Microsoft Authenticator に関する FAQ

検証コード

いいえ。 このコードでは、インターネットに接続したり、データに接続したりする必要がないため、サインインに電話サービスは必要ありません。 さらに、アプリは、それが閉じられた瞬間に実行を停止するため、バッテリが消費されることはありません。

サインイン応答

はい。 サインイン通知を取得し、応答を送信するには、デバイスをインターネットに接続する必要があります。

Microsoft Authenticator はデスクトップ コンピューターでは使用できません。認証アプリは通常、次の 2 つのメイン理由でスマートフォン向けに設計されているためです。

1. セキュリティ: 別のデバイスでセキュリティに関する質問の 2 番目の要素を使用すると、セキュリティが強化されます。 両方の要素 (パスワードと認証) が同じデバイス上にある場合、攻撃者は両方を侵害しやすくなります。

2. 可用性: モバイル デバイスはほとんどの場合、ユーザーと共に使用されるため、認証目的で便利です。 一方、デスクトップは移植性に優れています。 PC にのみ認証子を持つことは、自宅やデスクから離れてサインインできなかったことを意味します。

A: Android または iOS の仕事用プロファイルで Microsoft Authenticator を使用している場合は、仕事用プロファイルに生体認証を追加してください。 レギュラー セキュリティのための生体認証は、常に仕事用プロファイルに引き継がれるわけではない場合があります。

検証済み ID は、アカウントのセットアップをより簡単かつ安全にするために Web サイトや組織が使用できる、セキュリティで保護された信頼できる資格情報です。

通常、デバイスのカメラを使用して、サイト上の QR コードをキャプチャして、新しい検証済み ID またはデバイス上に既に存在する ID の確認を取得します。 引き続きパスワードを使用して資格情報にアクセスし、別の組織と共有します。

Verified IDを要求するサイトは、Verified ID カードの詳細の使用履歴に表示されます。

職場または学校アカウント (管理者によって許可されている場合) または個人用 Microsoft アカウントの通知を設定できます。

通知用の個人アカウントを切り替えるには、そのアカウントを使用してデバイスを再登録する必要があります。 [アカウントの追加] に移動し、 [個人用 Microsoft アカウント] を選択して、ユーザー名とパスワードを使用してサインインします。

職場または学校アカウントの場合、organizationはワンクリック通知を許可するかどうかを決定します。

いいえ。通知は、Microsoft 個人アカウントの職場または学校アカウントでのみ機能します。 職場または学校の IT 管理者は、この機能をオフにすることができます。

新しいデバイスに Authenticator を追加しても、古いデバイスからアプリが自動的に削除されることはありません。 古いデバイスからのアプリの削除でも十分ではありません。 古いデバイスからアプリを削除すること、および古いデバイスを忘れて登録を解除することの両方を、Microsoft または組織に通知する必要があります。

• 個人用 Microsoft アカウントを使用してデバイスからアプリを削除するには、[ アカウント セキュリティ ] ページの 2 段階認証領域に移動し、古いデバイスの検証をオフにすることを選択します。

• 職場または学校のMicrosoft アカウントを使用してデバイスからアプリを削除するには、「マイ アプリ」ページまたは組織のポータル サイトの 2 段階認証領域に移動して、古いデバイスの検証をオフにします。

いいえ。Apple Watch と Android のウェアラブル デバイス (Samsung Galaxy Watch など) は現在、Authenticator のセキュリティ機能と互換性がありませんが、スマートフォンからウェアラブル デバイスに Authenticator 通知をミラーできます。

IT 管理者が特定のリソースへのアクセスを許可される前に GPS の場所を共有することを要求するポリシーを作成した場合は、場所へのアクセスを求めるメッセージが Authenticator から表示されます。 リソースへのアクセスが許可されている国にまだ存在することを確認するには、1 時間に 1 回場所を共有する必要があります。

iOS では、アプリが常に場所にアクセスできるようにすることをお勧めします。 そのアクセス許可を付与するには、iOS のプロンプトに従ってください。 各アクセス許可レベルの意味を次に示します。

• アプリの使用中に許可する: このオプションを選択すると、さらに 2 つのオプションを選択するように求められます。

• 常に許可 (推奨): 保護されたリソースに引き続きアクセスしている間、次の 24 時間は、デバイスから 1 時間に 1 回、場所がサイレントに共有されるため、電話を取り出して 1 時間ごとに手動で承認する必要はありません。

• 使用中のみ保持する: 保護されたリソースにまだアクセスしている間は、1 時間おきにデバイスを引き出し、要求を手動で承認する必要があります。

• 1 回許可する: リソースに引き続きアクセスする 1 時間に 1 回、または次にリソースにアクセスしようとすると、もう一度アクセス許可を付与する必要があります。 [設定] にアクセスし、アクセス許可を手動で有効にする必要があります。

• 許可しない: このオプションを選択すると、リソースへのアクセスがブロックされます。 気が変わったら、[設定] に移動し、アクセス許可を手動で有効にする必要があります。

Android では、アプリが常に場所にアクセスできるようにすることをお勧めします。 そのアクセス許可を付与するには、Android のプロンプトに従ってください。 各アクセス許可レベルの意味を次に示します。

• すべての時間を許可する (推奨): 保護されたリソースに引き続きアクセスしていますが、次の 24 時間は、デバイスから 1 時間に 1 回、位置情報がサイレントに共有されるため、電話を取り出して 1 時間ごとに手動で承認する必要はありません。

• アプリの使用中にのみ許可する: 保護されたリソースにまだアクセスしている間、1 時間おきにデバイスを取り出し、要求を手動で承認する必要があります。

• 拒否してもう一度要求しない: このオプションを選択すると、リソースへのアクセスがブロックされます。

Authenticator は、GPS 情報を収集して、どの国にいるかを判断します。 国名と位置座標は、保護されたリソースへのアクセスがユーザーに許可されているかどうかを判断するためにシステムに送り返されます。 国名は保存され、IT 管理者 (該当する場合) に報告されますが、実際の座標は保存されたり、Microsoft サーバーに保存されたりすることはありません。

Authenticator は、電話でアクセスするアプリや Web サイトにパスワードを安全に保存し、自動入力するようになりました。 オートフィルを使用すると、iOS および Android デバイスでパスワードを同期し、自動入力することができます。 電話で自動入力プロバイダーとして Authenticator を設定した後、サイトまたはアプリのサインイン ページでパスワードを入力するときにパスワードを保存するように提供されます。 パスワードは個人用 Microsoft アカウントの一部として保存され、 個人用 Microsoft アカウント で Microsoft Edge にサインインするときにも使用できます。

オートフィルを有効にするには:

1. Authenticator を開きます。

2. このアプリ内の [パスワード] タブで [Microsoft アカウントでサインイン] を選択し、自分の Microsoft アカウントを使用してサインインします。 現在、この機能によりサポートされているのは Microsoft アカウントのみであり、職場または学校アカウントはまだサポートされていません。

Authenticator を既定のオートフィル プロバイダーにするには、次の手順に従います。

1. Authenticator を開きます。

2. アプリ内の [ パスワード ] タブで、[ Microsoft でサインイン] を選択し、Microsoft アカウントを使用してサインインします。

3. 次のいずれかの操作を行います。

   • iOS の [設定] で、[オートフィル設定] セクションで [自動入力を有効にする方法] を選択して、Authenticator を既定のオートフィル プロバイダーとして設定する方法について説明します。

   • Android の場合は、 [設定] のオートフィル設定セクションで [Set as Autofill provider]\(オートフィル プロバイダーとして設定する\) を選択します。

IT 管理者の場合:

Authenticator に追加されたすべての企業または学校は、アプリ所有者が使用できるようにするために、Authenticator の自動入力を 許可リスト に登録する必要があります。 この制限の唯一の例外は、従業員または学生が職場または学校アカウントを外部またはサードパーティのアカウントとして Microsoft のクラウドベースの 2 段階認証に追加する場合です。

企業は、従業員全員または従業員に対してのみパスワードの自動入力を有効にすることができます。

App Lock を使用すると、1 回限りの検証コード、アプリ情報、アプリ設定の安全性を高めます。 アプリ ロックが有効になっている場合は、Authenticator を開くたびに、デバイスの PIN または生体認証を使用して認証するように求められます。 また、アプリ ロックは、サインイン通知を承認するたびに PIN または生体認証を求めることで、通知を承認できる唯一のユーザーであることを確認するのにも役立ちます。 アプリ ロックのオンとオフは [Authenticator 設定] ページで切り替えます。 既定では、アプリ ロックは、デバイスに PIN または生体認証を設定したときにオンになります。

残念ながら、アプリ ロックによって Authenticator へ誰かがアクセスすることを阻止できる保証はありません。 これは、デバイスの登録が、Android のアカウント設定内やポータル サイト アプリ内など、Authenticator の外部の他の場所で行われる可能性があるためです。

スクリーンショットで OTP コードを表示したり、他のアプリで Authenticator 画面をキャプチャできるようにするには、Authenticator の [設定] で [スクリーン キャプチャ] をオンにして、アプリを再起動します。

Authenticator は、次の 3 種類の情報を収集します。

• アカウントを追加したときに入力したアカウント情報。 アカウントを追加した後、アカウントに対して有効にする機能によっては、アカウント データがアプリに同期される場合があります。 このデータはデバイスに保存され、アカウントを削除することで削除できます。

• 信頼性の低下やバグの検出に使用される重要な操作の成功または失敗に関する集計詳細など、個人を特定できない使用状況データ。 この最小限のデータは、アプリを更新してセキュリティで保護するために必要です。 アプリを初めて使用するときは、このデータ収集に関する通知を承諾する必要があります。
  
  また、アプリの [設定] ページの [使用状況データ] トグル ボタンをオンにするか、初めてアプリを使用するときに、個人以外の追加の使用状況データの共有を許可することもできます。 このデータにより、エンジニアはユーザーにとって重要な方法でアプリを改善できます。 この設定はいつでもオンまたはオフにできます。

• アプリのトップ メニューで [ フィードバックの送信 ] を選択して Microsoft にログを送信するまで、アプリ内にのみ存在する診断ログ データ。 これらのログには、メール アドレス、サーバー アドレス、IP アドレスなどの個人データが含まれる場合があります。 また、デバイス名やオペレーティング システムのバージョンなどのデバイス データが含まれる場合もあります。 収集される個人データは、アプリの問題をトラブルシューティングするために必要な情報に限定されます。 これらのログ ファイルはいつでもアプリで閲覧でき、収集される情報を確認できます。 ログ ファイルを送信する場合、Authenticator エンジニアは、お客様から報告された問題のトラブルシューティングにのみ使用します。

詳細については、 Microsoft のプライバシーに関する声明を参照してください。

アクティブな検証コードは 30 秒ごとに変更されるため、昨日サインインを確認するために使用したコードを誰かが学習した場合、または 1 分前でも、そのコードを使用してアカウントに入ることはできません。 このタイマーは、検証コードが次のコードに変更されるまでのカウントダウンです。 パスワードとは異なり、この数値をユーザーが記憶することは望まれていません。 携帯電話にアクセスできるユーザーのみが確認コードを取得できます。

職場または学校のorganizationでは、ファイルやアプリなどのセキュリティで保護されたリソースへのアクセスを追跡するためにデバイスを登録することが必要になる場合があります。 また、これらのリソースへの不適切なアクセスのリスクを低減するために、条件付きアクセスを有効にする可能性があります。 [設定] でデバイスの登録を解除できますが、Outlook のメール、OneDrive 内のファイルにアクセスできなくなる可能性があり、電話によるサインインを使用できなくなります。