Windows Hello における多要素のロック解除について

  • Article

こんにちは。Windows サポートチームの矢澤です。
今回は RS3 (1709) から新しく実装された Windows Hello の多要素認証についてご紹介します。
詳細は以下の公開情報に記載されておりますが、わかりにくい点もありますのでこちらの blog にて補足します。

Title: 多要素のロック解除
URL:/ja-jp/windows/security/identity-protection/hello-for-business/feature-multifactor-unlock

◆動作◆
「最初のロック解除要素である資格情報プロバイダー」「2 番目のロック解除要素である資格情報プロバイダー」にて設定されたプロバイダー (PIN、顔、指紋、信頼された信号) から一つずつ要素を利用して、ログオンおよび画面ロックの解除において二要素認証を実現します。

◆設定方法◆
ローカル グループ ポリシーエディター (gpedit.msc) では以下のパスで指定します。

[コンピューターの構成] - [管理用テンプレート] - [Windows コンポーネント] - [Windows Hello for Business] - [デバイスのロック解除要素を構成する]

設定名は Windows Hello for Business ですが、通常の Windows Hello (WorkGroup, ドメイン環境) でも動作し、設定後は再起動などは不要で、[スタート] + L の画面ロックをすることですぐに設定した内容での動作を確認できます。また、少なくともどちらかの設定に PIN が含まれている必要があります。

◆GUID◆
既定では「最初のロック解除要素である資格情報プロバイダー」に [PIN/顔/指紋]  が登録され、「2 番目のロック解除要素である資格情報プロバイダー」に [PIN/信頼された信号] が登録されますので、追加、削除などしたい場合には以下の GUID を参照いただき、設定を変更ください。

PIN: {D6886603-9D2F-4EB2-B667-1971041FA96B}
顔:{8AF662BF-65A0-4D0A-A540-A338A999D36F}
指紋:{BEC09223-B018-416D-A0AC-523971B639F5}
信頼された信号:{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}

◆適用順序◆
「最初のロック解除要素である資格情報プロバイダー」と「2 番目のロック解除要素である資格情報プロバイダー」という名称ですが、どちらのリストから開始されても問題ありません。

例えば、「PIN/顔」+「PIN/指紋」と設定した場合には先に「2 番目のロック解除要素である資格情報プロバイダー」に設定されている指紋認証からでも認証を開始することができ、その後に顔認証でロックが解除される状態となります。なお、最初は必ず顔認証してから、次に指紋認証、などといった順序を厳密に定義することはできません。

◆両方のリストに含まれる要素◆
「最初のロック解除要素である資格情報プロバイダー」と「2 番目のロック解除要素である資格情報プロバイダー」の両方に含まれる要素があった場合、両方に含まれる要素を最初に利用した場合は、「最初のロック解除要素である資格情報プロバイダー」と「2 番目のロック解除要素である資格情報プロバイダー」に設定されている残りの要素を追加認証で利用することができます。

例えば、「PIN/顔」+「PIN/指紋」と設定した際に、先に PIN にて認証をした場合は、追加の要素としては「顔」「指紋」の両方が利用可能です。なお、この設定では、以下のような形で認証が可能です。

・PIN + 顔
・PIN + 指紋
・顔 + PIN
・顔 + 指紋
・指紋 + PIN
・指紋 + 顔

◆生体認証のロック◆
生体認証に 3 回失敗した場合には、使用した生体認証(顔認証 or 指紋認証) にロックがかかり PIN を入力しないと解除されません。多要素ロックの設定をしている場合には、追加要素の認証が成功してデスクトップ画面が表示されないと、生体認証が再度認識されません。

例えば、「PIN/顔」+「PIN/指紋」と設定した際に、指紋認証に 3 回間違えてロックがかかり、PIN にて解除した場合には、PIN にて認証したことになりますので、「顔」もしくは「指紋」にて追加の要素で認証する必要がありますが、「指紋」はロックがかかっているため、「顔」を使用して認証する必要があります。

◆パスワード◆
サインイン オプションとしてパスワードのアイコンは必ず表示されますので、多要素のロック解除の設定をした場合でもパスワードのアイコンをクリックし、パスワードを入力することで 1 要素のみでロックを解除することができます。