Windows Hello for Business を理解する
Windows 10 以降のクライアントでは、Windows Hello for Business は PC とモバイル デバイスでパスワードを強力な 2 要素認証に置き換えます。 これは、デバイスと生体認証または PIN の使用に関連付けられる新しい種類のユーザー資格情報で構成された認証です。
Windows Hello は、パスワードに関する以下の問題に対処します。
- 強力なパスワードを覚えるのは難しく、ユーザーは複数のサイトでパスワードを使い回す場合が多くあります。
- サーバー違反により、対称ネットワークの認証情報 (パスワード) が公開されることがあります。
- パスワードはリプレイアタックの対象です。
- ユーザーはフィッシング攻撃により、パスワードを誤って漏えいさせてしまうことがあります。
Windows Hello を使用すると、ユーザーは次の認証を受けることができます。
- Microsoft アカウント
- Active Directory アカウント
- Microsoft Entra アカウント
- Fast ID Online (FIDO) v2.0 認証をサポートする ID プロバイダー サービスまたは証明書利用者サービス (処理中)
登録中にユーザーを最初に 2 段階認証した後、Windows Hello がユーザーのデバイスに設定され、Windows は、指紋や PIN などの生体認証を使用できるジェスチャを設定するようユーザーに求めます。 ユーザーはジェスチャーにより、自分の ID を確認します。 次に、Windows は Windows Hello を使用してユーザーを認証します。
企業または教育機関の管理者は、組織に接続する Windows ベースのデバイスにおける Windows Hello for Business の使用を管理するポリシーを作成できます。
生体認証サインイン
Windows Hello は、顔認証または指紋照合に基づく、信頼性の高い完全に統合された生体認証を提供します。 Windows Hello は、特殊な赤外線 (IR) カメラとソフトウェアの組み合わせにより、精度を高め、なりすましを防止します。 主要なハードウェア ベンダーは、Windows Hello 互換のカメラを統合したデバイスを出荷しています。 指紋リーダー ハードウェアは、現在持っていないデバイスで使用または追加できます。 Windows Hello に対応するデバイスでは、簡単な生体認証のジェスチャーでユーザーの資格情報が解除されます。
- 顔認識。 この種類の生体認証では、赤外光を見る特殊なカメラを使用し、写真やスキャンしたものと生きている人間の違いを確実に見分けることができます。 複数のベンダーがこのテクノロジを組み込んだ外部カメラを出荷しており、主要なノート PC の製造元もそれをデバイスに組み込んでいます。
- 指紋認識。 この種類の生体認証では、静電容量式の指紋センサーを使用して指紋をスキャンします。 Windows コンピューター向けの指紋リーダーは何年も前から提供されていますが、現在の世代のセンサーは信頼性が格段に向上し、エラーが少なくなっています。 ほとんどの既存の指紋リーダー (外部またはノート PC または USB キーボードに統合されている場合) は、Windows で動作します。
Windows は、Windows Hello セキュリティの実装に使用される生体認証データを、ローカル デバイスのみに安全に保存します。 生体認証データはローミングされず、外部のデバイスやサーバーに送信されることもありません。 Windows Hello は生体認証データをデバイス上にしか保存しないため、攻撃者が生体認証データを盗むために侵害できる単一の収集ポイントはありません。