こんにちは、Azure Identity サポート チームの 村上 です。
本記事は、2022 年 6 月 22 日に米国の Azure Active Directory Identity Blog で公開された Secure authentication method provisioning with Temporary Access Pass を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。
皆さん、こんにちは。
本日は、一時アクセス パス (Temporary Access Pass、以下 TAP) が一般提供となりましたことをお知らせします。TAP のパブリック プレビューを 発表 して以来、マイクロソフトでは数多くの取り組みを進めていました。
弊社ではパスワードレスでのサインインに MS Authenticator を使用しています。社員がリソースにアクセスするにはパスワードレスのみを許可しています。登録は TAP を用いて行われ、従来のようにパスワードをユーザーに渡す必要がなくなりました…” - EU のグローバル玩具メーカー
このリリースを担当したプロダクト マネージャーの一人である Tim Larson に、これらのアップデートの概要、TAP を使用したパスワードレスのアカウント登録、そしてリカバリのシナリオについて解説してもらいます。Tim のブログは以下をご覧ください。
Alex Simons(Twitter: @alex_a_simons)
マイクロソフト アイデンティティ部門
コーポレート バイスプレジデント、プロダクト マネジメント
皆さん、こんにちは。
以下では、TAP に関する変更と改善、そしてパスワードレスを始めるために TAP をどのように活用できるかを紹介します。
TAP とは?
TAP は時間制限付きパスコードで、ユーザーがパスワードレスの認証方法を登録し、パスワードを使用せずともアカウントへのアクセスを回復するために使用できるものです。また、TAP を使用して Windows デバイスを設定することができます。ユーザーが直接自分のデバイスを設定したり、Windows AutoPilot を使用してデバイスを Azure AD に参加 させたり、Windows Hello for Business の設定において、TAP を使用したりることも可能です。
管理者体験
認証方法ポリシーで、組織向けに TAP を設定および構成することができます。例えば、TAP の割り当てを特定のユーザーやグループに限定したり、短期間の使用に限定したり、また、1 回限りの使用に設定したりすることができます。
ポリシーによって認証方法が有効になると、特権認証管理者または認証管理者は、ユーザーの認証方法ブレードにアクセスするか、API でアクセスすることによって、そのユーザーに TAP を作成することができます。また、管理者が既存の TAP を上書きする機能も追加されました。以前に作成した TAP をユーザーが忘れたり紛失したりした場合、同じ手順で TAP をユーザーのアカウントに追加するだけで、古い TAP が削除されます。
エンド ユーザー体験
ユーザーが有効な TAP を取得すると、Authenticator アプリから直接パスワードなしの電話サインイン や、マイセキュリティ情報ページ から FIDO2 キーの追加、さらには Azure AD 参加および Hybrid Azure AD 参加端末での Windows Hello for Business セットアップなど、サインインやセキュリティ情報の登録に使用することができます。MFA が必要なシナリオでは、TAP を追加要素として使用することもできます。
詳細について
TAP の設定方法については、こちらの ドキュメント をご覧ください。
新入社員のオンボーディング体験は、組織ごとに異なる場合があります。TAP は Microsoft Graph API を通して利用できるため、既存のアプリケーションや 人事主導のプロビジョニング プロセスに組み込むことができます。ニーズに合わせて TAP を構成するためのポリシー API については、こちら をご覧ください。
皆様のご意見をお聞かせください
TAP があなたのパスワードレスの導入に役立つことを願っています。お試しいただき、質問やフィードバックをお寄せください。
Tim Larson (@tim_c_larson)
マイクロソフト アイデンティティ部門
シニア プロダクト マネージャー
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。