パスキー認証の現在地－Microsoft Ignite 2025 解説

行く年、来る年、 年忘れセキュリティ 2025 野口 修司 某SIer に所属する インフラ・ネットワーク・認証基盤エンジニア パスキー認証の現在地 －Microsoft Ignite 2025 解説 (認証系資格) Microsoft Identity and Access Administrator (SC-300) Microsoft 365 Administrator Expert (MS-102)

何をやっている人か？ VPN Router VPN Gateway Azure Virtual Network Microsoft Entra ID ポイ活投資 (歴10年超) ポイント収支年間 50万円前後！ ポイ活投資の活動では、 さまざまなポイントや金融系 のアカウントを使っており、 認証系の動向をつかむには 打ってつけの趣味になっています。 - 証券会社 x 9 - 銀行 x 17 GSA - クレカ x 58 - ポイント x 30 (日々タスク） Internet AVD FIDO2 Entra Defender GSA Private Intune Active Directory

FIDO2に関するブログ記事 https://qiita.com/carol0226/stocks/3670cb8678daed11b191 https://qiita.com/carol0226/stocks/3670cb8678daed11b191 FIDO2 Qiita 記事 FIDO2 に関する数多くの記事を投稿しています。 このうち、今日は この記事の内容をダイジェストでお送りします。

• https://qiita.com/carol0226/stocks/3670cb8678daed11b191

フィッシング詐欺多発で、2025年は、パスキーの導入が進んだ 2025年 6月頃 ※２段階認証の必須化（利便性低下） 2025年 10月頃 ※各社の パスキー 対応が進み、利便性 と セキュリティ が大幅向上！ 個人レベルの検証結果 ※次ページ以降で説明

Ignite 2025 パスキーに関する発表 ポイント - 入口防御 - 認証強化 - Synced Passkeys 対応 https://qiita.com/carol0226/items/bbd4db426d1145684550 詳細は、右のリンクの第６章で解説してます → https://qiita.com/carol0226/items/bbd4db426d1145684550 5

• https://qiita.com/carol0226/items/bbd4db426d1145684550

クイズ：Synced Passkeys って、どんな機能でしょうか？ ① Windows Hello の生体認証データをクラウドに同期し、 複数デバイスで共通利用できるようにした機能 ② Microsoft Authenticator の パスキー の秘密鍵をクラウ ドで同期し、別のスマホでも利用できるようにした機能 ③ 3rd Party パスワードマネージャーが持つ同期機能を、 Microsoft Entra ID でも使えるようにした機能 ④ FIDO2 セキュリティキーの秘密鍵を Entra ID にバックアッ プし、紛失時に復元できるようにした機能 6

正解：Synced Passkeys って、どんな機能でしょうか？ 会場の反応 ① Windows Hello の生体認証データをクラウドに同期し、 複数デバイスで共通利用できるようにした機能 あまり居 ない ② Microsoft Authenticator の パスキー の秘密鍵をクラウ 半数くらい 手が挙がる ドで同期し、別のスマホでも利用できるようにした機能 ③ 3rd Party パスワードマネージャーが持つ同期機能を、 Microsoft Entra ID でも使えるようにした機能 ★正解は１名の みでした ※とっても分かりづらい ④ FIDO2 セキュリティキーの秘密鍵を Entra ID にバックアッ パラパラと手 が挙がる プし、紛失時に復元できるようにした機能 7

② 3rd Party パスワードマネージャーが持つ同期機能を、Microsoft Entra ID でも使えるようにした機能 以前は、同期サービスを利用しても 他のデバイスでは使えなかった。 Entra ID が Synced Passkeys に対応したこで、どのデバイスでも使えるようになりました。 ユーザー・グループごとに利用可否の設定が可能で、管理者は デバイスバインドの利用が推奨。 （従来から：デバイスバインド） 3rd Party クラウドサービス （今回発表：Synced Passkeys） 3rd Party クラウドサービス 8

Authenticator のパスキー とは？ PC スマホ パスワード＋通知 は、フィッシング耐性が弱いです。 パスキー は、フィッシング耐性が最強です。ぜひ、切り替えていきましょう。 PC スマホ Bluetooth パスワード＋通知（フィッシングリスクあり、不便） 現在、一般的に普及している MFA の認証方式 パスキー（フィッシング困難、利便性も向上） Microsoft アカウントは、標準で利用可能 Microsoft Entra ID は、テナント管理者が 有効化する必要あり（簡単な作業） ※近々、Authenticator の パスキー の使い方をブログ投稿します。フォローして待ってて！ 9

クイズの補足（不正解） ② Microsoft Authenticator の パスキー の秘密鍵をクラウド で同期し、別のスマホでも利用できるようにした機能 残念ながら、② は不正解です。 現時点では、Authenticator の パスキー が Synced Passkeys に対応したという情報はありませ んが、これこそ 利用者が望んでいる事なので、今後に期待したいと思います。 （現状） iCloud で Authentiactor の パスキー を同期させると、右のように 利用ができなくなります。 「サインイン」ボタンを押して、新規のパスキーとしてセットアップが必要で、その際の MFA認証を行う必要があります。 パスキー以外のアカウント（右図では Google と Amazon）は、パスキーではないので、同期され て利用できてます。パスキーだけが この状態になります。 10

ありがとうございました 現時点では、Authenticator の パスキー は、Microsoft Entra ID と Microsoft アカウントにしか対応しておらず、Synced Passkeys への 対応も未定です。 しかし、認証操作がシンプルで、セキュリティは最高なので、今からで も使っていくべきです。 そのうち、対応サービスも増え、Synced Passkeys にも対応される事 に期待したいと思います。 11