6K Views
November 05, 24
スライド概要
Windows 関連の勉強用資料です。
今回は 「Windows のサインインの強化 」をまとめました。参考にしていただければ幸いです。🫡
ナガシヨミ Windows Windows のサインインの強化 生体認証や FIDO2 セキュリティ キーの使用パターン 2024 年 11 月 タクヤ オータ アイコン アイコン 自動的に生成された説明 自動的に生成された説明
勉強用資料として公開しています Microsoft の正式見解であったり、内容をコミットするものではございません。 仕様が変わったりサポートされる情報が変化することもあることをご了承ください。 シェアは自由にしていただいて構いませんがビジネス目的での使用はお控えください。m(_ _)m 2024 年 11 月 タクヤ オータ アイコン アイコン 自動的に生成された説明 自動的に生成された説明
Windows のパスワードレス / 多要素認証をしてサインインするパターン Windows Hello Windows Hello for Business セキュリティ キーを 使用したサインイン Web サインイン メーカー独自アプリ Windows Hello 対応デバイス Windows Hello 対応デバイス FIDO2 セキュリティキー Microsoft Entra ID パスワードレス認証 メーカーの仕様に依存 ◼ 手軽に導入できる ◼ 詳細な制御ができない ◼ セキュリティ低 ((パスワード ハッシュ) ◼ インフラの準備が必要 ◼ 企業向けのポリシー/ 制御 ◼ クラウド リソースに SSO 可能 ◼ セキュリティ高 (公開鍵暗号方式) ◼ クラウド前提のインフラ準備 ◼ 企業向けのポリシー/ 制御 ◼ クラウド リソースに SSO 可能 ◼ セキュリティ高 (公開鍵暗号方式) (Hello, FIDO2 セキュリティ キー, スマホ) ◼ クラウド インフラのみサポート ◼ インターネット接続が必要 ◼ サインインまで時に時間がかかる ◼ ID や条件はメーカー仕様に依存 ◼ 別途料金などが必要な場合も ※ この他 「スマート カード」 はオンプレミス前提、 「仮想スマートカード」 は Hello for Business / FIDO 2 への移行を推奨しているため省略します。
サインイン オプションを こちらで切り替えて使用
Windows のパスワードレス / 多要素認証をしてサインインするパターン Windows Hello Windows Hello for Business セキュリティ キーを 使用したサインイン Web サインイン メーカー独自アプリ Windows Hello 対応デバイス Windows Hello 対応デバイス FIDO2 セキュリティキー Microsoft Entra ID パスワードレス認証 メーカーの仕様に依存 ◼ 手軽に導入できる ◼ 詳細な制御ができない ◼ セキュリティ低 ((パスワード ハッシュ) ◼ インフラの準備が必要 ◼ 企業向けのポリシー/ 制御 ◼ クラウド リソースに SSO 可能 ◼ セキュリティ高 (公開鍵暗号方式) ◼ クラウド前提のインフラ準備 ◼ 企業向けのポリシー/ 制御 ◼ クラウド リソースに SSO 可能 ◼ セキュリティ高 (公開鍵暗号方式) (Hello, FIDO2 セキュリティ キー, スマホ) ◼ クラウド インフラのみサポート ◼ インターネット接続が必要 ◼ サインインまで時に時間がかかる ◼ ID や条件はメーカー仕様に依存 ◼ 別途料金などが必要な場合も ※ この他 「スマート カード」 はオンプレミス前提、 「仮想スマートカード」 は Hello for Business / FIDO 2 への移行を推奨しているため省略します。
Windows Hello Windows デバイスに素早く安全にアクセスする代替手段 サイン イン ◼ PIN (PC に設定) ◼ Windows Hello 対応 生体認証デバイス (顔・指紋) デバイス管理 ◼ 特になし (ワークグループやオンプレミス AD 参加でも可能) インフラ要件 ◼ Windows Hello 対応生体認証デバイス Windows Hello のポイント ◼ “Windows Hello” はパスワードを打つ代わりに、生体認証や PIN を利用して Windows へサインイン ◼ Hello 対応デバイスがあるのであれば、コストもかからず、パスワードを打たないことによりセキュリティを高めることが可能 ◼ 企業利用にて、さらなるセキュリティの向上や Entra ID との連携を考慮する場合には “Hello for Business” も検討
Windows Hello のセットアップ メニューより簡単にセットアップが可能 1. [スタート] メニューに移動し、[設定] を選択 2. [アカウント] - [サインイン オプション] を選択 3. 「デバイスへのサインイン方法の管理」にて、 Windows Hello の項目を選択 認識精度を高める 生体認識の反応が悪いときや、メガネなどをかけて容姿 に変化がある場合には、上記の同メニューより [認識精 度を高める] を選択することで調整可能。 10 要素まで登録が可能 最大で 10 人分の指紋や顔が登録できる。 共有で使用している PC の場合には注意が必要。
Windows Hello for Business Windows Hello をエンタープライズ環境で使うための拡張機能 サイン イン ◼ PIN (PC に設定) ◼ Windows Hello 対応 生体認証デバイス (顔・指紋) デバイス管理 ◼ Microsoft Entra 登録 / 参加 / ハイブリッド参加 ◼ オンプレミス AD 参加 要件 ◼ Windows Hello 対応生体認証デバイス ◼ ハイブリッド構成や AD 参加の場合 ADCS や ADFS が必要な場合も ◼ 登録時に Microsoft Entra ID での多要素が必要 Windows Hello for Business のポイント ◼ 公開鍵暗号方式などを使用し Windows Hello にエンタープライズ レベルのセキュリティと管理機能を拡張 ◼ さまざまなポリシーなどにより、企業向けのデバイス管理をサポート ◼ Hello for Business でサインインすることにより、条件付きアクセスの多要素認証済みとすることや Web サイトにサインインすることも可能
Windows Hello for Business の動作イメージ Windows Hello と公開鍵暗号の仕組みを組み合わせた認証方式 Entra ID TPM Windows Hello を使用し TPM 内の鍵を取り出す ※ TPM : PC 内のセキュリティ チップ 取り出した鍵で資格情報を 暗号化し、認証をリクエスト Entra ID で認証を実施 アクセスで利用するための Token が発行される ユーザーは Token を利用し サービスの利用が可能に
Windows Hello for Business インフラ要件イメージ デプロイ モデル クラウド専用 結合の種類 信頼の種類 オンプレミス Entra ID 認証 Microsoft Entra 参加 Microsoft Entra 登録 クラウド Kerberos ハイブリッド PKI Microsoft Entra 参加 Microsoft Entra 登録 Microsoft Entra ハイブリッド参加 キー N/A AD CS 証明書 AD CS キー AD CS Entra ID (PHS, PTA) Entra ID (PHS, PTA) AD FS 多要素認証 Microsoft Entra MFA Microsoft Entra ID Microsoft Entra MFA Microsoft Entra ID オンプレミス AD Microsoft Entra MFA Microsoft Entra ID オンプレミス AD オンプレミス AD CS AD FS Microsoft Entra ID Microsoft Entra MFA オンプレミス AD オンプレミス AD CS オンプレミス AD FS AD FS MFA アダプター オンプレミス AD オンプレミス AD CS オンプレミス AD FS AD FS MFA アダプター オンプレミス AD オンプレミス AD CS オンプレミス AD FS Active Directory ドメイン参加 証明書 AD CS 必要なコンポーネント 詳細な前提条件などは Learn にて ⇒ Windows Hello for Businessデプロイを計画する | Microsoft Learn
Windows Hello やそのパスワードレス サインインの留意事項 Microsoft のソリューションはパスワードを入力するシーンを減らしていくというアプローチ ➢ 例として生体認証に信頼を置き、生体認証のみを強制させるといったアプローチを満たすものではない ➢ Windows に限らずクラウド システム全体でのパスワード入力を減らすことにつながる Microsoft のソリューションは Windows へのサインインのみではなく クラウド ID を含めた認証全般でのアプローチ ➢ クラウド サービスとの SSO 連携などが可能 ➢ Windows へのサインイン以外の場面 (クラウドでの認証など) でも Hello やセキュリティ キーが使用できる オンプレミス環境で多要素認証を使用したシステムを新規構築する際にはおすすめできない ➢ 従来のスマート カード等を使用するよりも、FIDO などの方がコストも安くセキュリティも高い ➢ Windows Hello for Business も可能だが ADCS や ADFS などが必要で複雑なシステム構成になる ➢ 簡単に実現できる 3rd Party ソリューションを利用することもおすすめ
補足 : 生体認証だけを強制させたい = PIN や パスワードを使わせたくない 方法 1 : 資格情報プロバイダーの除外 (非推奨) 以下のグループ ポリシーを用いることで、特定のメニューの非表示自体は可 能です。しかしながら、様々な制限や問題が出る可能性があるため推奨して おりません。ご利用の際には十分な検証が必要となります。 [コンピューターの構成] - [管理用テンプレート] - [システム] - [ログオン] - [資格情報プロバイダーを除外する] 具体的には、新規のユーザーの登録ができなくなったり、 PIN やパスワードが求められたときに表示がされなくなってしまいます。 方法 2 : Hello for Business の利用を必須とする 以下のグループ ポリシーを用いることで、Windows Hello for Business の使用を 必須にすることができます。(※ パスワードではサインインができなくなります) [コンピューターの構成] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [セキュリティ オプション] - [対話型ログオン : Windows Hello for Business またはスマート カードが必要] PIN でもサインインできる状況にはなりますが、それだけでは不十分と考える場合には 「多要素のロック解除」 と組み合わせることで、PIN 以外も要求することが可能です。
補足 : 複数の多要素を要求するようにしたい ポリシーにより複数要素が必要とするように構成も可能 [デバイスのロック解除要素を構成する] で設定 最初の要素で解除後も、追加の要素を要求可能 以下から 2 つの要素を要求することが可能 ◼ PIN ◼ 顔 ◼ 指紋 ◼ 信頼されたシグナル (スマートフォンの近接通信、ネットワークの場所など) ※ サインイン オプションとしてパスワードは選択可能で、 パスワードではそれだけでロックを解除することができる。 あくまで Hello はパスワードを無くすものではなく、 パスワードの入力する機会を減らす目的でご使用を。 多要素のロック解除 https://learn.microsoft.com/ja-jp/windows/security/identity-protection/hello-for-business/multifactor-unlock?tabs=intune
Windows のパスワードレス / 多要素認証をしてサインインするパターン Windows Hello Windows Hello for Business セキュリティ キーを 使用したサインイン Web サインイン メーカー独自アプリ Windows Hello 対応デバイス Windows Hello 対応デバイス FIDO2 セキュリティキー Microsoft Entra ID パスワードレス認証 メーカーの仕様に依存 ◼ 手軽に導入できる ◼ 詳細な制御ができない ◼ セキュリティ低 ((パスワード ハッシュ) ◼ インフラの準備が必要 ◼ 企業向けのポリシー/ 制御 ◼ クラウド リソースに SSO 可能 ◼ セキュリティ高 (公開鍵暗号方式) ◼ クラウド前提のインフラ準備 ◼ 企業向けのポリシー/ 制御 ◼ クラウド リソースに SSO 可能 ◼ セキュリティ高 (公開鍵暗号方式) (Hello, FIDO2 セキュリティ キー, スマホ) ◼ クラウド インフラのみサポート ◼ インターネット接続が必要 ◼ サインインまで時に時間がかかる ◼ ID や条件はメーカー仕様に依存 ◼ 別途料金などが必要な場合も ※ この他 「スマート カード」 はオンプレミス前提、 「仮想スマートカード」 は Hello for Business / FIDO 2 への移行を推奨しているため省略します。
セキュリティ キーを使用したサインイン FIDO2 セキュリティ キーに基づくパスワードレス認証で Windows へサインイン サイン イン ◼ FIDO2 セキュリティ キー (USB キーや NFC カードなど) デバイス管理 ◼ Microsoft Entra 参加 ◼ Microsoft Entra ハイブリッド参加 要件 ◼ FIDO2 セキュリティ キー ◼ ハイブリッド参加の場合は Entra Connect およびオンプレミスの リソースに対する FIDO2 認証の有効化 の設定 「セキュリティ キーを使用したサインイン」 のポイント ◼ 業界団体 (FIDO2 アライアンス) による技術規格で、多くのベンダーの参加による多種多様なデバイスをサポート ◼ 主要 OS や主要ブラウザに対応しており、FIDO2 を利用した認証が様々シーンで活用ができる
セキュリティ キーを使用したサインインのセットアップ概要 IT 管理者 IT 管理者 ユーザー ユーザー セキュリティ キーを 有効化 セキュリティキーによる サインインを有効化 セキュリティ キーの 登録 セキュリティ キーによる サインイン Microsoft Entra 管理センターより FIDO2 の設定・構成を実施 Microsoft Intune やグループ ポリシー を使用して、サインインを有効化 Microsoft Entra の 「セキュリティ情 報」 よりセキュリティ キーを登録 組織のパスキーを有効にする Microsoft Entra ID FIDO2 セキュリティ キーによる Windows へのサインイン セキュリティ キーを検証方法として 設定する ハイブリッド環境の場合はオンプレミス AD 側でも設定を行う オンプレミスのリソースへのパスワードな しのセキュリティ キー サインイン Windows のサインインをする際に、 セキュリティ キーを使用してサインインする
Windows の Web サインイン 新しいサインイン オプションとなる Web ベースのサインイン エクスペリエンス サイン イン ◼ Microsoft Entra パスワードレス サインイン (Hello, FIDO2, スマホ) ◼ 一時アクセス パス デバイス管理 ◼ Microsoft Entra 参加 要件 ◼ Windows 11, 22H” +KB5030310 ◼ Microsoft Entra パスワードレス サイン インや一時アクセス パスなどの準備 「Windows の Web サインイン」 のポイント ◼ 最初は一時アクセス パスのみでサポートされており、Windows 11 の 22H2 以降から新しいサインイン シナリオとして機能が拡張 ◼ サインインまでの動作も時間がかかるため、Windows Hello for Business の登録前や緊急時の一時アクセス パス等での利用をおすすめ ◼ 設定は Intune やプロビジョニング パッケージで有効化するのみ
Windows のパスワードレス / 多要素認証をしてサインインするパターン Windows Hello Windows Hello for Business セキュリティ キーを 使用したサインイン Web サインイン メーカー独自アプリ Windows Hello 対応デバイス Windows Hello 対応デバイス FIDO2 セキュリティキー Microsoft Entra ID パスワードレス認証 メーカーの仕様に依存 ◼ 手軽に導入できる ◼ 詳細な制御ができない ◼ セキュリティ低 ((パスワード ハッシュ) ◼ インフラの準備が必要 ◼ 企業向けのポリシー/ 制御 ◼ クラウド リソースに SSO 可能 ◼ セキュリティ高 (公開鍵暗号方式) ◼ クラウド前提のインフラ準備 ◼ 企業向けのポリシー/ 制御 ◼ クラウド リソースに SSO 可能 ◼ セキュリティ高 (公開鍵暗号方式) (Hello, FIDO2 セキュリティ キー, スマホ) ◼ クラウド インフラのみサポート ◼ インターネット接続が必要 ◼ サインインまで時に時間がかかる ◼ ID や条件はメーカー仕様に依存 ◼ 別途料金などが必要な場合も ※ この他 「スマート カード」 はオンプレミス前提、 「仮想スマートカード」 は Hello for Business / FIDO 2 への移行を推奨しているため省略します。
メーカー独自アプリ Windows サインイン画面に対してメーカー独自アプリによる制御をかける サイン イン ◼ アプリの仕様による (多くの場合や生体認証デバイスや NFC カードなど) デバイス管理 ◼ アプリの仕様による (オンプレ AD や Microsoft Entra ID に依存しないパターンが多い) 要件 ◼ 一般的にメーカー独自アプリのインストール ◼ メーカーによっては別途有償であったりするため確認が必要 「メーカー独自アプリ」 のポイント ◼ 多くの場合は、Windows のサインインを NFC カードなどのタッチをすることで済ませるようなものが多い ◼ メーカー独自のために、提供元ベンダーに仕様や使用料などを確認する必要があります
Windows に生体認証等でサインインする方法まとめ # 1 方法 Windows Hello サイン イン • PIN (PC) • 顔認識* • 指紋認識* デバイス管理 インフラ要件 • 特になし (ワークグループやオンプレミス AD 参加も可) • Windows Hello 対応デバイス • Microsoft Entra 登録 • Microsoft Entra 参加 • Microsoft Entra ハイブリッド参加 • オンプレミス AD 参加 • Windows Hello 対応デバイス • ハイブリッド参加やオンプレ AD の場 合は Microsoft Entra Connect や ADCS, ADFS,オンプレミスへの有効 化設定が必要などが必要 * 要 Windows Hello 対応デバイス 2 3 4 5 Windows Hello for Business • PIN (PC) • 顔認識* • 指紋認識* * 要 Windows Hello 対応デバイス セキュリティ キーを 使用したサインイン • FIDO2 セキュリティ キー • Microsoft Entra 参加 • Microsoft Entra ハイブリッド参加 • FIDO2 セキュリティ キー • ハイブリッド参加の場合 Microsoft Entra Connect やオンプレミスへの有 効化設定が必要 Web サインイン Microsoft Entra パスワードレス サインイン • Hello, FIDO2 セキュリティ キー, スマホ • 一時アクセスパス • Microsoft Entra 参加 • Microsoft Entra パスワードレス サイ ンインや一時アクセスパスの準備 メーカー独自アプリ 大きく 2 パターン • Windows サインインにラッピング • Windows Hello を利用 • メーカー仕様による (一般的には特になし) メーカー仕様による 例: ・ATKey.Login ・FeliCa | NFCポートソフトウェア
ナガシヨミ Windows Windows のサインインの強化 生体認証や FIDO2 セキュリティ キーの使用パターン END 2024 年 11 月 タクヤ オータ アイコン アイコン 自動的に生成された説明 自動的に生成された説明