Microsoftは、4月下旬からWindowsデバイス上のMicrosoft Entra保護リソース向けに、フィッシング耐性のあるパスワードレス認証のためのパスキーサポートを展開します。 この機能は2026年半ばまでに一般提供が開始される見込みで、管理されていないWindowsデバイスにもパスワードレスサインインが拡張されます。 Microsoftによると、Windows上のEntraパスキーは、企業、個人、共有デバイスをサポートし、Conditional AccessおよびAuthentication Methodsポリシーを通じて管理者が制御できます。 Microsoftはメッセージセンターのアップデートで、「ユーザーはWindows Helloコンテナに保存されたデバイスバウンドパスキーを作成し、Windows Helloの方法（顔、指紋、またはPIN）を使用して認証できます」と述べています。 「これにより、Microsoft Entraに参加または登録されていないWindowsデバイスへのパスワードレス認証サポートが拡張され、組織はセキュリティを強化し、企業管理、個人、共有デバイスのシナリオ全体でパスワードへの依存を減らすことができます。」 この新しいセキュリティ機能は、Conditional Accessポリシー（例：企業管理、個人、または共有デバイスから）が許可する場合、Microsoft Entraに参加または登録されていないWindowsデバイスにサインインするユーザーに対して、「Authentication Methods policy」で「Microsoft Entra ID with passkeys」を有効にしている組織で利用可能になります。 また、Windows Helloを使用してMicrosoft Entra IDへの認証にのみ使用できるセキュアなローカル資格情報コンテナに保存されたFIDO2パスキーの作成も可能になります。顔認識、指紋、またはPINを使用します（デバイスサインインも有効にするWindows Hello for Businessとは異なります）。 | Feature | Microsoft Entra passkey on Windows | Windows Hello for Business | |---|---|---| | Standard base | FIDO2 | FIDO2 for authentication, first-party (1P) protocol for device sign-in | | Registration | User-initiated, doesn't require device join or registration | Automatically provisioned on some Microsoft Entra joined or registered devices during device registration | | Device sign-in and single sign-on (SSO) | N/A | Enables device sign-in and SSO to Microsoft Entra-integrated resources after device sign-in | | Credential binding | Bound to the device and stored in the local Windows Hello container. Users can register multiple passkeys for multiple work or school accounts on the same device. | Primarily a device-bound sign-in method linked to device trust. The credential is tied only to the work or school account used to register the device. | | Management | Microsoft Entra ID Authentication methods policy | Microsoft Intune<br> Group Policy | さらに、パスキーは各デバイスに暗号学的にバインドされ、ネットワークを介して送信されないため、攻撃者はフィッシングやマルウェア攻撃中に盗んで多要素認証を回避することはできません。 Microsoftはこの機能が追加された理由を共有していませんが、Windows上のMicrosoft Entraパスキーは、これまで個人および共有デバイスがパスワードベースのMicrosoft Entra ID認証に依存していたセキュリティギャップを埋めます。 最近の数ヶ月間、攻撃者は、最近のSaaSデータ窃盗攻撃の波で、[盗まれた資格情報](https://www.bleepingcomputer.com/news/security/shinyhunters-claim-to-be-behind-sso-account-data-theft-attacks/)を使用して、Microsoft Entraシングルサインオン（SSO）アカウントを[標的](https://www.bleepingcomputer.com/news/security/hackers-target-microsoft-entra-accounts-in-device-code-vishing-attacks/)にしています。 BleepingComputerはMicrosoftに詳細を問い合わせましたが、すぐには回答が得られませんでした。 2024年10月、Microsoftは、2023年11月に開始された同社のSecure Future Initiativeの一環として、セキュリティのデフォルト設定が有効になっている場合に多要素認証（MFA）の登録を必須にすることで、Entraテナント全体のセキュリティを向上させると述べています。 さらに、Microsoftは2025年5月に、すべての新しいMicrosoftアカウントは、ブルートフォース、クレデンシャルスタッフィング、フィッシング攻撃から保護するために、「パスワードレスをデフォルトとする」と発表しました。