Windows Hello for Businessで使用されるPRTトークンの仕様について

shotaemon 0 評価のポイント
2024-11-11T23:47:23.7466667+00:00

今回はWindows Hello for Businessで使用されるPRTトークンの仕様について質問させて頂きます。

■環境

現在、現環境にWindows Hello for Businessの導入を検討しております。展開の方式としてはHybrid Joinをした構成で、認証方法としてはクラウドKerberos認証を用いた認証方法を検討しております。

■前提

前提としまして下記に記載の公開情報によるとWindows Hello for Businessで利用されるトークンはPRTトークンというものが利用されていて、PRTトークンの有効期間は14日間と認識しております。

■質問

質問事項としてはPRTトークンは毎日ネットに接続されていれば自動で更新される認識なのですが、休職や共有PCなどしばらく使用していない状態が続いた場合は仕様上トークンは更新されないという認識であってますでしょうか。

また上記の理解であっている場合、PRTトークンを更新するにはPINや生体認証などは使用できずにパスコードでWIndowsにサインインしてインターネットに接続する必要はあるのか併せてご教示頂きたいです。

※https://learn.microsoft.com/ja-jp/windows/security/identity-protection/hello-for-business/how-it-works#primary-refresh-token ※https://jpazureid.github.io/blog/azure-active-directory/token-lifetime-2023/

以上になります。よろしくお願いします。

Windows
Windows
パーソナル コンピューター、タブレット、ノート PC、電話、モノのインターネット デバイス、自己完結型 Mixed Reality ヘッドセット、大規模なコラボレーション画面、その他のデバイスにわたって実行される Microsoft オペレーティング システムのファミリ。
89 件の質問
Windows Server
Windows Server
エンタープライズ レベルの管理、データ ストレージ、アプリケーション、通信をサポートする Microsoft サーバー オペレーティング システムのファミリ。
67 件の質問
{count} 件の投票

3 件の回答

並べ替え方法: 最も役に立つ
  1. Hebikuzure aka Murachi Akira 10,696 評価のポイント MVP
    2024-11-12T04:54:55.1066667+00:00

    Hybrid Join であれば、『ユーザーが組織の認証情報を使ってサインインするとき、Windows ログオンの間に発行されます。』ということのなので、ユーザーがデバイス(Windows)にサインインできれば自動的に取得され、『Windows サインイン中、CloudAP プラグインは 4 時間ごとに PRT を更新します』ということなので、Windows へのサインインができれば勝手に更新される動作ですね。

    0 件のコメント コメントはありません

  2. Yanhong Liu 13,665 評価のポイント Microsoft ベンダー
    2024-11-12T07:15:12.62+00:00

    こんにちは、

    PRTトークンは、デバイスがインターネットに接続されている場合、自動的に更新されます。ただし、デバイスが長期間非アクティブな場合、ユーザーはパスワードでサインインしてインターネットに接続して、PRTを手動で更新する必要があります。これにより、トークンが更新され、SSO 機能がそのまま維持されます。

    上記の問題の詳細については、スレッドを参照してください。https://learn.microsoft.com/en-us/answers/questions/2117940/about-the-specification-of-prt-token-used-in-windo?page=0&orderby=Helpful#answers

    よろしくお願いいたします

    ヤンホン

    =====================================

    回答が役に立った場合は、「回答を受け入れる」をクリックして賛成票を投じてください

    0 件のコメント コメントはありません

  3. チャブーン 1,706 評価のポイント MVP
    2024-11-12T10:59:09.6433333+00:00

    チャブーンです。

    この件ですが、仕様の質問をされていますが、Hebikuzureさんの方でも回答されていますが、

    • PRTトークンの有効期限そのものを制御する方法はない
    • 接続環境変更等で条件付きアクセスで再評価がいる場合、その条件をWindowsで検出してPRTトークンを再発行する方針になっている(PRTトークン有無で再評価するわけではない)
    • なのでPRTトークンを積極的にRevokeするデザインにはなっていない

    ということではないでしょうか?

    ところで、繰り返しこの質問をされる、背景は何かあるのでしょうか?それが分かると、回答者の方でも、より適切なコメントが出せるように思います。

    ただし「更新されないPRTをセキュリティ的に放置したくないので、実質管理者側で無効にしたい」ということであれば、直接の対応方法はない、ということになります。どうしても似たことがしたい、という場合は、以下の3択になるでしょう。

    1. ユーザーのパスワードを強制的に変更する
    2. ユーザーアカウントを無効化する
    3. デバイス(コンピューターアカウント)を無効化する

    ユーザー・デバイスの無効化ですが、管理者側で(PRT経過後に)有効に戻すことができます。質問者さんの環境ではオンプレミスActive Directory側で、無効|有効の設定をしてあげないと、オンプレ側設定で元に戻されてしまうので、注意してください。

    0 件のコメント コメントはありません

お客様の回答

回答は、質問作成者が [承諾された回答] としてマークできます。これは、ユーザーが回答が作成者の問題を解決したことを知るのに役立ちます。