Windows Hello for Business を基にして認証ソリューションを実装する
Windows 10 では、Windows Hello for Business によって、PC およびモバイル デバイス上のパスワードが強力な 2 要素認証に置き換えられます。 この認証はデバイスに関連付けられた新しい種類のユーザー資格情報で構成され、生体認証または PIN が使用されます。 Windows Hello for Business を使用すると、ユーザーは Active Directory または Microsoft Entra アカウントに対する認証を行うことができます。
Windows Hello は、パスワードに関する次の問題に対処しています。
- 強力なパスワードは、思い出せない場合があります。また、ユーザーは、多くの場合、複数のサイトで同じパスワードを使っています。
- サーバーの侵害により、対称ネットワーク資格情報 (パスワード) が公開される場合があります。
- パスワードは、リプレイ攻撃の対象となります。
- ユーザーは、 フィッシング攻撃により、誤ってパスワードを公開する可能性があります。
Windows Hello for Business のしくみ: 重要ポイント
- Windows Hello 資格情報は、証明書または非対称キー ペアに基づいています。 Windows Hello 資格情報は、デバイスにバインドすることができ、資格情報を使って取得されるトークンも、デバイスにバインドされています。
- ID プロバイダー (Active Directory、Microsoft Entra ID、Microsoft アカウントなど) は、登録手順でユーザー ID を検証し、Windows Hello 公開キーをユーザー アカウントにマッピングします。
- キーは、ポリシーに基づいて、ハードウェア (企業の場合は TPM 1.2 または 2.0、コンシューマーの場合は TPM 2.0) またはソフトウェアで生成できます。
- 2 要素認証は、デバイスに関連付けられたキーまたは証明書と、 ユーザーが知っているもの (PIN) または本人であることを示すもの (生体認証) の組み合わせです。 Windows Hello のジェスチャはデバイス間でローミングされず、サーバーと共有されません。 生体認証テンプレートは、デバイスのローカル環境に保存されます。 PIN は格納または共有されることはありません。
- TPM を使用すると、秘密キーがデバイスから離れることはありません。 登録プロセスの間、認証を行うサーバーは、ユーザー アカウントにマップされている公開キーを保持しています。
- PIN エントリと生体認証ジェスチャの両方によって、Windows 10 が秘密キーを使って、ID プロバイダーに送信されるデータを暗号で署名するようトリガーされます。 ID プロバイダーは、ユーザーの ID を確認し、ユーザーを認証します。
- 個人 (Microsoft アカウント) と企業 (Active Directory または Microsoft Entra ID) のアカウントでは、キーを 1 つのコンテナーで使用しています。 すべてのキーは、ユーザーのプライバシーを確保するために、ID プロバイダーのドメインで分離されます。
- 証明書の秘密キーは、Windows Hello コンテナーおよび Windows Hello ジェスチャによって保護することができます。
セキュリティ グループの作成
Windows Hello for Business では、デプロイと管理を簡略化するために複数のセキュリティ グループが使用されます。
重要
Windows Hello for Business を展開しているドメインに 1 つまたは複数の Windows Server 2016 ドメイン コントローラーが含まれる場合は、「KeyCredentials Admins セキュリティ グループを作成する」を省略してください。 Windows Server 2016 ドメイン コントローラーを含むドメインでは、最初の Windows Server 2016 ドメイン コントローラーのインストール時に作成される KeyAdmins グループを使用します。
KeyCredential Admins セキュリティ グループを作成する
Microsoft Entra Connect は、プロビジョニング中に作成されたユーザー オブジェクトの公開キーを同期します。 このグループに、Active Directory 属性への書き込みと読み取りのアクセス許可を割り当てます。 これにより、Microsoft Entra Connect サービスで、通常のワークフローの一環としてキーの追加と削除を実行できるようになります。
- "ドメイン管理者" と同等の資格情報で、ドメイン コントローラーまたは管理ワークステーションにサインインします。
- [Active Directory ユーザーとコンピューター] を開きます。
- [表示]、[高度な機能] の順に選択します。
- ナビゲーション ウィンドウでドメイン ノードを展開します。
- [Users] コンテナーを右クリックします。 [新規] を選択します。 [グループ] を選択します。
- [グループ名] ボックスに「KeyCredential Admins」と入力します。
- [OK] を選択します。
Windows Hello for Business Users セキュリティ グループを作成する
Windows Hello for Business Users グループは、Windows Hello for Business を段階的に展開しやすくするために使われます。 ユーザーをグループに追加することによってデプロイを簡略化するため、このグループにグループ ポリシーと証明書テンプレートのアクセス許可を割り当てます。 これにより、Windows Hello for Business を構成するため、および Windows Hello for Business 認証証明書を登録するための適切なアクセス許可がユーザーに提供されます。
- "ドメイン管理者" と同等の資格情報で、ドメイン コントローラーまたは管理ワークステーションにサインインします。
- [Active Directory ユーザーとコンピューター] を開きます。
- [表示]、[高度な機能] の順に選択します。
- ナビゲーション ウィンドウでドメイン ノードを展開します。
- [Users] コンテナーを右クリックします。 [新規] を選択します。 [グループ] を選択します。
- [グループ名] ボックスに「Windows Hello for Business Users」と入力します。
- [OK] を選択します。
Microsoft Pluton セキュリティ プロセッサ
現在、ほとんどの PC では、オペレーティング システムのセキュリティの中核機能が、CPU とは別のチップで提供されています。これは、TPM (トラステッド プラットフォーム モジュール) と呼ばれています。 TPM は、キーや、システムの整合性を検証する測定値を安全に保存できるよう支援するハードウェア構成要素です。 TPM は 10 年以上にわたって Windows でサポートされており、Windows Hello や BitLocker などの数多くの重要なテクノロジで活用されています。 TPM が重要なセキュリティ タスクの実行に効果的であったことから、攻撃者は、新たな攻撃方法を生み出し始めています。 これは特に、PC への物理アクセスを盗んだり、一時的に獲得したりできる状況で一般的に見られます。 そのような高度な攻撃手法は、CPU と TPM の間の通信チャネル、一般的にはバス インターフェイスを対象としています。 このバス インターフェイスには、メインの CPU とセキュリティ プロセッサの間で情報を共有する機能がありますが、 攻撃者が物理的な攻撃を行って、転送中の情報を盗んだり変更したりできる手段にもなります。
Pluton は設計上、セキュリティが CPU 内に直接構築されており、そのような通信チャネルが攻撃を受ける可能性を排除します。 Pluton アーキテクチャを使用する Windows PC では、最初に、TPM がエミュレートされます。 このエミュレーションは、既存の TPM 仕様と API で動作します。 最後に、これにより、お客様は、TPM に依存する Windows 機能のセキュリティ強化を即座に享受できます。 たとえば、BitLocker や System Guard などがあります。 Pluton が搭載されている Windows デバイスでは、Pluton セキュリティ プロセッサを使用して資格情報、ユーザー ID、暗号化キー、個人データを保護します。 攻撃者によってマルウェアがインストールされても、PC が物理的に完全に占有されてしまっても、この情報は一切 Pluton から削除することはできません。
- AMD、Intel、Qualcomm などとのコラボレーションによる構築。
- セキュリティ ハードウェア暗号化キー (SHACK)。
- う回する方法を学習し始めているハッカーに対処するための、TPM チップに対する更新プログラムや交換品。
- Azure Sphere や Xbox のセキュリティを確保する目的で生み出されたテクノロジをベースとします。