概要
パスワードは、サイバー攻撃の一般的なターゲットです。 ユーザー名とパスワードのみに依存することは、organizationにとって安全ではありません。 多要素認証 (MFA) は 99.2% を超える攻撃をブロックできますが、MFA はフィッシングやその他の高度な脅威に対して免疫がありません。 パスワードレス認証に移行すると、セキュリティ体制が強化され、ユーザー エクスペリエンスが向上し、セキュリティで保護された認証がより簡単で魅力的になります。
パスワードレス認証の利点
パスワードレス認証 には、従来のパスワードベースのシステムよりもいくつかの利点があります。
- 攻撃面の減少: パスワードの盗難、再利用、フィッシング、ブルートフォース攻撃によるリスクを排除します。
- ユーザー エクスペリエンスの向上: ユーザーは複雑なパスワードを覚えたり、頻繁にリセットを管理したりする必要はありません。 認証の速度が向上し、エラーが発生しやすくなります。
- より強力なセキュリティ体制: 最新のパスワードレスメソッドでは、暗号化キー、生体認証、およびデバイスバインド資格情報が使用されます。これは、パスワードよりも安全です。
- 簡略化されたアクセス: ユーザーは、組織のセキュリティ ポリシーをサポートし、さまざまなデバイスから企業リソースに安全にアクセスできます。
ユーザー シナリオについて
適切なパスワードレス ソリューションを選択するには、ユーザーが会社のリソースにアクセスする方法、機能する場所、資格情報の格納方法を理解する必要があります。 多様なニーズを満たすために、複数の堅牢な認証オプションを提供することをお勧めします。 このガイドでは、次の 3 つの代表的なペルソナを使用します。
ペルソナ 1: モバイル営業担当者
- 頻繁に旅行やクライアントを訪問します。
- プライマリ デバイスとして、仕事用Windows 11ノート PC を使用します。
- 共有オフィス デスクで個人用 iPad とWindows 365 Link デバイスを使用する場合があります。
ペルソナ 2: コール センター アソシエイト
- 専用ワークステーションを使用して、1 つのオフィスの場所から動作します。
- Windows 365 Boot to Cloud を介して企業リソースにアクセスします。
- 組織は、追加のハードウェアを発行しないことを好み、個人のデバイスに MFA を適用しません。
ペルソナ 3: ファクトリ フロア オペレーター
- 主に人事タスクに対して、IT システムを使用頻度の低い方法で使用します。
- オフィスのキオスクから、または自宅からリモートでリソースにアクセスします。
パスワードレス認証オプション
パスワードレス オプションがいくつかあります。それぞれに、移植性、使いやすさ、セキュリティに固有の利点とトレードオフがあります。
パスワードレス オプションの Device-Linked
専用デバイスを使用するユーザーの場合、これらのソリューションは資格情報を特定の Windows または macOS システムにリンクします。
Windows Hello for Business
Windows Hello for Business は、Microsoft の専用デバイス パスワードレス ソリューションです。
- Windows 10と 11 に対して強力なフィッシング耐性認証を提供します。
- 資格情報は、デバイスのトラステッド プラットフォーム モジュール (TPM) 内で保護されます。
- ユーザーは生体認証 (顔認識、指紋) または PIN を使用して認証します。これはデバイスから離れることはありません。
- 制約: 資格情報はデバイス固有です。 各デバイスでセットアップが必要であり、登録には移植可能な資格情報 (モバイル MFA、FIDO2 トークン、一時アクセス パスなど) が必要な場合があります。
macOS のプラットフォーム資格情報
macOS 用のプラットフォーム資格情報は、Windows PC で行うWindows Helloと同様のユーザー エクスペリエンスを Mac ユーザーに提供します。
- Windows Hello for Business for Mac ユーザーと同様のエクスペリエンスを提供します。
- Microsoft Entra ID を使用して、アプリ間でのシングル サインオン (SSO) にハードウェアバインド暗号化キーを使用します。
- モバイル デバイス管理 (MDM) プロバイダーへのデバイス登録とEntra IDへの登録が必要です。
- 制約: 資格情報もデバイス固有です。
モバイル パスワードレス オプション
モバイル ソリューションは、複数のデバイスまたは共有デバイス間で認証を有効にすることで、デバイスバインド資格情報の制限に対処します。
電話 Sign-In (Microsoft Authenticator)
- Entra IDからの通知を使用してパスワードレス サインインを許可します。
- 便利で簡単に展開できますが、フィッシングに耐性があるとは見なされません。
- 手記: モバイル デバイスと認証されているデバイスの間に直接接続はありません。
パスキーと FIDO2 キー
パスキー は、FIDO 標準に基づく最新のフィッシング耐性の資格情報です。 ハードウェア ベース (FIDO2 セキュリティ キー) またはソフトウェア ベース (電話または PC に格納) を使用できます。
- FIDO2 セキュリティ キー: 堅牢でフィッシングに耐性のある認証を提供する物理デバイス。 USB、NFC、Bluetooth接続をサポートします。
- ソフトウェア パスキー: 多くの場合、Bluetooth経由で、デバイスに格納され、認証デバイスとペアリングされます。
- Microsoft Authenticator Passkeys: Entra IDパスキーは iOS デバイスと Android デバイスに保存できるため、フィッシングに耐性のあるパスワードレス エクスペリエンスを実現できます。
接続方法:
- USB A/ USB C: 直接接続、移植可能ですが、失われる可能性があります。
- NFC: タッチベースで、多くの場合、従業員バッジと統合されています。
- Bluetooth: 遠距離で認証を有効にしますが、充電が必要です。
2 番目の要素: ロックを解除するには、FIDO キーに PIN または生体認証が必要です。
ペルソナ別の推奨事項
ペルソナ 1: モバイル営業担当者
- プライマリ: 高速で安全なアクセスを実現するために、専用Windows 11 PC 上のビジネス向けWindows Hello。
- 付帯: 柔軟性を確保するためのモバイル資格情報 (Microsoft Authenticator など)。
- 共有/個人用デバイス:WINDOWS 365 LINK デバイスと個人用 iPad で簡単にアクセスするための FIDO2 セキュリティ キー。
ペルソナ 2: コール センター アソシエイト
- プライマリ: 専用オフィス PC 上のビジネス向けWindows Hello。
- 付帯: NFC 対応の FIDO2 セキュリティ キーは、他のデバイスで使用するために従業員のアクセス バッジと統合されています。
ペルソナ 3: ファクトリ フロア オペレーター
- 原発: セキュリティで保護されたクロスデバイス アクセスのための Microsoft Authenticator 経由のパスキー。
- オルターナティブ: モバイル デバイスが許可されていない環境の生体認証 FIDO2 キー。
まとめ
パスワードレスデプロイを成功させるには、各ユーザーペルソナの一意のニーズを理解する必要があります。 ビジネス向けWindows Hello、FIDO2 セキュリティ キー、およびパスキーを Microsoft Authenticator 経由で組み合わせることにより、組織は堅牢なセキュリティとシームレスなユーザー エクスペリエンスを実現できます。 複数の認証オプションを提供することで、高いセキュリティ基準を維持しながら、柔軟性と生産性を最大限に高めます。
優れたユーザー エクスペリエンスを提供するには、各ユーザー ペルソナの個別のニーズと作業環境を考慮する必要があります。 ビジネス向けWindows Hello、さまざまな種類の FIDO2 キー、および Microsoft Authenticator 経由のパスキーの組み合わせをデプロイすることで、堅牢なセキュリティとシームレスなユーザー エクスペリエンスの両方を確保します。 この階層化されたアプローチは、セキュリティ体制を強化するだけでなく、柔軟性と利便性を最大化し、オフィスベースの作業から高度なセキュリティまたはモバイル環境に至るまでのシナリオに対応します。 最終的には、複数の認証オプションを提供することで、ユーザーの役割や場所に関係なく、高いセキュリティ基準を維持しながら生産性を維持できます。