Microsoftアカウントを「パスワードレス」化！ 困ることはない？

　2021年9月から、個人向けMicrosoftアカウントのパスワードレス運用が可能になった。Microsoftアカウントからパスワードを削除することで、パスワードが漏洩する機会そのものをなくす取り組みだ。

　安全性は高くなるが、パスワードがなくなっても本当に困らないのだろうか？　実際に検証してみた。

Microsoftアカウントのパスワードを完全に削除し、「Microsoft Authenticator」アプリでの承認に切り替えてみた

「パスワード削除しました」

　先日、普段使っている個人向けMicrosoftアカウントをパスワードレスに移行した。

　これにより、パスワードが完全に削除され、以後、Microsoftアカウントでのサインイン時には、パスワードの代わりにスマートフォンにインストールした「Microsoft Authenticator」アプリでサインインを承認するという手順へ変更された。

　方法は簡単で、Microsoftアカウントのウェブページ（要サインイン）で、［セキュリティ］の［高度なセキュリティオプション］で、［追加のセキュリティ］の項目にある［パスワードレスアカウント］の［有効にする］をクリックすればいい。

Microsoftアカウントの設定ページでパスワードレスをオンにする

　なお、Microsoft Authenticatorアプリがセットアップされていない場合は、以下からダウンロードして、事前にセットアップをしておく必要がなる。

• Microsoft Authenticator（Google Play）
• Microsoft Authenticator（App Store）

事前にMicrosoft Authenticatorアプリをセットアップしておく

　あとは画面の指示に従ってセットアップしていけば、割とあっさりMicrosoftアカウントからパスワードが削除される。

Microsoft AuthenticatorアプリでQRコードを読み取るか、アプリ側でMicrosoftアカウントでサインインすると関連付けされる

Authenticatorが利用可能になったら、あらためてパスワードレスをオンにする

パスワードがあっさり削除される

　あれだけ大事にしてきたパスワードが、こうも簡単に削除されてしまうと、何だか拍子抜けだ。

特に意識しないで済む

　しかしながら、実際に削除してみても、さほど状況が変わったようには見えない。

　例えば、今、普段通りに自分のPCを利用する際は、以下のような動作になっている。

Microsoftアカウントのウェブページ

　通常のページは自動サインイン。［セキュリティ］にアクセスするときのみWindows Hello PINまたは顔認証でサインイン。これも状況は同じ。

　このように、自分のPCを使っている限りは、もともとパスワードを入力する機会があまりなかったので、恩恵はさほどないことになる。

　では、どういう場合でパスワードレスの認証が発生するのかというと、自分のPC以外、もしくは自分のPCでも新しいウェブブラウザーやプライベートモードのウェブブラウザーなどでMicrosoftのサービスにアクセスする場合に発生する。具体的には、以下のような流れでサインインすることになる

サインイン時に数字が表示される（単にアプリで承認ボタンをタップすればいい場合もある）

アプリ側で同じ数字をタップするとサインインできる

1. ウェブブラウザーでOneDriveなどのサイトにアクセス
2. サインインをクリック
3. Microsoftアカウントを入力
4. サインイン要求の送信を実行
5. 画面に表示された数字を確認
6. スマートフォンのMicrosoft Authenticatorアプリで同じ数字をタップ

　自分のPCを利用する場合は、上記の自動サインインや、ローカルのTPMに保存された認証情報をWindows Hello経由で利用することでパスワードの入力が求められることはないが、こうした情報が利用できない場合は、Microsoft Authenticatorアプリを使って承認するという手続きによって、サインインが可能になる。

　要するに、パスワードを削除しても、普段の利用で困ることは、ほとんどないわけだ。

パスワードレスで困りそうなケース1：アプリの認証

　では、どのようなケースで困る可能性があるかというと、大きく2つ考えられる。

　1つ目は、アプリでの認証が必要になるケースだろう。

　例えば、メールアプリからIMAPを使ってOutlook.comのメールを取得する場合、アプリがパスワードによる認証しかサポートしてないと、アクセスが遮断されてしまう。Power Automate for desktopなどのRPAツールを使ってメール関連の処理を実行する場合も同様だ。

　この場合は、以前から2段階認証の対策などでも使われていたアプリパスワードを利用するしかない。

　Microsoftアカウントの設定ページの［セキュリティ］の［高度なセキュリティオプション］で、アプリで利用するためのランダムなパスワードを発行できるので、このパスワードをアプリに設定すればいい。

メールアプリやRPAツールなどで認証する場合はアプリパスワードを利用する

　パスワードレスにしたのにパスワードを使う点がモヤモヤするかもしれないが、もちろん、このアプリパスワードを使ってMicrosoftアカウントの設定ページなどにアクセスすることはできない。

パスワードレスで困りそうなケース2：スマホ紛失

　続いての困りそうなケースは、スマートフォンの紛失だ。

　同様に、スマートフォンのロックが解除できなかったり、Microsoft Authenticatorアプリを削除してしまったりすると、パスワードレスでは困ることになる。

　結論から言うと、この場合はパスワードを復帰させることになる。

　サインイン画面で「自分のMicrosoft Authenticatorアプリにアクセス権がありません」というリンクをクリックすると、メールやSMS認証での本人確認後、パスワードの追加画面が表示される。

スマートフォンを紛失した場合などは、サインイン画面で「自分のMicrosoft Authenticatorアプリにアクセス権がありません」をクリックする

　ここで新たにパスワードを設定することで、Microsoftアカウントにアクセスできるようになる。

登録済みの本人確認手段で本人であることを証明する

新しいパスワードを追加することで、元のパスワードを使ったサインインに戻る

　なお、パスワードを追加すると、当然のことながらパスワードレスの設定は無効になる。再びパスワードレスにするには、Microsoftアカウントにパスワードでサインインし、再度、Microsoft Authenticatorアプリによるパスワードレスを有効にする必要がある。

割と気軽に設定できる

　以上、Microsoftアカウントのパスワードレスを実際に試してみた。パスワードを削除するというと、結構、勇気がいる操作に思えるが、意外に普段の操作に影響はない上、アプリでの利用も困らないし、万が一の場合の復旧も簡単だ。

　簡単なパスワードのままだったり、同じパスワードを使い回すくらいなら、パスワードレスにしてしまった方が安全だし、簡単だ。

　気軽に試せるので、一度試してみることをお勧めする。