Microsoftアカウントの2段階認証で「アプリを使ったワンタイムパスワードによる認証」を複数端末(デバイス)で利用する方法をまとめた備忘録記事です。
同一アカウントの2段階認証を、WindowsPC・スマホ・タブレットの3つにインストールした認証アプリで出来るように設定しました。
使用するアプリ
- スマホ/タブレット(Android/iOS)
- Google認証システム(Google Authenticator)
- Microsoft Authenticator
- WindowsPC
- WinAuth
Android/iOSのスマホ/タブレットでは『Google認証システム』か『Microsoft Authenticator』を使用。今回はGoogle認証システムを選択。
Windowsパソコンではオープンソースの認証アプリ『WinAuth』を使った。
いずれも30秒毎に代わる時間ベースのワンタイムパスワードの仕組みを利用した認証システムに対応している。
Google認証システム
Googleが提供している認証アプリ「Google認証システム」。
Andoroid/iOSのスマホ・タブレットなどで利用できる。
アプリに関するヘルプや情報はこちら。
Microsoft Authenticator
Microsoftが提供している認証アプリ『Microsoft Authenticator』。
Andoroid/iOSのスマホ・タブレットなどで利用できる。
アプリのヘルプや関連情報はこちら。
WinAuth
WindowsPC用にはオープンソースのフリーソフト『WinAuth』を使用。
WinAuthの使い方
『WinAuth』の使い方は、Googleアカウントの2段階認証記事にも書いたのでそちらを参照。
Googleアカウントを登録する際との違いは、「Add」ボタンからのメニューで「Microsoft」のプリセットを選ぶ部分くらいです。
設定方法
設定のおおまかな流れ。
- アプリをインストールした端末を用意
- Microsoftのアカウントページを開く
- トップページ:Microsoft アカウント | ホーム
- 目的のページ:追加のセキュリティオプション
- 認証アプリ「本人確認アプリをセットアップ」を開く
- 「別の認証アプリを設定します」を選択
- or「アプリをインストールするデバイス」で「その他」を選択
- QRコード/シークレットキーを各端末のアプリに入力
- 生成されたコードを打ち込めば完了!
取得1回分を端末に登録する
ワンタイムパスワードを複数端末で利用する場合のポイントは、「取得(発行)した1回分の確認コードで、全ての端末に登録(入力)する」こと。
「認証アプリの設定」ページに移動した際に表示される確認ダイアログにも表示されるように、コードを取得し直すと以前のシークレットキーが別のものに更新・変更されるので注意したい。
具体的な手順
WindowsPC・スマホ・タブレットの3つに設定する場合だと以下のような手順になる。
- 追加のセキュリティオプションを開く
- 認証アプリ – 「本人確認アプリをセットアップ」を開く
- 「別の認証アプリを設定します」を選択
- もしくは「アプリをインストールするデバイス」で「その他」を選択
- スマホ・タブレットのカメラでQRコードを読み取り
- 『Microsoft Authenticator』を使う場合は「アカウントの追加」→「他のアカウント」を選択。
- 「QRコードをスキャンできない場合」を選んで表示した「秘密鍵」をWinAuthに入力
- 「アプリによって生成されたコード」にコードを入力して完了
設定が終われば複数の端末に同じワンタイムパスワードを表示できるようになる。
QRコードと秘密鍵を保存しておく
コードを取得し直さない限りは、取得済みの「QRコード」と「秘密鍵(シークレットキー)」は再利用できるので、保存しておくと便利&無難。
QRコードはスクリーンショットして画像ファイルで保存。秘密鍵はテキストファイルとして保存しておく。
保存したファイルは漏洩させてはいけないものなので、暗号化して安全に保存する。
わたしは、WindowsPCとAndroid端末の両方でKeePassというパスワード管理ソフトを利用しています。
KeePassでは、テキストデータはもちろん、画像ファイルも添付して暗号化できます。
まとめ
1台の端末に認証手段を集中させていると端末を故障・紛失・盗難した際に面倒なことになるので、アプリ認証を複数端末に設定しておくといざという時の保険になります。
Microsoftアカウントの2段階認証手段はワンタイムパスワード以外にも複数用意されているのでチェックしておきたいです。
