1Password に Microsoft Entra ID の同期パスキーを保存してみる
弊社でも取り扱いのある 1Password のちょっとした活用事例をご紹介します。
はじめに
近年、パスワードレス認証の中核として パスキー(Passkey) が急速に普及しています。
Microsoft Entra ID でも、FIDO2 をベースとしたパスキー認証が利用可能となっており、同期パスキーとして、Apple iCloud キーチェーン、Google パスワード マネージャー、1Password などのパスキープロバイダーが利用できます。
今回は、Microsoft Entra ID の「パスキープロファイル」機能を有効化し、1Password に Microsoft アカウントの同期パスキーを登録する方法について、管理者設定から実際のユーザー体験までを一連の流れで解説します。
1Password を利用していて、「複数端末で安全にパスキーを使い回したい」といった方の参考になれば幸いです。
設定
1. Entra ID でパスキープロファイルを有効にする
管理者は以下の参考資料をもとに、Microsoft Entra 管理センター での設定を行います。
1.1 Microsoft Entra 管理センターにアクセスします。
1.2 Entra ID > 認証方法 と進みます。
1.3 [ ポリシー ] を選択します。
1.4 [ パスキー(FIDO2) ] を選択します。
パスキー(FIDO2)の選択
2. 1Password へのパスキーの登録
ユーザーの設定手順の一例を記載いたしますので参考にしていただければ幸いです。
前提条件
Safari や Google Chrome の拡張機能で 1Password が利用可能なこと
2.1 https://mysignins.microsoft.com/ にアクセスします。
2.2 [セキュリティ情報] をクリックします。
2.3 [ サインイン方法の追加 ] をクリックします。
サインイン方法の追加
2.4 [パスキー]をクリックします。
サインイン方法の追加選択肢画面
2.5 [次へ]をクリックします。
パスキーの作成を促すポップアップ
2.6 [次へ]をクリックします。
パスキー設定
2.7 拡張機能によりパスキーの保存を求められるので、任意の保存方式で保存します。
拡張機能を利用したパスキーの保存
2.8 任意の名前をつけて、[次へ]をクリックします。
パスキーの登録設定
2.9 パスキーが作成されたので、[完了]をクリックします。
パスキー作成完了画面
サインインの挙動確認
1. 利用要件
同期されたパスキーを使用するための最小デバイス要件の概要は下記サイトに記載があります。
2. サインイン時の挙動
https://mysignins.microsoft.com/ にアクセスして、サインインを試していきます。
今回は、2パターンご紹介いたします。
※Conditional Access や MFA 設定により挙動が異なる場合がございます。
2.1 パターン1 でのサインイン
2.1.1 メールアドレスを入力します。
サインイン画面
2.1.2 拡張機能により、パスキーでのサインインを求められますので、[ サインイン ] をクリックします。
拡張機能でのサインイン
2.1.3 サインイン完了
2.2 パターン2 でのサインイン
2.2.1 [ サインイン オプション ] をクリックします。
サインイン画面
2.2.2 パスキーを利用するための選択肢をクリックします。
サインインオプションの選択
2.2.3 拡張機能により、パスキーでのサインインを求められますので、[ サインイン ] をクリックします。
拡張機能でのサインイン
2.2.4 サインイン完了
3. 感想
今回のこの設定により、条件によりますが、
- パスワード入力が完全に不要
- デバイス変更時も 1Password 経由で即利用可能
- セキュリティキーを物理的に持ち歩く必要がない
といった、メリットが得られるのではないかと感じました。
特に、スマホ交換時の Authenticator の再設定から解放されるのであれば、利便性と安全性のバランスが非常に良いと感じました。
さいごに
1Password へのパスキー登録により、
- パスワードレス
- フィッシング耐性
- デバイス非依存
という、現実的かつ運用しやすい認証基盤を構築できます。
今後、Conditional Access との組み合わせや、「パスキーのみ許可」といった強制ポリシーのと組み合わせることで、より強固な構成につなげられるでしょう。
最後までお読みいただき、ありがとうございました。
以上、今回の記事は住吉が担当しました。