MicrosoftがWindowsにEntraパスキーを導入 – デバイスがジェイルブレイクされている場合は残念ですが、あなたの…

Entraパスキーはより簡単かつ安全になりました

「Entra保護されたリソースへのフィッシング耐性のあるサインインを実現するために、WindowsにMicrosoft Entraパスキーを導入しています。このアップデートにより、ユーザーはWindows Helloコンテナに保存されたデバイスバウンドパスキーを作成し、Windows Helloのメソッド（顔、指紋、またはPIN）を使用して認証できるようになります」と、Microsoftが発表しました。

この新しいパスキーフレンドリーなエクスペリエンスはパスワードを完全に廃止し、従来のフィッシングと認証情報詰め込み攻撃から保護するのに役立ちます。アカウントにアクセスするために必要なFIDO2秘密鍵はデバイス上のトラステッドプラットフォームモジュールまたはセキュアエンクレーブに安全に保存されているため、デバイスからネットワーク経由で送信することはできません。

Windowsデバイス上のMicrosoft Entraは現在オプトイン方式であり、2026年3月中旬から4月下旬頃に公開プレビューに入ります。登録するには、IT管理者は以下を実行する必要があります：

1. Entra認証メソッドポリシーでパスキー（FIDO2）認証メソッドを有効にします
2. 必要なWindows Hello AAGUIDを使用してパスキープロフィルを作成します
3. プロフィルを適切なグループに割り当てます

クラックされたデバイスは削除されます

しかし、すべてが良いニュースではありません。Microsoft Authenticatorはジェイルブレイクまたはroot化されたデバイスのスキャンを開始したため、価値がないと判断したデバイスからEntra認証情報に警告を表示、ブロック、その後自動的に削除します。

AndroidのMicrosoft Authenticatorは既にデバイスをスキャンしていますが、iOSデバイスのロールアウトは2026年4月まで開始されません。

デバイスがroot化またはジェイルブレイクされていることが判明した場合、次のステップが約1ヶ月間隔で発生します：

1. デバイスはデバイスがroot化またはジェイルブレイクされていることを示す警告メッセージを表示し、デバイスがブロックされることを示します。
2. その後、ユーザーはMicrosoft Entra認証情報へのアクセスまたはMicrosoft Authenticatorを使用したサインインがブロックされます。
3. デバイスはその後「削除モード」に入り、デバイスから既存のすべてのEntra認証情報を削除します。

このプロセスは自動的であり、オプトアウトはありません。Microsoftは最善の意図を持っていますが、特にroot化またはジェイルブレイクされたスマートフォンは重要なセキュリティ管理を回避できるため、ユーザーがデバイスをクラックしようとする正当な理由があります。

一部のアプリケーションとソフトウェアは特定のオペレーティングシステムと相性がありません。特にAndroidのようにすべてを整然とし、整理された、その独自のエコシステム内で検証されたものを保つように設計されているものです。

TheRegisterと話すと、Microsoftのスポークスパーソンは「Microsoft AuthenticatorはGrapheneOSで正式にサポートされていません。GrapheneOSを実行し、root化されたものとして検出されるデバイス上のEntraアカウントは今後影響を受ける可能性があります」と述べました。

「Microsoftはroot化またはジェイルブレイクされたデバイスを検出するために、ローカルのヘルスチェックと改ざん防止チェックの範囲を使用しています。新しい脅威が出現すると、これらの保護は継続的に更新されます。回避を制限し、効果を維持するのに役立つため、Microsoftは特定の検出方法を公開していません。」