Entra ID のパスワードレス、情シス視点でまとめてみた
当社別マガジンのパスワードレスに関する記事に便乗してみます。
記事中で頻繁に出てくる "パスワードレス" という言葉、Microsoft のドキュメントの中でもとても曖昧に使われていて、定義もはっきりしない。
「パスワードレス」?「パスワードレス認証」?2つに違いがあるのか?美味いのか?
というわけで、Entra ID (Azure AD) 界隈に限った中で「パスワードレス」の定義を考察してみます。
語感
"パスワードレス" という単語の語感からすると、単純に「パスワードなし」という意味しか持っていないですよね。
「パスワードなし」を情シス目線で運用を視野に入れて捉えようとすると、以下の3つの意味と、それに付随した導入・運用パターンが思い浮かんできます:
パスワード以外で認証するという意味
→ パスワード以外の方法でも認証できるようにするだけで、パスワード認証はそのまま残す (No Care)認証基盤からパスワード認証をなくすという意味
→ パスワード認証を完全に無効にして、別の認証方法を使わせるパスワード認証を使うシーンがないようにするという意味
→ パスワードを知らないことで、別の認証方法を使わせる
この3つのパターンをベースに Entra ID と照らし合わせて整理していきましょう。
1. パスワード以外で認証するという意味
簡単にいうと、前述の当社記事の内容を設定しただけの状態です。
Windows PC、特に Azure AD 参加している PC において、Windows Hello for Business (WHfB) をセットアップすると、この状態になります。
ユーザーは Entra ID アカウントのパスワードを知っていて、そのパスワードを使って PC にサインインし、WHfB をセットアップすることで、PIN や生体認証を使って PC にサインインできるようになります。
WHfB セットアップ後もパスワードによるサインインは可能です。生体認証や PIN に不具合が発生した場合の代替手段として、パスワードでもサインインできるようにしておく、という考え方もあります。
が、これでは「パスワードを書いた付箋を貼る」、「パスワードを記載しておいた手帳やメモと一緒に PC を紛失する」など、ユーザーの過失によるパスワード漏洩や、それを用いた侵入などのリスクをなくすことはできません。
2. 認証基盤からパスワード認証をなくすという意味
極端な話、そもそもパスワードによる認証をブロックしてしまえば純然たる "パスワードレス" と胸を張って言えますが、Entra ID ではパスワード認証を無効にすることができません (2023/10/6 現在)。
細かいことを言うと、オンプレミス Active Directory と同期したユーザーだとそれっぽいことができたり、Azure AD 参加 PC にパスワード認証でサインインできないようにする方法もありますが、認証基盤としての Entra ID に対してパスワード認証機能を削除することはできません。
蛇足ですが、個人用の Microsoft アカウントではすでにパスワードを削除できるようになっているので、その方法のリンクを載せておきますね。
3. パスワード認証を使うシーンがないようにするという意味
ユーザーがパスワード認証を使うシーンがないように運用設計をする手法です。
パスワードを使うシーンがなければ、ユーザーにパスワードを教える必要もなく、特に 1. で言及したユーザー過失のパスワード漏洩リスクを回避できます。
このアプローチで運用されている企業もあります。
3.1 旧来の運用例
この手法の旧来のやり方の代表として、PC セットアップ時に管理者がユーザーの元に出向き、管理者がそのユーザーの Entra ID アカウントのパスワードを使って PC にサインイン、その後の WHfB のセットアップ ウィザードをユーザーに設定させて、ユーザーには PIN や生体認証だけしか使わせない、という運用があります。
このやり方にはいくつか注意点があり、以下のような運用を行なっていると危険です。
運用簡素化のため、全ユーザーに同じパスワードを設定している
管理者しかパスワードを知り得ないと言えども、これでは仮にパスワードが漏れた場合、全アカウントがリスクにさらされることになってしまいます。全ユーザーのパスワードを台帳に記入している
特に紙台帳を紛失したら…言わずもがなですね。
3.2 一時アクセス パスの使用
3.1 の運用例を改善する方法として、Entra ID では「一時アクセス パス」という機能がリリースされています。
「一時アクセス パス」とは、時間制限付きのパスコードです。
新規ユーザー アカウントの初回サインインや、トラブル時の多要素認証の再セットアップなど、稀に必要なときだけ、期限付きで管理者が発行します。
これを使うことで、ユーザーにパスワードを教えたり、管理者が PC セットアップに付き添う必要はなくなります。さようならパスワード台帳。
つづく
結論、Entra ID ではパスワード認証を無効にすることはできないが、ユーザーがパスワード認証を使わないようにすることはできる、というお話でした。
文章ばかりで長くなってしまったので、一時アクセス パスを使ったパスワードレス運用については、次回詳しく紹介します。
当社では Microsoft 365 を使い倒すためのお手伝いもしていますので、お気軽にご相談ください!
この記事が気に入ったらサポートをしてみませんか?