FIDO2セキュリティキーは、パスワードレス認証を実現する強力な手段ですが、Microsoft 365への登録がうまくいかないケースが少なくありません。特に会社の管理下にある端末では、ブラウザの設定やテナントのポリシーが原因でエラーが発生することが多いです。この記事では、登録できない原因をブラウザーとポリシーの二つの観点から切り分け、具体的な対処手順を解説します。実際の操作手順や管理者に確認すべきポイントも含めて紹介しますので、お役立てください。
【要点】この記事で確認すること
- 最初に見る場所: ブラウザーのバージョンとFIDO2対応状況、そしてMicrosoft 365管理センターの認証方法ポリシーです。
- 切り分けの軸: 端末側(ブラウザ、OS、拡張機能)とアカウント側(ライセンス、ポリシー、条件付きアクセス)に分けて原因を特定します。
- 注意点: 会社PCではグループポリシーやモバイルデバイス管理によりブラウザ設定が制限されている場合があります。管理者の了承なく設定変更を行わないでください。
ADVERTISEMENT
目次
FIDO2セキュリティキー登録に必要な環境
FIDO2キーをMicrosoft 365に登録するためには、いくつかの前提条件が満たされている必要があります。まずは環境全体を確認しましょう。
ブラウザーの要件
FIDO2認証はWebAuthn APIを利用するため、ブラウザがこのAPIに対応している必要があります。主要なブラウザでは以下のバージョン以降で対応しています。
- Microsoft Edge: バージョン 83以降
- Google Chrome: バージョン 67以降
- Mozilla Firefox: バージョン 60以降
- Apple Safari: バージョン 13.1以降(macOSのみ)
また、ブラウザが安全なコンテキスト(HTTPS)で動作していることも必要です。Microsoft 365はHTTPSで提供されているため、通常は問題になりませんが、ローカルのテストページなどでは注意が必要です。
Microsoft 365のテナント設定
テナント管理者が、認証方法ポリシーでFIDO2セキュリティキーを有効にしている必要があります。この設定はMicrosoft Entra管理センターから行います。具体的には「保護」→「認証方法」→「ポリシー」で「FIDO2セキュリティキー」を「有効」にし、ユーザーまたはグループにターゲットを設定します。
ユーザーアカウントの前提
ユーザーにはMicrosoft 365の適切なライセンス(通常はMicrosoft 365 E3以上)が割り当てられている必要があります。また、条件付きアクセスポリシーがFIDO2登録をブロックしていないかも確認が必要です。
ブラウザーが原因で登録できないケース
登録画面で「セキュリティキーが見つかりません」や「内部エラーが発生しました」と表示される場合、ブラウザに問題があることが多いです。
ブラウザの互換性とバージョン
会社のポリシーで古いブラウザが強制されているケースがあります。例えば、Internet Explorer 11はFIDO2非対応のため、EdgeやChromeに切り替える必要があります。また、Edgeの場合は「互換表示設定」が原因で正常に動作しないこともあります。
拡張機能の影響
広告ブロッカーやパスワードマネージャーの拡張機能がWebAuthnの処理を妨害することがあります。特に、uBlock OriginやLastPassなどの拡張機能が原因で登録に失敗した事例があります。一度すべての拡張機能を無効にして試してみてください。
プライベートブラウジングの問題
シークレットモード(InPrivate ブラウジング)では、拡張機能が無効になる場合がありますが、逆にブラウザのストレージ制限によりWebAuthnが正しく動作しないことがあります。通常のブラウジングモードで試すことをおすすめします。
ポリシーが原因で登録できないケース
ブラウザに問題がないのに登録できない場合、テナント側のポリシーが原因であることが多いです。
条件付きアクセスポリシー
管理者が条件付きアクセスポリシーで、FIDO2キーの登録を許可する前に特定の条件(例:社内ネットワークからのみ登録可能)を設定している場合があります。自宅や外部ネットワークから登録しようとするとブロックされることがあります。会社のネットワークに接続してから再試行するか、管理者に確認してください。
認証方法ポリシー
認証方法ポリシーで、FIDO2キーの利用が許可されていない可能性があります。特に、キーの種類(セキュリティキー vs プラットフォームキー)やキープロバイダーが制限されている場合があります。管理者にポリシー設定を確認してもらい、許可を依頼しましょう。
デバイス登録制限
Entra IDに登録されているデバイスの数に上限がある場合があります。既定では1ユーザーあたり最大5つのFIDO2キーが許可されますが、設定により変更可能です。すでに5つ登録済みの場合は新しいキーを追加できません。管理画面で既存キーを削除するか、上限を引き上げてもらう必要があります。
トラブルシューティング手順
実際に問題を解決するための手順を順序立てて説明します。
- ブラウザのバージョンを確認する。 使用しているブラウザがFIDO2対応バージョンかどうかを確認します。必要に応じて最新版に更新してください。
- 拡張機能をすべて無効にする。 ブラウザの設定から拡張機能を無効にし、再読み込みします。複数の拡張機能がある場合は、一つずつ有効にして原因を特定することも有効です。
- 別のブラウザで試す。 問題の切り分けとして、EdgeとChromeなど別のブラウザで登録を試みます。一方で成功すれば、元のブラウザに問題があると判断できます。
- シークレットモードではなく通常モードで試す。 プライベートブラウジングを解除して、通常のウィンドウで再度試してください。
- セキュリティキーの認識を確認する。 OSがキーを認識しているか確認します。Windowsでは「設定」→「Bluetoothとデバイス」→「デバイス」でキーが表示されるかをチェックしてください。
- FIDO2キーのファームウェアを更新する。 一部のキーはファームウェア更新で問題が解決することがあります。メーカーのツールを使用して最新バージョンに更新してください。
- テナントのポリシーを確認する。 管理者に依頼し、認証方法ポリシーと条件付きアクセスポリシーを確認してもらいます。特に「FIDO2セキュリティキー」が有効であり、適切なユーザーグループに割り当てられているかをチェックします。
失敗パターンと対処法
よくある失敗のパターンを表にまとめました。該当する症状がないか確認してください。
| 症状 | 原因 | 対処法 |
|---|---|---|
| 「セキュリティキーが見つかりません」と表示される | ブラウザがWebAuthnをサポートしていない、またはUSB接続が不安定 | ブラウザのアップデート、別のUSBポートに接続、別のブラウザで試す |
| 「内部エラーが発生しました」で登録が進まない | 拡張機能の干渉、またはブラウザの互換表示設定 | 拡張機能を無効化、互換表示設定をオフにする |
| 「このアカウントでは利用できません」と表示される | ライセンス不足、またはポリシーでFIDO2が無効 | 管理者にライセンスと認証方法ポリシーを確認 |
| キーを挿したが認識されず、PIN入力画面にならない | キーの互換性問題、またはWindows Helloの設定 | 「設定」→「アカウント」→「サインイン オプション」でセキュリティキー管理を確認 |
| 条件付きアクセスでブロックされる | IPアドレスやデバイスコンプライアンスが条件を満たさない | 社内ネットワークに接続、またはデバイスのコンプライアンス対応 |
管理者に確認すべきポイント
ユーザーだけで解決できない場合、管理者の協力が必要です。以下の情報をまとめて管理者に伝えることで、迅速な対応が期待できます。
- 認証方法ポリシーの設定: 「FIDO2セキュリティキー」が有効になっているか、対象ユーザーが正しくグループに含まれているか確認してもらいます。
- 条件付きアクセスポリシーの確認: FIDO2登録に関連するポリシーがないか、特に「登録セキュリティ情報」コントロールが設定されていないか確認します。
- ユーザーライセンス: Microsoft 365 E3以上、またはAzure AD Premium P1が必要です。ライセンスが不足している場合はアップグレードが必要です。
- デバイス制限: Entra ID管理画面でユーザーに割り当て可能なFIDO2キーの上限数と、現在の登録数を確認します。
- ブラウザ管理ポリシー: 会社の管理ポリシーでブラウザの自動アップデートが無効になっていたり、拡張機能が強制インストールされていないか確認します。
よくある質問
Q1: FIDO2キーを登録するのに管理者権限は必要ですか?
A: いいえ、通常のユーザー権限で登録可能です。ただし、ブラウザの設定やOSのドライバ更新などで管理者権限が必要になる場合があります。その場合はIT部門に依頼してください。
Q2: スマートフォンの内蔵セキュリティキー(プラットフォームキー)も登録できますか?
A: できますが、テナントの認証方法ポリシーで「プラットフォームキー」が許可されている必要があります。管理者に確認しましょう。
Q3: エラーメッセージが英語で表示されて困っています。日本語にする方法はありますか?
A: Microsoft 365の表示言語はアカウント設定で変更できます。ポータルの右上の歯車アイコンから「言語と地域」を選択し、日本語に設定してください。ただし、一部のエラーメッセージはブラウザの言語に依存します。
Q4: 登録作業中にキーを抜いてしまいました。どうすればいいですか?
A: そのまま登録処理は中断されます。再度キーを挿入して最初からやり直してください。中途半端なデータが残ることはありません。
Q5: 一度登録したキーを別のユーザーに譲ることはできますか?
A: FIDO2キーはハードウェアに紐づくため、原則として一度ユーザーに登録するとリセットしない限り再使用できません。キーの管理機能から削除してから他のユーザーが登録できますが、キーの初期化が必要な場合があります。
まとめ
FIDO2セキュリティキーの登録ができない場合、原因の多くはブラウザの互換性かテナントのポリシー設定にあります。まずはブラウザのバージョンと拡張機能を見直し、次に管理者に認証方法ポリシーを確認してもらいましょう。条件付きアクセスポリシーが予期せぬブロックをかけていることもあるので、ネットワークの環境も考慮する必要があります。以上のような段階的な切り分けにより、迅速に問題を解決できるはずです。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順