Azure ADに関連したMy Profileのマイ プロファイルポータルで、FIDOキー(FIDOボタンキーFD200-203 または FIDO2セキュリティキーFD210-213)によるパスワードなしFIDO2認証を登録します。
職場アカウントを使用して、マイプロファイルポータル(https://myprofile.Microsoft.com)にパスワードを利用したユーザー認証を実行してしてログインします。そこでは、職場または学校アカウントを管理するために、セキュリティ情報の設定と管理や、接続されている組織とデバイスの管理を行うことができるほか、所属する組織で自分のデータがどのように使用されているかを確認することができます。
Azure ADのアカウントを管理するサイトがmyprofileです。この職場アカウントにFIDO2セキュリティキーを登録します。スマートフォンで動作するMicrosoft Authintication Appを、バックアップのソフトウエア認証器をスマートフォン上に生成してください。
>https://myprofile.microsoft.com/へログインして下さい。
職場アカウントをパスワード認証などを利用して,Azure ADアカウント管理サイト(myprofile.microsoft.com) にログインする。
”セキュリティ情報"の更新情報をクリックして、セキュリティ情報に移動します。
職場アカウントについて再度ユーザー認証が行われます。
Microsoft Authenticatorに登録している職場アカウントでは、スマートフォン上に承認するかどうかの問い合わせがありますので、スマートフォンのアプリサイトで承認をクリックします。
その結果、情報セキュリティサイトへ移動できます。
サインイン方法として、登録済みのサインイン方法が列挙されています。ここでは、”方法の追加”をクリックします。
”方法を追加します”のポップアップで、その方法が選択できる項目が現れます。Microsoft Authenticatorを指す認証アプリも含まれています。ここではセキュリティキーを選択します。
FIDOキーがどのデバイスで利用するキーかを尋ねられます。USBデバイスかNFCデバイスを選択します。次のページで”次へ”をクリックします。FIDOボタンキーFD200やFIDO2セキュリティキーFD210は、USBデバイスです。対象デバイスは、デスクトップパソコンです。
FIDOボタンキーFD202やFIDO2セキュリティキーFD213は、NFCデバイスです。対象デバイスは、デスクトップパソコンだけでなく、NFC(近距離無線通信)を使ってスマートフォンでも利用できます。ただし、登録についてはパソコンでの登録に限定されています。
FIDOボタンキーFD200-203を挿入すると、ボタンタッチの前に暗証番号PINの入力を求められます。その後にボタンキーのLEDが点滅してボタンタッチが要求されます。暗証番号を新たに入力する場合は、任意の4ケタとか6ケタの数字を入力します。
いずれのキーでも、この登録操作で、公開鍵と秘密鍵がFIDOキーの内部で自動的に生成され、公開鍵はAzure AD認証サーバーへ送付されます。
FIDOキー番号を入力します。この番号は任意の文字で構いません。複数のキーがあるとき、どのキーを登録したか記録するのが目的です。
キー番号を入力すると、すべて完了します。
情報セキュリティのサインインの方法に、セキュリティキーの名前が追加されています。同じ列の右端にある”削除”ボタンをクリックすると、登録が削除されます。
Azure ADアカウントの登録サイト > セキュリティ情報 > 方法の選択までは、上記Azure ADへの登録と同じプロセスです。方法の選択の所で、”認証アプリ”を選択します。
スマートフォーン上で、”Microsoft Authenticator"のアプリをダウンロードして、インストールします。。
スマートフォンで、Microsoft Authenticatorを起動します。
表示されるQRコードをスマートフォンのアプリ"Microsoft Authenticator"で読み取る。
このアプリはFIDOキーを紛失または盗まれたときなどにキーの代わりに認証器として利用できます。
この認証アプリは、ワンタイムパスワードで時間ごとに6ケタの数字を表示しますので、その数字をデスクトップパソコンに書き写すことにより2段階目の認証を行います。この機能ノほかに、承諾または拒否のどちらかをクリックを要求して、それを返信する機能もあります。