【Windows】「パスキーを作成」や
「PINを設定」と表示されたらどうする?
【Edge】

by
  • Windowsでパスキー作成画面が表示されたら、そのまま作成せずまずは保存先を確認します。
  • スマートフォンで作ったパスキーはクラウド経由でパソコンでも使えますが、逆は同期されません。
  • なので、スマートフォン側のパスワードマネージャを主軸にして、先にパスキーを作っておくとスムーズです。
  • スマホにパスキーがあれば、パソコンでのサインインはQRコードを読み取って認証できます。

関連記事

1. このままパスキーを作成してよいの?

ウェブサービスにログインしたら「パスキーを作成しますか?」という画面が突然現れることがあります。

1. このままパスキーを作成してよいの?

パスキーの作成

このパスキーは Microsoft パスワードマネージャーに保存され、デバイス間で安全かつ迅速にアクセスできるようになります。

ユーザーID
サイトドメイン のパスキー

よくわからないので「今は実行しない」を選んでも、何度か表示されると気になります。
そこで、「作成」を押してみると、今度は「PINを設定する」という選択肢が出てきました。

1. このままパスキーを作成してよいの?

Microsoft パスワード マネージャーの PIN を設定する

この PIN を使用すると、Microsoft パスワード マネージャに保存されたパスキーにアクセスできます。新しいデバイスごとに入力する必要があります。

この PIN はどこにも保存されていません。忘れないようにしてくたさい。

「パスキーを保存する」というそれだけで、いろんな選択があります。
これらは、いったい何を決めることになるのでしょうか?

特に、最近はWindowsパソコンとスマートフォンの両方を使うのが一般的です。
「あれ、スマホで使えない」「どこに保存されたか分からない」とならないように、何を確認すればよいか、パスキーの保存について整理します。

1.1. よく見るパスキーは「同期型パスキー」

前提として、パスキーは2種類に分かれます。

FIDO Allianceはパスキーを、デバイス固定型パスキー同期型パスキーの2つに区別しています1
シンプルなのはデバイス固定型ですが、一般消費者が日常で触れるのはほぼ同期型パスキーです。

  • デバイス固定型パスキー(device-bound passkeys)は、その端末または物理セキュリティキー(例、YubiKeyなど)に固定され、基本的に動かせません2
  • 同期型パスキー(synced passkeys)は、秘密鍵を端末の安全領域に持ちながら、クラウドアカウントを介して複数端末に配布されます3

「同期型パスキー」は、主にGoogleパスワードマネージャ、iCloudキーチェーン、Microsoftパスワードマネージャなどで管理されます。

2. パスキーはスマートフォンで管理するのがオススメ

同期型パスキー」を作成するときは、どのサービスに保存するのかを確認する必要があります。

とくに、スマートフォンを併用している今の時代、同じパスキーをWindowsとスマホの両方で使いたいケースがほとんどでしょう。
そこで後の混乱を避けるには、「パスキーを作るときにその場で適当に保存する」のではなく、「どこで一元管理するかを先に決めておく」必要があります。

現在の主要なパスワードマネージャは3系統あります。

  • Googleパスワードマネージャ(Google)
  • iCloudキーチェーン(Apple)
  • Microsoftパスワードマネージャー(Microsoft)

おすすめは、スマートフォンでパスキーを管理することです。
つまり、Androidスマートフォンなら、「Googleパスワードマネージャ」、iPhoneなら「iCloudキーチェーン」がスムーズです。

というのも、パソコンよりもスマートフォンの方が持ち運びしやすいので、必要なときのパスキー認証に便利だからです。
スマートフォンで作ったパスキーは、GoogleやAppleのクラウド経由でパソコンでも使えます。

しかし、反対に、パソコンでパスキーを作ると、通常はスマートフォンに同期されません。
すると、スマートフォンからはそのサイトにサインインしにくくなってしまうのです。

ちなみに、Androidスマートフォン・iPhoneのどちらも使っているなら、Googleパスワードマネージャが便利です。
WindowsのChromeやAndroidスマートフォンにとってスムーズなだけでなく、iPhoneでも「自動入力プロバイダ」にChromeを設定すれば連携できるからです(iOS 17以降)。

2.1. いったんキャンセルする

パソコンで「パスキーの作成」画面が出たときは、表示されている保存先は「主軸」として使いたいパスワードマネージャになっているか、を確認します。

2.1. いったんキャンセルする

もし、違う場合はいったん「スキップ」または「キャンセル」を選びます。
というのも、このサイトのパスキーが主軸マネージャーと別の場所に作られると、後で管理が煩雑になるからです。

技術的には、同じサイトに対してApple側に1本、Google側に1本、Microsoft側に1本と複数のパスキーが存在すること自体は可能です。
ただ、どの端末でどのパスキーが使えるか分かりにくくなると、パスキーを削除したいときに困ります。

2.2. パスキーの保存先は主にブラウザで決まる

Windowsのパスキー作成画面に出てくる保存先の候補は、以下の3つの組み合わせで変わります4

  • 使っているブラウザ、
  • サインインしているアカウント、
  • インストールされているパスワードマネージャ

たとえば、EdgeでMicrosoftアカウントにサインインしていれば「Microsoftパスワードマネージャ」が前面に出るし、ChromeでGoogleアカウントにサインインしていれば「Googleパスワードマネージャ」が出ます。
ブラウザやサインイン・アカウントを意識しないと、「たまたまそのブラウザを開いていたから」という理由で保存先が決まってしまいます。

2.3. 先にスマートフォンでパスキーを作っておく

管理しやすくするなら、同じサイトにスマートフォンのブラウザでサインインして、パスキーを作成します。

スマホですでに同じサイトのパスキーを作成していれば、パソコンのブラウザにはパスキー選択画面でQRコードを表示するオプションが表示されます。
スマホのカメラで読み取ると、Bluetoothを使ってスマホ側の既存パスキーで認証できます。

つまり、先にスマートフォンでパスキーを作成しておけば、パソコンでサインインしたいときは、手元にあるスマートフォンでQRコード読み取ればよいことになります。

3. まとめ

Windowsでパスキー作成画面が出たら、反射的に「作成」を押さないことが第一歩です。

まず主軸マネージャーを確認し、表示されている保存先と一致しているかを見ます。
スマホ側にすでにパスキーがあるなら、QRコードで認証する運用でも十分です。

「パスキーの作成」を認証設定の完了として捉えるより、「どこで管理するかを決める行為」として捉えると、後から困ることが減ります。

  1. FIDO Allianceの公式サイトでは、パスキーを「synced passkeys(同期型)」と「device-bound passkeys(デバイス固定型)」に分類し、それぞれの特性を説明しています。 – Passkeys Overview – FIDO Alliance
  2. デバイス固定型パスキーは複数のパスキーを1本のセキュリティキーに保存でき、USBやNFCで別のデバイスに接続して使います。また、Windowsでは標準の資格情報マネージャーがデバイス固定型のパスキーを作成します。 – Passkey Types – Passkey Central
  3. 同期型パスキーでは、秘密鍵そのものはクラウドに送られる前にデバイスのハードウェアセキュリティモジュールで生成・暗号化されてから同期されます。端末間で使い回せるため、新しいデバイスでもパスキーを再登録せずに利用できます。 – Passkey Types – Passkey Central
  4. Windows 10ではブラウザを使わずにOSの標準機能でパスキーを作成すると、デバイス固定型になります。同期型にするにはEdge 142以降でMicrosoftアカウントを使うか、ChromeでGoogleアカウントにサインインする必要があります。 – Passkey Types – Passkey Central