マイクロソフト、4月後半にWindowsでEntraパスキーをロールアウト

マイクロソフトは4月後半から、Windowsデバイスからマイクロソフト Entraで保護されたリソースへのフィッシング耐性パスワードレス認証のパスキーサポートをロールアウトします。

この機能は2026年6月中旬までに一般向けに提供される予定で、アンマネージドWindowsデバイスへのパスワードレスサインインも拡大されます。

マイクロソフトは、Windows上のEntraパスキーが企業用、個人用、共有デバイスに対応し、条件付きアクセスと認証方法ポリシーを通じた管理者制御が可能であると述べています。

「ユーザーはWindows Helloコンテナに保存されたデバイスバウンドパスキーを作成でき、Windows Helloメソッド（顔、指紋、またはPIN）を使用して認証できます」とマイクロソフトは述べていますメッセージセンター更新で。

「これにより、パスワードレス認証サポートをMicrosoft Entraに参加していない、または登録されていないWindowsデバイスに拡大し、組織が企業管理、個人用、共有デバイスのシナリオ全体でセキュリティを強化し、パスワードへの依存を減らすことに役立ちます。」

新しいセキュリティ機能は、「認証方法ポリシー」で「マイクロソフト Entra IDとパスキー」を有効にしている組織で利用可能になります。条件付きアクセスポリシーが許可している場合、Microsoft Entraに参加していない、または登録されていないWindowsデバイスにサインインするユーザーが対象です（企業管理、個人用、または共有デバイスからなど）。

また、Windows Helloを使用して顔認識、指紋、またはPINによるマイクロソフト Entra IDへの認証にのみ使用できるセキュアなローカル認証情報コンテナに保存されたFIDO2パスキーの作成も有効にします（Windows Hello for Businessとは異なり、デバイスサインインも有効にします）。

さらに、パスキーは各デバイスに暗号的にバウンドされ、ネットワーク上では送信されないため、攻撃者はフィッシングやマルウェア攻撃中にそれらを盗んで多要素認証をバイパスできません。

マイクロソフトがこの機能を追加した理由は明確にしていませんが、Windows上のマイクロソフト Entraパスキーは、個人用および共有デバイスがマイクロソフト Entra IDのパスワードベースの認証に依存していたセキュリティギャップを埋めています。

ここ数ヶ月間、脅威アクターはマイクロソフト Entraアカウントを大規模に標的にしており、盗まれた認証情報を使用して最近のSaaS データ盗難攻撃の波の中にいます。

BleepingComputerはマイクロソフトに詳細について問い合わせましたが、すぐには応答がありませんでした。

2024年10月、マイクロソフトはセキュリティデフォルトが有効な場合、多要素認証（MFA）登録を必須にすることで、Entraテナント全体のセキュリティを向上させると述べています。これは2023年11月に開始された会社のSecure Future Initiativeの一部として、製品全体のサイバーセキュリティ保護を向上させることを目的としています。

さらに、マイクロソフトは2025年5月に、すべての新しいマイクロソフトアカウントが「デフォルトではパスワードレス」になると発表しました。これはブルートフォース、認証情報の詰め込み、フィッシング攻撃から保護します。