Entra IDを使ったパスワードレスでのオンボーディングシナリオ

こんにちは、富士榮です。

Entra IDもVerified IDやFIDOなど色々な要素が組み合わさってきているので、それらの機能をどうやって組み合わせて使うのが良いのか？という疑問が湧いてきます。

そんな時にパスワードレスでオンボーディングをするというシナリオに基づくデザイン〜実装ガイドがMicrosoftから発行されていますので、見てみようかと思います。

Phishing-resistant passwordless authentication deployment in Microsoft Entra ID

こちらのドキュメントです。

https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-plan-prerequisites-phishing-resistant-passwordless-authentication

全体像はこんな感じですね。

Onboarding step 1: Identity verification

最初のステップではEntra Verified ID（＋3rdパーティソリューション）を使って政府発行のIDなどで本人確認するところからスタートします。その後、PCのBootstrapではTAP（Temporary Access Pass）を使ってドメイン参加〜認証器のエンロールをする、という流れですね。（もしくは、最近PreviewになったGraph APIで事前にFIDO認証器をプロビジョニングしておく、という方法もありますね）

関連資料）

• Entra Verified ID
• https://learn.microsoft.com/en-us/entra/verified-id/remote-onboarding-new-employees-id-verification
• Temporary Access Pass
• https://learn.microsoft.com/en-us/entra/identity/authentication/howto-authentication-temporary-access-pass#enable-the-temporary-access-pass-policy
• Graph APIでもFIDOクレデンシャルのプロビジョニング
• https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-enable-passkey-fido2#provision-fido2-security-keys-using-microsoft-graph-api-preview

Onboarding step 2: Bootstrap a portable credential

前のフェーズでTAPでBootstrapし、最初のクレデンシャルのエンロールをするタイミングです。ここで重要なのはデバイスにバインドされたクレデンシャルではなくポータブルなクレデンシャルをエンロールすべきである、という点です。当然働き方・デバイスの使い方によって事情は異なりますが、最初のクレデンシャルがデバイスにバインドされてしまうと後々困ることになるからですね。

Onboarding step 3: Bootstrap local credentials on computing devices

ポータブルなクレデンシャルがエンロールされれば、あとは個別のデバイスのセットアップを自由にできるわけです。この段階でデバイスごとのローカルクレデンシャルをエンロールしていきます。典型的にはWindows HelloのPINの生成ですね。要するにローカルの鍵ストアをオープンするための手段を作っていくところです。

まぁ、非常に典型的な話ではありますが、ドキュメントではもっと細かくパターン分けされたデザインが出てきますので、みなさんの仕事の仕方、デバイスの種類を考えて適切なデザインをしていってください。