Microsoft は、FIDO2 ベースのパスワードレス サインインに対する Hybrid Azure AD サポートのパブリック プレビューを発表しました。
このプレビューにより、ユーザーは Windows デバイスや Azure に接続されたすべてのアプリとサービスに、高速かつ簡単に、パスワードなしで安全にアクセスできます。
Microsoft のパスワードレス認証は現在、Windows Hello for Business と FIDO2 セキュリティ キーをサポートしています。Windows Hello for Business は、専用コンピューターを使用する従業員が利用できます。FIDO2 セキュリティ キーは、専用コンピューターを使用する従業員と、職場で共有 PC を使用する可能性のある従業員の両方が使用できます。
AuthenTrend FIDOアライアンスとMicrosoft Intelligent Security Association(MISA)の両方のメンバーです。当社のセキュリティキーシリーズには、 ATKey.Pro と ATKey.Card は指紋ベースの FIDO2 生体認証キーです。FIDO2 標準に基づいて、秘密キーや指紋情報はセキュリティ キー内に残らず、デバイスからコピーまたはアクセスされることはありません。
弊社のいずれかにご興味がございましたら、 ATKey技術的な詳細につきましては、お気軽にお問い合わせください。
見てみましょう プロセス ユーザーがFIDO2セキュリティキーでサインインするとどうなるか:(全文はこちら ドキュメント)
FIDO Alliance によって FIDO2 認定されたキーは多数ありますが、最大限のセキュリティと最適なエクスペリエンスを確保するために、Microsoft ではベンダーが FIDO2 クライアント対認証プロトコル (CTAP) 仕様のオプションの拡張機能を実装することを要求しています。
セキュリティキー MUST Microsoft 互換となるように、FIDO2 CTAP プロトコルから次の機能と拡張機能を実装します。
# | 機能/拡張機能の信頼 | この機能または拡張機能はなぜ必要なのでしょうか? |
---|---|---|
1 | 居住者キー | この機能により、セキュリティ キーを移植できるようになり、資格情報はセキュリティ キーに保存されます。 |
2 | クライアントピン | この機能を使用すると、2 番目の要素を使用して資格情報を保護でき、ユーザー インターフェイスのないセキュリティ キーに適用されます。 |
3 | hmac-シークレット | この拡張機能により、デバイスがオフラインまたは機内モードのときにもサインインできるようになります。 |
4 | RP ごとに複数のアカウント | この機能により、Microsoft アカウントや Azure Active Directory などの複数のサービスで同じセキュリティ キーを使用できるようになります。 |
始める前に、重要な要件とサポートされていないシナリオを確認してください。(完全版はこちらで読むことができます。 ドキュメント)
デバイスの種類 | Azure ADに参加 | ハイブリッド Azure AD 参加 |
---|---|---|
Azure 多要素認証 | X | X |
統合セキュリティ情報登録プレビュー | X | X |
互換性のあります FIDO2セキュリティキー | X | X |
WebAuthN には Windows 10 バージョン 1903 以降が必要です | X | X |
Azure AD に参加しているデバイス Windows 10 バージョン 1909 以上が必要です | X | |
ハイブリッド Azure AD 参加デバイス Windows 10 バージョン 2004 以上が必要です | X | |
完全にパッチが適用された Windows Server 2016/2019 ドメイン コントローラー。 | X | |
Azure AD Connect バージョン1.4.32.0以降 | X | |
Microsoft Intune (オプション) | X | X |
プロビジョニング パッケージ (オプション) | X | X |
グループ ポリシー (オプション) | X |
次のシナリオはサポートされていません。
Intune を使用してセキュリティ キーの使用を有効にするには、次の手順を実行します。
サインイン用のセキュリティ キーの構成は、Windows Hello for Business の構成に依存しません。
特定のデバイス グループを対象に資格情報プロバイダーを有効にするには、Intune 経由で次のカスタム設定を使用します。
Intuneで管理されていないデバイスの場合は、プロビジョニングパッケージをインストールして機能を有効にすることができます。Windows構成デザイナーアプリは、 プロビジョニング パッケージを作成するには、次の手順を実行します。
注: Windows 10 バージョン 1903 を実行しているデバイスでは、共有 PC モードも有効にする必要があります (共有PCモードを有効にする).
この機能を有効にする方法の詳細については、 Windows10で共有PCまたはゲストPCをセットアップする.
ハイブリッド Azure AD 参加デバイス組織は、次のグループポリシー設定を構成して、FIDOセキュリティキーサインインを有効にすることができます。設定は以下にあります。 コンピューター構成 > 管理用テンプレート] > エントルピー > ログオン > セキュリティキーによるサインインを有効にする:
このグループポリシー設定には、 credentialprovider.admx
グループ ポリシー テンプレート。この新しいテンプレートは、Windows Server の次のバージョンと Windows 10 20H1 で利用できます。この設定は、これらの新しいバージョンの Windows のいずれかを実行しているデバイスで管理することも、サポート トピックのガイダンスに従って集中管理することもできます。 Windows でグループ ポリシー管理テンプレートの中央ストアを作成および管理する方法.
一度ログインすると、追加の認証なしで Office 365 にシームレスにアクセスできます。
パスワードレス認証はオフラインのシナリオでも機能します。
弊社のいずれかにご興味がございましたら、 ATKey技術的な詳細につきましては、お気軽にお問い合わせください。