パスワードの使い回しやフィッシングに悩まされないために、パスキーは有力な選択肢です。
Microsoft Edgeは2025年11月、パスキーの保存と同期に正式対応し、Windows 10/11のEdge 142以降で「Microsoft パスワード マネージャー」によるクラウド暗号化保管とデバイス間同期が使えるようになりました。
作成時に設定する専用PINでロックを解除する仕組みが加わり、最大10回までの試行制限や監査ログの整備など運用面の安心材料も整っています。
この記事は、初心者でも迷わず設定できるように、最新仕様に合わせた手順とつまずきやすいポイントの回避策、万一の復旧方法までを一気通貫でまとめた実践ガイドです。
検索上位の既存記事が触れていない細部やアップデート点も補い、今日から安全に移行できる内容に仕上げています。
Edgeでパスキーを使う前の準備
環境チェック
Edgeでパスキーを快適に使うには、次の条件が整っていることが重要です。
Windows 10/11のMicrosoft Edge 142以降。Microsoft アカウントにサインイン済みで同期が有効。
Windows Hello(顔・指紋・PIN)のいずれかが設定済み。
Edge側の設定ポイント
設定の入り口は「右上の…メニュー→設定→プロファイル→パスワード」。
ここにある「パスワードとパスキーの表示とオートフィル」を有効にすると、対応サイトでの候補表示や自動入力が機能します。
Windowsの「Passkeys」管理場所
Windowsの設定アプリでのパスキー管理は Windows 11 の機能です。
設定アプリから アカウント → Passkeys を開くと、保存済みパスキーの一覧表示と削除が行えます。
Windows 10 では同じ場所に項目が出ないため、各サービス側のアカウント設定やブラウザー側の管理機能を併用してください。
Edgeの保存と同期の仕様(バージョン要件とPIN)
Microsoft Edge はバージョン 142 以降で、パスキーを Microsoft Password Manager にクラウド暗号化保存し、Windowsデスクトップ間で同期できます。
新しいPCで同期済みパスキーを初めて使う際は、Microsoft Password Manager の PIN でロック解除が必要で、PIN の入力は最大10回までという制限が公式に案内されています。
Authenticatorのオートフィル機能の終了
Microsoft Authenticator の「パスワードの保存・自動入力」は 2025年8月中旬で提供終了となりました。
以後、保存済みパスワードや住所情報はアプリ上で利用できません。
パスワードやオートフィルは Edge(または他社の管理ツール)へ移行してください。
パスキー自体のサポートは継続します。
クロスデバイスでのサインイン表記
他の端末に保存されたパスキーでサインインする場合は、OSやブラウザーのダイアログで「別のデバイスを使用(A different device)」に相当する選択肢を選び、表示されるQRコードをスマートフォンで読み取る流れが一般的です。
表記はサービスやブラウザーで若干異なります。
企業アカウント(Microsoft Entra ID)の扱い
現時点の Microsoft Entra ID(旧Azure AD)では、サポート対象は「デバイス結合型」のパスキー(FIDO2セキュリティキー、または Microsoft Authenticator に保存されたパスキー)です。
Edge のクラウド同期パスキー(Microsoft アカウント基盤)は、Entra ID のサインイン用途ではまだ利用対象外で、将来的な対応がアナウンスされています。
UI表記のわずかな違いについて
Edge の設定パスは 概ね「設定 → プロファイル → パスワード」です。
PIN の再設定など一部の操作は「Passwords and autofill → Microsoft Password Manager → Settings」配下に案内が出ることがあります。
バージョンによりラベル名が細かく変わる点だけ留意してください。
パスキーの基本理解
パスキーはFIDO2に基づく公開鍵暗号で、サイトには公開鍵のみが渡るため、流出時でもあなたの秘密鍵は守られます。
フィッシング耐性が高く、パスワードの入力・管理負担も減らせます。
実践ステップ:Edgeでパスキーを作成・ログイン・管理
作成(Microsoftアカウントの例)
Microsoft アカウントにパスキーを追加する場合は、アカウントの「セキュリティの詳細設定」で「新しいサインイン方法の追加」を開き、顔・指紋・PINのいずれかで登録します。
対応サイトでの作成と自動保存
パスキー対応サイトにアクセスすると、Edgeが「パスキーを作成」の案内を表示します。
ここで作成を進めると、Microsoft パスワード マネージャーに暗号化保存され、同じMicrosoftアカウントでサインインしているWindows端末間で同期されます。
初回作成時に設定したパスワード マネージャーPINで保護され、別のPCで初めて使うときは、そのPINでロック解除を求められます。
ログイン(クロスデバイスの基本)
Windows以外の端末に保存したパスキーを使いたい場合は、サイトの「パスキーでサインイン」から「別のデバイスを使用」を選び、スマートフォンのQRコード読み取りで承認する方法が一般的です。
管理と削除
Windowsでは「設定→アカウント→Passkeys」に一覧が表示されます。
不要なパスキーはここから削除できます。
Microsoftサービスの一部パスキーはサインイン用途のため削除に制限がある点だけ注意します。
つまずきやすいポイントと予防策
同期の範囲を正しく理解する
現時点の同期対象はWindows上のEdgeとMicrosoft アカウントが中心です。
モバイルやEntra ID(旧Azure AD)での同期は段階的展開で、まだ対象外という告知が公式ブログで示されています。
Authenticatorの扱いの変化
Microsoft Authenticatorは2025年夏以降、パスワードの保存・自動入力機能を段階的に終了し、Edge等へ移行する方針が示されています。
移行案内と自動入力の入り口はサポートページに整理されています。
共有PCや家族PCでの誤登録
自分以外が触れる可能性のある端末にはパスキーを登録しないのが鉄則です。
万一登録する場合は、必ず各自のOSアカウントを分ける運用にします。
サイト側の表示とブラウザーの相性
一部サービスでは「パスキー」ボタンと「別のデバイスで続行」の位置や名称が異なります。
Edgeは十分に対応していますが、古いブラウザーや設定ではボタンが出ない場合があります。
Googleのヘルプにはサポートバージョンの目安が整理されています。
まずは練習:安全に“試してから本番”
本番アカウントの前に、デモサイトで登録とサインインを体験すると安心です。
WebAuthn.ioは登録と認証の基本動作を簡潔に確認でき、GoogleのPasskeys Demoはフォームのオートフィル動作まで再現できます。
早見表
準備チェック一覧
環境要件
Windows 10/11とEdge 142以降。Microsoft アカウントにサインイン済み。Windows Hello設定済み。
Edgeの設定
設定→プロファイル→パスワードで、「パスワードとパスキーの表示とオートフィル」を有効化。
作成時のポイント
サイトの案内から作成すると自動的にMicrosoft パスワード マネージャーに暗号化保存され、PINで保護される。
管理の入り口
Windowsの設定→アカウント→Passkeysで一覧確認と削除が可能。
トラブル解決メモ
新しいPCでパスキーが出てこない
Microsoft アカウントでEdgeにサインインして同期を有効化し、初回のみMicrosoft パスワード マネージャーPINの入力で解錠する流れを完了させます。
ボタンは出るが生体認証が始まらない
Windows Helloのセットアップが未完了の可能性があります。
OSのアカウントに対して顔・指紋・PINのいずれかを設定してください。
古い記事の「ローカル保存しかできない」説明を見た
Edge 142以降はMicrosoft パスワード マネージャー経由でクラウド暗号化同期に対応しました。
最新情報を参照してください。
セキュア運用のベストプラクティス
家庭内やオフィスの共有PCには登録しない。
OSのユーザーを必ず分け、必用ならローカルに縛る「デバイス結合型」の選択も検討する。
移行期は重要サービスから優先してパスキー化し、パスワードは当面並行運用。
復旧手段(別デバイスのパスキー、セキュリティキー、復旧用メールや電話)を必ず確保する。
Authenticatorのパスワード自動入力終了に備え、Edgeのオートフィルに統一するか、別のパスワードマネージャーへエクスポートして整理する。
まとめと次の一歩(CTA)
今日の最短ルートは、WindowsでWindows Helloを有効にし、Edge 142以降で「パスワードとパスキーの表示とオートフィル」をオンにして、練習サイトで動作を確認することです。
問題なく使えたら、Microsoft アカウントや日常的に使う主要サービスから順にパスキーを追加しましょう。
迷ったら、Windowsの「設定→アカウント→Passkeys」で現状を可視化し、不要な登録は整理していけば安全に運用を始められます。
付録:簡易用語集
パスキー
パスワードの代替となる公開鍵暗号ベースの認証情報。生体認証やPINで使用する。
FIDO2
WebAuthnとCTAP2からなるパスワードレス認証の標準規格。
デバイス結合型と同期型
その端末専用に保持される「デバイス結合型」と、クラウド暗号化で同一アカウント間に同期される「同期型」がある。
Microsoft パスワード マネージャーPIN
Edgeで同期型パスキーを保護・解錠する専用PIN。新規端末で初回使用時に求められ、最大10回の試行制限がある。
トラブル自己診断表
症状
新PCで候補が出ない
確認
Edgeの同期がオンか、Microsoft パスワード マネージャーPINの入力を済ませたか
対処
Edgeに再サインインし、設定→パスワードでMicrosoft パスワード マネージャーの設定を確認
出典
Edge公式ブログとサポートWindows Blog
安心な生活の基盤は日々の小さな設定から整います。
この記事を参考に、まずは練習→主要サービスの順でパスキーへ移行してみてください。
追記:企業利用の視点(Entra ID)
最終更新 2025年11月12日
法人環境でのパスキーは「フィッシング耐性の高い認証を標準化し、運用コストを下げる」ための具体策になります。
Microsoft Entra ID では、FIDO2セキュリティキーとMicrosoft Authenticator内のパスキー(いずれもデバイス結合型)を公式にサポートしており、管理・適用・監査まで一連の仕組みが整っています。
導入メリット(IT部門・現場の双方に効く要点)
セキュリティ面では、条件付きアクセスの「認証の強度」でフィッシング耐性のみを要求でき、重要リソースではパスキー等の強固な方法に限定できます。
これにより、パスワード+SMSといった脆弱な組み合わせを排除できます。
ユーザー体験では、Windows へのサインインや対応ブラウザーでのSSOまで一気通貫にパスワードレス化できるため、認証の所要時間と入力ミスが減ります。
運用面では、登録状況と利用状況を認証方法アクティビティダッシュボードで可視化し、未登録ユーザーへ登録キャンペーンを出して段階的に移行できます。
重要な注意点(よくある誤解と設計の勘所)
Edge の「同期型パスキー」(Microsoft アカウント基盤)と、Entra ID のパスキーは別物です。
企業サインインでは、Authenticator内パスキーまたはFIDO2キーなどのデバイス結合型を使います。
テナント側の有効化は認証方法ポリシーで対象グループを限定して行います。
自己登録の可否やアテステーション必須の有無も管理でき、セキュリティポリシーに合わせた厳格度の調整が可能です。
2025年11月以降、管理モデルはPasskey Profilesへ移行予定と報じられており、既存設定が既定プロファイル化される点やアテステーション設定の扱いには移行後の再確認が必要です。
導入ステップのひな型(現実装に沿った順序)
要件定義では、対象人員、利用デバイス(社給/BYOD)、許容する認証器の種類(Authenticator内パスキー/FIDO2鍵)とアテステーション方針を先に確定します。
管理センターで、認証方法ポリシーのPasskey (FIDO2)を対象グループに有効化し、自己登録の許可やアテステーション必須の有無を設定します。
条件付きアクセスではフィッシング耐性の認証強度を機密アプリに適用し、その他は段階的に移行します。
オンボーディングはTAP(Temporary Access Pass)を使うと安全です。
TAPで一時的にサインインさせ、端末上でパスキーの初期登録まで完了させます。
紛失時の再登録や休職・退職時の回収にも有効です。
移行推進は登録キャンペーンで未登録者に通知を出し、進捗は認証方法アクティビティで把握します。
運用とガバナンス(ゼロトラスト前提の回し方)
ライフサイクル管理では、端末紛失や人事異動の際に、管理センターからユーザーのサインイン方法に登録されたパスキーを削除できます(Authenticatorアプリからの削除とは別処理である点に留意)。
監査・可視化では、条件付きアクセスの認証強度適用により、どの方法で通過したかをポリシー単位で制御できます。
APIやレポートでMFA/単要素の比率も把握できます。
ライセンスは登録とサインイン自体に必須ではありませんが、条件付きアクセスやレポートの活用を前提に、少なくとも Entra ID P1 の採用が実務上は推奨です。
現場への伝え方(ユーザー教育の要点)
「パスワードは使わない」「スマホか指紋・顔で承認する」という一文で利点を端的に伝え、紛失時はヘルプデスクへ連絡しTAPで復旧する手順を周知します。
Edgeの同期型パスキーと企業サインインのデバイス結合型の違いを図解すると誤認が減ります。
まとめ(企業向けの最短ルート)
小規模から始めるなら、ITと役員・情報資産の所管部門を対象に、Authenticator内パスキー+フィッシング耐性の認証強度を限定適用し、TAPでオンボーディングします。
ダッシュボードで登録率と成功率をモニターしつつ、対象グループを段階的に拡大するのが安全・確実です。