Microsoft には、Windows Hello 品質ガイドラインに準拠するための生体認証センサーに関する要件があります。 Windows Hello と相互運用するための承認を得るために、手動レビュー プロセスが必要です。 このプロセスは、このドキュメントのプロセスを実行することによってのみ取得できる Windows DevCenter (こちら: https://developer.microsoft.com/) を通じて取得された特定の署名の OS チェックを使用して適用されます。
承認されたドライバーの更新プログラムは、以前の申請を参照して、より迅速な承認を得ることができます。 ドライバーは、新しいセンサーに適用される場合、または FAR、FRR、またはプレゼンテーション攻撃の検出に影響する一致エンジンへの変更が発生した場合は、新しいレビューを受ける必要があります。
手順 1: 生体認証ドライバーを作成する
生体認証ドライバーを作成するには、Windows 生体認証フレームワーク
手順 2: センサーをテストし、自己検証する
センサーとドライバーを自己検証して、Microsoft の生体認証要件を満たしていることを確認し、指紋セキュリティ レビュー テンプレートで結果を報告します。 要件とテンプレートのドキュメントは、Connect のフィンガープリント パートナー パッケージ内にあります。 Connect にアクセスできない場合は、Microsoft の担当者にお問い合わせください。
手順 3: ドライバー構成 xml ファイルを変更する
ドライバーを提出すると、Windows 10 バージョン 1703 指紋 HLK テストによって、<vendorCompliance> と <securityReview> タグが次のフィールドに含まれていることが確認されます。
bugId: 以前に承認されたセキュリティ レビュー情報を含む前の HLK 申請の ID 番号。申請がまったく新しいセキュリティ レビューを受けている場合は 0。
updateExistingSubmission: 提出がセキュリティ レビューを受けた以前の申請の更新として機能する場合は true、それ以外の場合は false。
例
<?xml version="1.0" encoding="utf-8"?>
<bioTestConfiguration version="0" runOptional="false" runInteractive="true" abortOnFailure="false" manualStep="false" priority="3" logType="WTT">
<vendorCompliance>
<securityReview bugId="12345678" updateExistingSubmission="true"/>
</vendorCompliance>
<testSuites>
<testSuite deviceRequired="false" id="StorageAdapter">
<library>storagetest.dll</library>
<description>storage Adapter Test Suite</description>
</testSuite>
</testSuites>
<deviceInfo>
<sensorAdapterLib>WinbioSensorAdapter.dll</sensorAdapterLib>
<engineAdapterLib>vcsWBFEngineAdapter.dll</engineAdapterLib>
<storageAdapterLib>winbiostorageadapter.dll</storageAdapterLib>
<indicatorSupported>0</indicatorSupported>
<supportedModes>
<supportedMode>0x01</supportedMode>
</supportedModes>
<supportedPurposes>
<supportedPurpose>0x01</supportedPurpose>
<supportedPurpose>0x02</supportedPurpose>
<supportedPurpose>0x04</supportedPurpose>
</supportedPurposes>
</deviceInfo>
</bioTestConfiguration>
手順 4: ドライバー構成 inf を変更する
必要な Windows Hello 署名を取得して WU にアップロードするには、生体認証ドライバー パッケージを新しい DevCenter ポータルに送信する必要があります。 アダプター dll のデジタル署名の取得を適切に指定するには、パッケージにドライバー INF ファイルに特定のプロパティを含める必要があります。 次の例では、アダプター バイナリとその関連ライブラリで生体署名を取得するための書式設定を示します。
たとえば、ドライバー パッケージに、sensor.dll、engine.dll、および storage.dll という名前のセンサー、エンジン、およびストレージ アダプターが含まれていて、1 つ stringparser.dll読み込まれた場合、それぞれにバイオ署名を取得するには、INF ファイルに次のコンポーネントを含める必要があります。
[SignatureAttributes]
sensor.dll = SignatureAttributes.WindowsHello
engine.dll = SignatureAttributes.WindowsHello
storage.dll = SignatureAttributes.WindowsHello
stringparser.dll = SignatureAttributes.WindowsHello
[SignatureAttributes.WindowsHello]
WindowsHello = true
この手順は、ドライバーが適切な認定を受け取ることを確認するために最も重要です。 DevCenter に送信されたときに生体認証署名を取得する場合は、すべてのサード パーティ製生体認証アダプター ファイルと、これらのアダプターによって読み込まれたサードパーティ DLL にラベルを付け、この方法で含める必要があります。
手順 5: HLK テスト スイートを実行する
HLK テストでは、上記の変更が手順 3 と 4 で行われていることが確認され、構成情報が存在しない場合は失敗します。 HLK スタジオで最終的な HLK をパッケージ化する場合は、バグに提出されたセキュリティ レビュー テンプレートを補足ファイルとして含めます。
手順 6: ドライバー パッケージと HLK ログを送信する
パッケージ化された HLK ファイルを確認のために DevCenter に送信します。 Microsoft 内の機能チームは、手動レビュー プロセスに達すると、申請の通知を受け取ります。 チームは、HLK パッケージで送信されたテンプレートを確認して、自己検証された情報が Microsoft の生体認証要件を満たしていることを確認します。
手順 7: Microsoft の承認と署名を待つ
すべての生体認証要件を満たしている場合、Microsoft は申請を承認します。生体認証署名の取得は、ドライバーが Windows Hello で動作するという認定ではありません。 たとえば、署名を確認する inf 構成ファイルでファイルを除外できます。 OS が署名を適用する時点でこのファイルが読み込まれると、読み込みは失敗し、ドライバーは Windows Hello で動作しません。 署名されたドライバーは、IHV と OEM によってテストされ、集合システムで動作することを確認する必要があります。
手順 8: 既存のドライバーを更新する
以前に署名されたドライバーの更新を行う必要がある場合は、手順 3 の手順に従って、更新されたドライバーのドライバー構成 xml の bugId フィールドと updateExistingSubmission フィールドを入力します。 祖父ドライバーに対して更新を行う場合は、同じ手順を使用する必要があります。 bugId フィールドは、既存のドライバーの申請 ID に設定し、updateExistingSubmission フィールドは true に設定する必要があります。 ドライバー構成 XML は、送信されるドライバー パッケージに含める必要があります。