式 | 主な設定項目 | 注意点 |
|---|---|---|
| Windows Hello for Business | Windows Helloを有効にする、TPM要件、PINの長さなど | Hybrid Azure AD Join環境では、オンプレミスのGPOとの競合に注意 |
| Microsoft Authenticator | パスワードレス サインインを有効にする、許可するモード(プッシュ通知、パスコード) | ユーザーがスマートフォンでアプリをセットアップする必要がある |
| FIDO2 セキュリティ キー | キーの種類(USB、NFC)、許可するキー ベンダー、制限付きキー | ブラウザとOSがFIDO2対応であることの確認が必要 |
よくある失敗パターンとして、ポリシーが「有効」でも「対象」が「なし」になっているケースがあります。また、FIDO2キーの場合、キーのベンダーが許可リストに含まれていないと登録できません。Microsoft Authenticatorの場合、パスワードレス サインインが「無効」のままだと、多要素認証のワンタイムパスワードのみ利用可能で、パスワードレス認証は使えません。
ADVERTISEMENT
4. トラブルシューティング:有効にできない場合の切り分け
端末側の問題
まずは端末の状態を確認します。Windows Hello for Businessを有効にするためには、デバイスがAzure AD JoinまたはHybrid Azure AD Joinされている必要があります。また、TPM(Trusted Platform Module)バージョン2.0が必須です。FIDO2キーを利用する場合は、ブラウザのバージョンが最新か、WebAuthn APIに対応しているかをチェックしてください。スマートフォンでMicrosoft Authenticatorを使う場合は、アプリのアップデートが利用可能かどうかも確認します。
アカウント側の問題
ユーザーアカウントに適切なEntra IDライセンス(P1またはP2)が割り当てられているか確認します。無料ライセンスでも一部のパスワードレス認証は使用できますが、条件付きアクセスなど高度な機能を使う場合はライセンスが必要です。また、ユーザーが多要素認証(MFA)を登録していないと、パスワードレス認証に進めない場合があります。Microsoft Authenticatorのパスワードレス サインインを有効にする前に、まずMFAの登録が必要です。
管理設定側の問題
前述の認証方法ポリシーに加えて、条件付きアクセスポリシーが影響している可能性もあります。例えば、すべてのクラウドアプリにMFAを要求するポリシーが有効で、かつパスワードレス認証が信頼済みデバイスとして認められていない場合、ブロックされることがあります。また、「認証強度」ポリシーが設定されている場合も、パスワードレス方式が許可されているかを確認する必要があります。管理者は、サインインログ(Entra ID > 監視 > サインイン ログ)を確認し、エラーコード(例:53000, 53003など)を手がかりに原因を特定できます。
5. よくある質問(FAQ)
Q1. 認証方法ポリシーで「有効」にしているのに、ユーザーが登録画面でエラーになります。
A. ポリシーの「対象」が正しいグループに設定されているか確認してください。また、グループにユーザーが追加されてから最大30分程度反映に時間がかかる場合があります。グループの種類が「セキュリティグループ」であることも確認してください。
Q2. FIDO2キーを登録しようとしたら「このブラウザではサポートされていません」と表示されます。
A. ブラウザがWebAuthnに対応しているか確認します。Microsoft Edge、Google Chrome、Mozilla Firefox、Apple Safari(一部)は対応しています。ブラウザのバージョンが古い場合は更新してください。また、一部の企業環境ではブラウザのセキュリティ設定でWebAuthnが無効にされている可能性があります。
Q3. Microsoft Authenticatorでパスワードレス サインインが有効になりません。
A. まず、認証方法ポリシーでMicrosoft Authenticatorが「有効」かつ「パスワードレス サインインを許可する」がオンになっていることを確認します。次に、ユーザーがAuthenticatorアプリに職場アカウントを追加し、画面の指示に従ってパスワードレス サインインの設定を完了する必要があります。もし既に設定済みで動作しない場合は、アプリのキャッシュを削除して再設定してみてください。
6. まとめ
パスワードレス認証を有効にできない原因の大半は、Entra IDの認証方法ポリシーの設定ミスです。ポリシーが「有効」でも「対象」が空欄になっていないか、方式ごとの追加設定が要件を満たしているかを確認することが第一歩です。端末やアカウントの前提条件も忘れずにチェックし、問題が解決しない場合はサインインログを参照すると手がかりが得られます。管理者は定期的にポリシーを見直し、ユーザーへの展開計画を段階的に実施することで、トラブルを未然に防ぐことができます。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築