パスワードレス FIDO2 ベースのセキュリティ キーによるハイブリッド Azure AD のサポートのプレビュー

パスワードレスの安全な認証環境へようこそ。

Microsoft は、FIDO2 ベースのパスワードレス サインインに対する Hybrid Azure AD サポートのパブリック プレビューを発表しました。
このプレビューにより、ユーザーは Windows デバイスや Azure に接続されたすべてのアプリとサービスに、高速かつ簡単に、パスワードなしで安全にアクセスできます。

Microsoft のパスワードレス認証は現在、Windows Hello for Business と FIDO2 セキュリティ キーをサポートしています。Windows Hello for Business は、専用コンピューターを使用する従業員が利用できます。FIDO2 セキュリティ キーは、専用コンピューターを使用する従業員と、職場で共有 PC を使用する可能性のある従業員の両方が使用できます。

AuthenTrend FIDOアライアンスとMicrosoft Intelligent Security Association(MISA)の両方のメンバーです。当社のセキュリティキーシリーズには、 ATKey.Pro および ATKey.Card は指紋ベースの FIDO2 生体認証キーです。FIDO2 標準に基づいて、秘密キーや指紋情報はセキュリティ キー内に残らず、デバイスからコピーまたはアクセスされることはありません。

弊社のいずれかにご興味がございましたら、 ATKey技術的な詳細につきましては、お気軽にお問い合わせください。

 

見てみましょう プロセス ユーザーがFIDO2セキュリティキーでサインインするとどうなるか:(全文はこちら ドキュメント)

FIDO2 セキュリティ キーを使用したユーザー サインインの手順を示す図

  1. ユーザーは FIDO2 セキュリティ キーをコンピューターに接続します。
  2. Windows は FIDO2 セキュリティ キーを検出します。
  3. Windows は認証要求を送信します。
  4. Azure AD は nonce を返します。
  5. ユーザーはジェスチャを完了して、FIDO2 セキュリティ キーのセキュア エンクレーブに保存されている秘密キーのロックを解除します。
  6. FIDO2 セキュリティ キーは、秘密キーを使用して nonce に署名します。
  7. 署名された nonce を含むプライマリ更新トークン (PRT) トークン要求が Azure AD に送信されます。
  8. Azure AD は、FIDO2 公開キーを使用して署名された nonce を検証します。
  9. Azure AD は、オンプレミスのリソースへのアクセスを有効にするために PRT を返します。

 

 

FIDO Alliance によって FIDO2 認定されたキーは多数ありますが、最大限のセキュリティと最適なエクスペリエンスを確保するために、Microsoft ではベンダーが FIDO2 クライアント対認証プロトコル (CTAP) 仕様のオプションの拡張機能を実装することを要求しています。

セキュリティキー MUST Microsoft 互換となるように、FIDO2 CTAP プロトコルから次の機能と拡張機能を実装します。

テーブル2
# 機能/拡張機能の信頼 この機能または拡張機能はなぜ必要なのでしょうか?
1 居住者キー この機能により、セキュリティ キーを移植できるようになり、資格情報はセキュリティ キーに保存されます。
2 クライアントピン この機能を使用すると、2 番目の要素を使用して資格情報を保護でき、ユーザー インターフェイスのないセキュリティ キーに適用されます。
3 hmac-シークレット この拡張機能により、デバイスがオフラインまたは機内モードのときにもサインインできるようになります。
4 RP ごとに複数のアカウント この機能により、Microsoft アカウントや Azure Active Directory などの複数のサービスで同じセキュリティ キーを使用できるようになります。

 

 

始めましょう! 

始める前に、重要な要件とサポートされていないシナリオを確認してください。(完全版はこちらで読むことができます。 ドキュメント)

要件

募集要項
デバイスの種類 Azure ADに参加 ハイブリッド Azure AD 参加
Azure 多要素認証 X X
統合セキュリティ情報登録プレビュー X X
互換性のあります FIDO2セキュリティキー X X
WebAuthN には Windows 10 バージョン 1903 以降が必要です X X
Azure AD に参加しているデバイス Windows 10 バージョン 1909 以上が必要です X
ハイブリッド Azure AD 参加デバイス Windows 10 バージョン 2004 以上が必要です X
完全にパッチが適用された Windows Server 2016/2019 ドメイン コントローラー。 X
Azure AD Connect バージョン1.4.32.0以降 X
Microsoft Intune (オプション) X X
プロビジョニング パッケージ (オプション) X X
グループ ポリシー (オプション) X

サポートされていないシナリオ

次のシナリオはサポートされていません。

  • Windows Server Active Directory ドメイン サービス (AD DS) ドメイン参加 (オンプレミスのみのデバイス) 展開。
  • セキュリティ キーを使用した RDP、VDI、Citrix シナリオ。
  • セキュリティ キーを使用する S/MIME。
  • セキュリティ キーを使用して「実行」します。
  • セキュリティ キーを使用してサーバーにログインします。
  • オンライン中にセキュリティ キーを使用してデバイスにサインインしていない場合、オフラインでサインインしたりロックを解除したりすることはできません。
  • 複数の Azure AD アカウントを含むセキュリティ キーを使用して、Windows 10 デバイスにサインインまたはロック解除します。このシナリオでは、セキュリティ キーに最後に追加されたアカウントを使用します。WebAuthN を使用すると、ユーザーは使用するアカウントを選択できます。
  • Windows 10 バージョン 1809 を実行しているデバイスのロックを解除します。最適なエクスペリエンスを得るには、Windows 10 バージョン 1903 以降を使用してください。

 

デバイスを準備する

  1. Azure Active Directory 参加 (AADJ): 機能プレビュー中に試験運用する Azure AD 参加済みデバイスでは、Windows 10 バージョン 1909 以降が実行されている必要があります。
  2. ハイブリッド Azure Active Directory 参加 (ハイブリッド AADJ): ハイブリッド Azure AD 参加デバイスでは、Windows 10 バージョン 2004 以降を実行する必要があります。
  3. ATKey.Pro / ATKey。カード: FIDO2 セキュリティキー

 

Windows サインインにセキュリティ キーの使用を有効にする 

  • Intune で有効にする

    Intune を使用してセキュリティ キーの使用を有効にするには、次の手順を実行します。

    1. にサインインする Azureのポータル.
    2. ブラウズする Microsoft Intune > デバイスの登録 > Windows 登録 > ビジネスのためのWindows Hello > プロパティ.
    3.  設定、セット サインインにセキュリティキーを使用する 〜へ 使用可能.

    サインイン用のセキュリティ キーの構成は、Windows Hello for Business の構成に依存しません。

  • Intuneの展開をターゲットにした

    特定のデバイス グループを対象に資格情報プロバイダーを有効にするには、Intune 経由で次のカスタム設定を使用します。

    1. にサインインする Azureのポータル.
    2. ブラウズする Microsoft Intune > デバイス構成 > 対応プロファイル > プロフィール作成.
    3. 新しいプロファイルを次の設定で構成します。
      • 名前: Windows サインインのセキュリティ キー
      • 説明: Windows サインイン時に FIDO セキュリティ キーを使用できるようにします
      • プラットフォーム: Windows 10 以降
      • プロフィールタイプ: カスタム
      • カスタム OMA-URI 設定:
        • 名前: Windows サインインの FIDO セキュリティ キーを有効にする
        • OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
        • データ型: 整数
        • 値:1
    4. このポリシーは、特定のユーザー、デバイス、またはグループに割り当てることができます。詳細については、 Microsoft Intune でユーザー プロファイルとデバイス プロファイルを割り当てる.

    Intune カスタム デバイス構成ポリシーの作成

  • プロビジョニングパッケージで有効にする

Intuneで管理されていないデバイスの場合は、プロビジョニングパッケージをインストールして機能を有効にすることができます。Windows構成デザイナーアプリは、  プロビジョニング パッケージを作成するには、次の手順を実行します。

    1. Windows 構成デザイナーを起動します。
    2. 選択する File > 新しいプロジェクト.
    3. プロジェクトに名前を付け、プロジェクトが作成されたパスをメモしてから、 次へ.
    4. 脱退する プロビジョニングパッケージ として選択 選択されたプロジェクトワークフロー をクリックして 次へ.
    5. 選択する すべての Windows デスクトップ エディション 下 表示および構成する設定を選択します、その後、選択し 次へ.
    6. 選択する 仕上げ.
    7. 新しく作成したプロジェクトで、 ランタイム設定 > WindowsHelloビジネス向け > セキュリティキー > サインインにセキュリティキーを使用する.
    8. 作成セッションプロセスで サインインにセキュリティキーを使用する 〜へ 使用可能.
    9. 選択する エクスポート > プロビジョニングパッケージ
    10. デフォルトのままにしておきます 建設 窓の下 プロビジョニングパッケージについて説明する、その後、選択し 次へ.
    11. デフォルトのままにしておきます 建設 窓の下 プロビジョニング パッケージのセキュリティの詳細を選択します をクリックして 次へ.
    12. パスをメモするか変更してください 建設 下の窓 プロビジョニングパッケージを保存する場所を選択します をクリックして 次へ.
    13. 選択する 建設   プロビジョニングパッケージを構築する ページで見やすくするために変数を解析したりすることができます。
    14. 作成した2つのファイルを保存します(ppkg および cat) を、後でマシンに適用できる場所に保存します。
    15. 作成したプロビジョニングパッケージを適用するには、 プロビジョニング パッケージを適用する.

注: Windows 10 バージョン 1903 を実行しているデバイスでは、共有 PC モードも有効にする必要があります (共有PCモードを有効にする).

この機能を有効にする方法の詳細については、 Windows10で共有PCまたはゲストPCをセットアップする.

  • グループ ポリシーで有効にする (ハイブリッド AAD 参加デバイスのみ)

 ハイブリッド Azure AD 参加デバイス組織は、次のグループポリシー設定を構成して、FIDOセキュリティキーサインインを有効にすることができます。設定は以下にあります。 コンピューター構成 > 管理用テンプレート] > システム > ログオン > セキュリティキーによるサインインを有効にする:

    • このポリシーを設定する 使用可能 ユーザーがセキュリティ キーを使用してサインインできるようにします。
    • このポリシーを設定する 身体障がい者 or 設定されていません ユーザーがセキュリティ キーを使用してサインインすることを阻止します。

このグループポリシー設定には、 credentialprovider.admx グループ ポリシー テンプレート。この新しいテンプレートは、Windows Server の次のバージョンと Windows 10 20H1 で利用できます。この設定は、これらの新しいバージョンの Windows のいずれかを実行しているデバイスで管理することも、サポート トピックのガイダンスに従って集中管理することもできます。 Windows でグループ ポリシー管理テンプレートの中央ストアを作成および管理する方法.

 

Windows 10 ロック画面でのセキュリティ キー サインイン

 

にログインする ATKeys

 

  1. 指紋を登録する ATKeyWindows 10バージョン1903以降

    1. ユーザーはデバイスでWindows設定 > アカウント > セキュリティキーを開くことができます。
    2. 初めてご利用になる場合は、PINコードが必要です。 ATKey
    3. ユーザーはPINを変更したり、生体認証を更新したり、セキュリティキーをリセットしたりできます。
  2. キーを接続する Windows Azure AD ユーザー アカウント

一度ログインすると、追加の認証なしで Office 365 にシームレスにアクセスできます。

パスワードレス認証はオフラインのシナリオでも機能します。

[video_embed video=”uoSf_B9hTY8″ パラメータ=”” mp4=”” ogv=”” プレースホルダー=”” html5_parameters=”” 幅=”700″ 高さ=”400″]

 

 

 

 

弊社のいずれかにご興味がございましたら、 ATKey技術的な詳細につきましては、お気軽にお問い合わせください。

[お問い合わせボックスタイトル=”AuthenTrend” メール=”[メール保護]” www=”www.authentrend.com” 画像=”https://authentrend.com/wp-content/uploads/2020/10/AuthenTrend-Website-C-1.png” アニメーション=””]

 

上へスクロール