一時アクセスパスを使用したパスワードレス認証の実現

今回は、一時アクセスパスを使用したパスワードレス認証の方法を紹介したいと思います。

例えば、Windows Hello for Businessの初回セットアップでは、ユーザーがAuthenticatorや電話番号を用いた多要素認証（MFA）の設定を行うことが必須となっています。

しかし、企業によっては社用携帯を従業員に配布していなかったり、私用の携帯の利用を禁止している場合もあるでしょう。

そのような場合、一時アクセスパスを利用することで、初回セットアップ時の多要素認証の問題をクリアすることができます。

今回は、その構成方法と発行方法について紹介したいと思います。

一時アクセスパスは、特定の期間だけ有効になる1回もしくは複数回利用できるパスコードになります。

このパスコードを利用することで、ユーザーは一時的にシステムにアクセスできます。

新しいデバイスを設定するとき
- 新しいスマートフォンやパソコンを使い始めるときに、一時アクセスパスを使用して簡単にサインインすることが出来ます。
認証方法を忘れてしまったとき
- 普段使用している認証方法（スマートフォンのアプリやセキュリティーキーなど）やデバイス自体をなくしてしまった場合に、一時アクセスパスを使用して一時的にアクセスすることが出来ます。

一時アクセスパスを発行する
- 管理者がユーザーに対して一時アクセスパスを発行します。
- このパスコードは1回だけ使えるものや、複数回使えるものも存在します。
一時アクセスパスでサインイン
- ユーザーは一時アクセスパスを使用してシステムにサインインします。
新しい認証方法を設定
- サインイン後、Microsoft AuthenticatorやFIDO2セキュリティキーなどの新しい認証方法を設定します。

以下に、一時アクセスパスの構成方法を記載します。

Microsoft EntraID管理センターに管理者でサインインします。
[保護]>[認証方法]>[一時アクセスパス]をクリックします。
「有効化およびターゲット」で「有効にする」を[オン]にします。また「ターゲット」では、全ユーザーを対象とする場合は[すべてのユーザー]を選択します。特定のユーザーにだけ適用する場合は[グループの選択]を選択します。
[構成]をクリックします。
[編集]をクリックします。
一時アクセスパスの設定値を入力し、[更新]をクリックします。
- 最短有効期間：ユーザーに対して一時アクセスパスを発行できる最短の時間
- 最長有効期間：ユーザーに対して一時アクセスパスを発行できる最長の時間
- 既定の有効期間：ユーザーに対して一時アクセスパスを発行する際の既定で設定されている時間
- 長さ：発行される一時アクセスパスのパスワードの長さ
- 一時使用を必須にする：いいえにした場合、一時アクセスパスの使用は1度のみ許可
設定後、[保存]をクリックします。

以下に、前章で構成した内容をもとに、ユーザーに対して一時アクセスパスを発行する方法を記載します。

Microsoft EntraID管理センターに管理者としてサインインします。
[ユーザー]>[すべてのユーザー]をクリックし、一時アクセスパス発行のユーザーを検索します。
[認証方法]>[＋認証方法の追加]をクリックします。
「方法の選択」で[一時アクセスパス]を選択し、ユーザーに対して発行する一時アクセスパスの設定をします。設定が完了したら[追加]をクリックします。
- 遅延開始時刻：
  - 設定をしていなければ発行後すぐに一時アクセスパスを利用できます。
  - 設定をすることで一時アクセスパスの利用開始時間を遅延させることができます。
- アクティブ化期間：
  - 前章で設定した最短有効期間と最長有効期間内でユーザーに対して一時アクセスパスを設定をします。
- 一時使用：
  - 発行した一時アクセスパスを複数回使用できるかどうかを設定します。
発行された一時アクセスパスを確認し、[OK]をクリックします。
※一回[OK]を押してしまうと、再度一時アクセスパスを確認できなくなり、再発行する必要があるため、気をつけてください。