Microsoft Authenticator に関する FAQ

検証コード

いいえ。 このコードでは、インターネットに接続したり、データに接続したりする必要がないため、サインインに電話サービスは必要ありません。 さらに、アプリは、それが閉じられた瞬間に実行を停止するため、バッテリが消費されることはありません。

サインイン応答

はい。 サインイン通知を取得し、応答を送信するには、デバイスをインターネットに接続する必要があります。

Microsoft Authenticator はデスクトップ コンピューターでは使用できません。認証アプリは通常、次の 2 つのメイン理由でスマートフォン向けに設計されているためです。

1. セキュリティ: 別のデバイスでセキュリティに関する質問の 2 番目の要素を使用すると、セキュリティが強化されます。 両方の要素 (パスワードと認証) が同じデバイス上にある場合、攻撃者は両方を侵害しやすくなります。

2. 可用性: モバイル デバイスはほとんどの場合、ユーザーと共に使用されるため、認証目的で便利です。 一方、デスクトップは移植性に優れています。 PC にのみ認証子を持つことは、自宅やデスクから離れてサインインできなかったことを意味します。

A: Android または iOS の仕事用プロファイルで Microsoft Authenticator を使用している場合は、仕事用プロファイルに生体認証を追加してください。 レギュラー セキュリティのための生体認証は、常に仕事用プロファイルに引き継がれるわけではない場合があります。

検証済み ID は、アカウントのセットアップをより簡単かつ安全にするために Web サイトや組織が使用できる、セキュリティで保護された信頼できる資格情報です。

通常、デバイスのカメラを使用して、サイト上の QR コードをキャプチャして、新しい検証済み ID またはデバイス上に既に存在する ID の確認を取得します。 引き続きパスワードを使用して資格情報にアクセスし、別の組織と共有します。

Verified IDを要求するサイトは、Verified ID カードの詳細の使用履歴に表示されます。  

職場または学校アカウント (管理者によって許可されている場合) または個人用 Microsoft アカウントの通知を設定できます。 

通知用の個人アカウントを切り替えるには、そのアカウントを使用してデバイスを再登録する必要があります。 [アカウントの追加] に移動し、 [個人用 Microsoft アカウント] を選択して、ユーザー名とパスワードを使用してサインインします。

職場または学校アカウントの場合、organizationはワンクリック通知を許可するかどうかを決定します。

いいえ。通知は、Microsoft 個人アカウントの職場または学校アカウントでのみ機能します。 職場または学校の IT 管理者は、この機能をオフにすることができます。

新しいデバイスに Authenticator を追加しても、古いデバイスからアプリが自動的に削除されることはありません。 古いデバイスからのアプリの削除でも十分ではありません。 古いデバイスからアプリを削除すること、および古いデバイスを忘れて登録を解除することの両方を、Microsoft または組織に通知する必要があります。

• 個人用 Microsoft アカウントを使用してデバイスからアプリを削除するには、[ アカウント セキュリティ ] ページの 2 段階認証領域に移動し、古いデバイスの検証をオフにすることを選択します。

• 職場または学校のMicrosoft アカウントを使用してデバイスからアプリを削除するには、「マイ アプリ」ページまたは組織のポータル サイトの 2 段階認証領域に移動して、古いデバイスの検証をオフにします。

いいえ、Apple Watchおよび Android のウェアラブル デバイス (Samsung Galaxy Watch など) は、現在 Authenticator のセキュリティ機能と互換性がありませんが、携帯電話からウェアラブル デバイスに Authenticator 通知をミラーできます。 

IT 管理者が特定のリソースへのアクセスを許可される前に GPS の場所を共有することを要求するポリシーを作成した場合は、場所へのアクセスを求めるメッセージが Authenticator から表示されます。 リソースへのアクセスが許可されている国に居ることを確認するため、ユーザーは 1 時間ごとに位置情報を共有する必要があります。

iOS では、アプリが常に場所にアクセスできるようにすることをお勧めします。 そのアクセス許可を付与するには、iOS のプロンプトに従ってください。 それぞれの許可レベルの意味は次のとおりです。

• アプリの使用中は許可: このオプションを選択した場合は、さらに 2 つのオプションを選択するように求められます。

• 常に許可 (推奨) : 保護されたリソースにアクセスしている間は、その後 24 時間経過するまでデバイスから 1 時間に 1 回、通知なしで位置情報が共有されます。そのため、電話を取り出して 1 時間ごとに手動で承認する必要はありません。

• 使用中のみ許可: 保護されたリソースにアクセスしている間は、1 時間ごとにデバイスを取り出して、要求を手動で承認する必要があります。

• 1 度だけ許可: アプリを使用している間の 1 時間ごとに 1 回、またはリソースにアクセスしようとした次の機会に、再度許可を与える必要があります。 [設定] にアクセスし、アクセス許可を手動で有効にする必要があります。

• 許可しない: このオプションを選択すると、リソースへのアクセスがブロックされます。 気が変わった場合は、[設定] からアクセス許可を手動で有効にする必要があります。

Android では、アプリが常に場所にアクセスできるようにすることをお勧めします。 そのアクセス許可を付与するには、Android のプロンプトに従ってください。 それぞれの許可レベルの意味は次のとおりです。

• 常に許可 (推奨) : 保護されたリソースにアクセスしている間は、その後 24 時間経過するまでデバイスから 1 時間に 1 回、通知なしで位置情報が共有されます。そのため、電話を取り出して 1 時間ごとに手動で承認する必要はありません。

• アプリの使用中のみ許可: 保護されたリソースにアクセスしている間は、1 時間ごとにデバイスを取り出して、要求を手動で承認する必要があります。

• Deny and don’t ask again (拒否して二度と表示しない) : このオプションを選択すると、リソースへのアクセスがブロックされます。

Authenticator は GPS 情報を収集して、どの国にいるかを判断します。 国名と位置座標は、保護されたリソースへのアクセスがユーザーに許可されているかどうかを判断するためにシステムに送り返されます。 国名は保存され、IT 管理者 (該当する場合) に報告されますが、実際の座標は保存されたり、Microsoft サーバーに保存されたりすることはありません。

Authenticator は、電話でアクセスするアプリや Web サイトにパスワードを安全に保存し、自動入力するようになりました。 オートフィルを使用すると、iOS および Android デバイスでパスワードを同期し、自動入力することができます。 電話で自動入力プロバイダーとして Authenticator を設定した後、サイトまたはアプリのサインイン ページでパスワードを入力するときにパスワードを保存するように提供されます。 パスワードは個人用 Microsoft アカウントの一部として保存され、 個人用 Microsoft アカウント で Microsoft Edge にサインインするときにも使用できます。

オートフィルを有効にするには:

1. Authenticator を開きます。

2. このアプリ内の [パスワード] タブで [Microsoft アカウントでサインイン] を選択し、自分の Microsoft アカウントを使用してサインインします。 現在、この機能によりサポートされているのは Microsoft アカウントのみであり、職場または学校アカウントはまだサポートされていません。

Authenticator を既定のオートフィル プロバイダーにするには、次の手順に従います。

1. Authenticator を開きます。

2. アプリ内の [ パスワード ] タブで、[ Microsoft でサインイン] を選択し、Microsoft アカウントを使用してサインインします。

3. 次のいずれかの操作を行います。

   • iOS の [設定] で、[オートフィル設定] セクションで [自動入力を有効にする方法] を選択して、Authenticator を既定のオートフィル プロバイダーとして設定する方法について説明します。

   • Android の場合は、 [設定] のオートフィル設定セクションで [Set as Autofill provider]\(オートフィル プロバイダーとして設定する\) を選択します。

IT 管理者の場合:

Authenticator に追加されたすべての企業または学校は、アプリ所有者が使用できるようにするために、Authenticator の自動入力を 許可リスト に登録する必要があります。 この制限の唯一の例外は、従業員または学生が職場または学校アカウントを外部またはサードパーティのアカウントとして Microsoft のクラウドベースの 2 段階認証に追加する場合です。

企業は、従業員全員または従業員に対してのみパスワードの自動入力を有効にすることができます。

App Lock を使用すると、1 回限りの検証コード、アプリ情報、アプリ設定の安全性を高めます。 アプリ ロックを有効にすると、Authenticator を開くたびに、デバイス PIN または生体認証を使用した認証が求められます。 また、アプリ ロックを利用すると、サインイン通知を承認するたびにご自分の PIN または生体認証が要求されることで、本人だけが通知を承認できる唯一のユーザーであることを保証するのにも役立ちます。 アプリ ロックのオンとオフは [Authenticator 設定] ページで切り替えます。 既定では、アプリ ロックは、デバイスに PIN または生体認証を設定したときにオンになります。

残念ながら、アプリ ロックによって Authenticator へ誰かがアクセスすることを阻止できる保証はありません。 これは、デバイスの登録が、Android のアカウント設定内やポータル サイト アプリ内など、Authenticator の外部の他の場所で行われる可能性があるためです。

スクリーンショットで OTP コードを表示したり、他のアプリで Authenticator 画面をキャプチャできるようにするには、Authenticator の [設定] で [スクリーン キャプチャ] をオンにして、アプリを再起動します。

Authenticator は、次の 3 種類の情報を収集します。

• アカウントを追加したときに入力したアカウント情報。 アカウントを追加した後、アカウントに対して有効にする機能によっては、アカウント データがアプリに同期される場合があります。 このデータはデバイスに保存され、アカウントを削除することで削除できます。

• 信頼性の低下やバグの検出に使用される重要な操作の成功または失敗に関する集計詳細など、個人を特定できない使用状況データ。 この最小限のデータは、アプリを更新してセキュリティで保護するために必要です。 アプリを初めて使用するときは、このデータ収集に関する通知を承諾する必要があります。
  
  また、アプリの [設定] ページの [使用状況データ] トグル ボタンをオンにするか、アプリを初めて使用するときに、個人以外の追加の使用状況データの共有を許可することもできます。 このデータにより、エンジニアはユーザーにとって重要な方法でアプリを改善できます。 この設定はいつでもオンまたはオフにできます。

• アプリのトップ メニューで [ フィードバックの送信 ] を選択して Microsoft にログを送信するまで、アプリ内にのみ存在する診断ログ データ。 これらのログには、メール アドレス、サーバー アドレス、IP アドレスなどの個人データが含まれる場合があります。 また、デバイス名やオペレーティング システムのバージョンなどのデバイス データが含まれる場合もあります。 収集される個人データは、アプリの問題をトラブルシューティングするために必要な情報に限定されます。 これらのログ ファイルはいつでもアプリで閲覧でき、収集される情報を確認できます。 ログ ファイルを送信する場合、Authenticator エンジニアは、お客様から報告された問題のトラブルシューティングにのみ使用します。

詳細については、 Microsoft のプライバシーに関する声明を参照してください。

アクティブな検証コードは 30 秒ごとに変更されるため、昨日サインインを確認するために使用したコードを誰かが学習した場合、または 1 分前でも、そのコードを使用してアカウントに入ることはできません。 このタイマーは、検証コードが次のコードに変更されるまでのカウントダウンです。 パスワードとは異なり、この数値をユーザーが記憶することは望まれていません。 携帯電話にアクセスできるユーザーのみが確認コードを取得できます。

職場または学校のorganizationでは、ファイルやアプリなどのセキュリティで保護されたリソースへのアクセスを追跡するためにデバイスを登録することが必要になる場合があります。 また、これらのリソースへの不適切なアクセスのリスクを低減するために、条件付きアクセスを有効にする可能性があります。 [設定] でデバイスの登録を解除できますが、Outlook のメール、OneDrive 内のファイルにアクセスできなくなる可能性があり、電話によるサインインを使用できなくなります。