Windows Hello for Business

Windows 10 のデバイスでは、Windows Hello for Business により、パスワードが強固な 2 要素認証に置き換えられます。 この認証は、デバイスに関連付けられて、生体認証または PIN を使用する、新しい種類のユーザー資格情報で構成されます。

注意

初回リリース時の Windows 10 には Microsoft Passport と Windows Hello が含まれており、これらが連携して多要素認証を提供していました。 展開を簡略化してサポート性を向上するために、Microsoft ではこれらのテクノロジを Windows Hello という名前で 1 つのソリューションに統合しました。 これらのテクノロジを既に展開済みのお客様に対しては、機能の変更はありません。 Windows Hello ではポリシー、マニュアル、およびセマンティクスが簡略化されているため、Windows Hello をまだ評価していない場合も容易に展開できます。

Windows Hello は、パスワードに関する次の問題に対処しています。

  • 強力なパスワードは、思い出せない場合があります。また、ユーザーは、多くの場合、複数のサイトで同じパスワードを使っています。
  • サーバーの侵害により、対称ネットワーク資格情報 (パスワード) が公開される場合があります。
  • パスワードは、リプレイ攻撃の対象となります。
  • ユーザーは、フィッシング攻撃 により、誤ってパスワードを公開する可能性があります。

Windows Hello により、ユーザーは次の認証を受けることができます。

  • Microsoft アカウント。
  • Active Directory アカウント。
  • Microsoft Azure Active Directory (Azure AD) アカウント。
  • Fast ID Online (FIDO) v2.0 認証をサポートする ID プロバイダー サービスまたは証明書利用者サービス。

登録時のユーザーの 2 段階の初期検証の後、Windows Hello がユーザーのデバイスにセットアップされ、ユーザーは、ジェスチャ (指紋などの生体認証 または PIN) の設定を求められます。 ユーザーは、自分の身元を確認するためのジェスチャを設定します。 Windows はこれにより、Windows Hello を使用してユーザーを認証します。

企業や教育機関の管理者は、組織に接続する Windows 10 ベースのデバイスでの Windows Hello for Business の使用を管理するポリシーを作成できます。

生体認証サインイン

Windows Hello は、顔認識または指紋認証に基づいて、優れた信頼性の完全統合型生体認証を提供します。 Windows Hello では、特別な赤外線 (IR) カメラとソフトウェアを組み合わせて精度を向上し、スプーフィングから保護します。 主要なハードウェア ベンダーは、Windows Hello と互換性のあるカメラを統合したデバイスを出荷しています。 指紋リーダー ハードウェアは、現在使用されていないデバイスで使用または追加できます。 Windows Helloをサポートするデバイスでは、簡単な生体認証ジェスチャによってユーザーの資格情報がロック解除されます。

  • 顔認識。 この種類の生体認識では、赤外線で表示する特殊なカメラを使用するため、写真やスキャンと実際の人物の違いを確実に見分けられます。 複数のベンダーが、このテクノロジを組み込んだ外付けカメラを出荷しており、主要なノート PC の製造元は、このカメラを自社のデバイスにも取り入れています。
  • 指紋認識。 この種類の生体認識では、静電容量方式指紋センサーを使用して指紋をスキャンします。 指紋リーダーは Windows コンピューターで長年使われていましたが、最新のセンサーは、信頼性が向上し、エラーの頻度が低下しています。 外部またはノート PC や USB キーボードに統合されているほとんどの既存の指紋リーダーは、Windows 10と Windows 11 で動作します。
  • 虹彩認識。 この種類の生体認証では、カメラを使用して虹彩のスキャンを実行します。 HoloLens 2は、Iris スキャナーを導入した最初の Microsoft デバイスです。 これらの虹彩スキャナーは、すべてのHoloLens 2 デバイスで同じです。

Windows Hello の実装に使われる生体認証データは、ローカル デバイスのみに安全に保存されます。 生体認証データはローミングを行わないので、外部デバイスやサーバーに送信されません。 Windows Helloは生体認証識別データのみをデバイスに保存するため、攻撃者が生体認証データを盗むために侵害できる単一の収集ポイントはありません。 Windows Hello for Business を使用した生体認証の詳細については、「 エンタープライズでの生体認証のWindows Hello」を参照してください。

Windows Hello と Windows Hello for Business の相違点

  • 個人は、個人のデバイス上に PIN または生体認証のジェスチャを作成して、便利にサインインできます。 この Windows Hello の使用は、設定されているデバイスに固有ですが、個人のアカウントの種類に応じてパスワード ハッシュを使用できます。 この構成はWindows Helloのコンビニエンス PIN といい、非対称 (公開/秘密キー) または証明書ベースの認証ではサポートされません。

  • グループ ポリシーまたはモバイル デバイス管理 (MDM) ポリシーによって構成される Windows Hello for Business の場合は、常にキーベースまたは証明書ベースの認証を使用します。 この動作により Windows Hello コンビニエンス PIN よりも安全になります。

Windows Hello の利点

個人情報の盗難や大規模なハッキングは、大きなニュースとして頻繁に報道されています。 自分のユーザー名とパスワードが公開されたという通知を受け取りたい人はいません。

デバイスの保護方法として PIN の方がパスワードよりも優れているとは思えないかもしれません。 パスワードは共有シークレットです。デバイスで入力され、ネットワーク経由でサーバーに送信されます。 傍受されたアカウント名とパスワードは、誰でもどこでも使用できます。 サーバーに保存されるため、これらの資格情報は、サーバーの侵害により公開される可能性があります。

Windows 10 以降では、Windows Hello はパスワードを置き換えます。 ID プロバイダーがキーをサポートしている場合、デバイスに TPM 2.0 またはソフトウェアがある場合、Windows Hello プロビジョニング プロセスによって、トラステッド プラットフォーム モジュール (TPM) にバインドされた暗号化キー ペアが作成されます。 これらのキーにアクセスし、署名を取得してユーザーが秘密キーを持っていることを検証することは、PIN または生体認証ジェスチャによってのみ有効になります。 公開/秘密キー ペアの公開の部分が ID プロバイダーに送信され、ユーザー アカウントに関連付けられるときに、Windows Hello 登録時に発生する 2 段階検証により、ID プロバイダーとユーザーの間に信頼関係が作成されます。 ユーザーがデバイス上でジェスチャを入力すると、ID プロバイダーは、Windows Hello キーとジェスチャーの組み合わせのために、検証済みの ID であることを認識します。 その後、Windows がリソースとサービスにアクセスできるようにする認証トークンが提供されます。

注意

便利なサインインとしての Windows Hello は、ユーザーがパスワードを入力することなく、通常のユーザー名とパスワードによる認証を使用します。

Windows Helloでの認証のしくみ。

ATM から現金を引き出すときに、入力した暗証番号 (PIN) をだれかが肩越しに見ているところを想像してください。 PIN を知っているだけでは、アカウントにはアクセスできません。ATM カードがないためです。 同様に、デバイスの PIN を知っているだけでは、攻撃者はアカウントにアクセスできません。なぜなら、PIN は、特定のデバイスに対してローカルであり、これで、他のデバイスから認証できるわけではないためです。

Windows Hello は、ユーザーの身元とユーザーの資格情報の保護に役立ちます。 ユーザーは (プロビジョニング中を除いて) パスワードを入力しないため、フィッシングやブルート フォース攻撃を回避するのに役立ちます。 また、Windows Hello 資格情報は非対称キー ペアであり、これらのキーは TPM で保護され、リプレイ攻撃を防止できるため、サーバーの侵害も防止できます。

Windows Hello for Business のしくみ: 重要ポイント

  • Windows Hello 資格情報は、証明書または非対称キー ペアに基づいています。 Windows Hello 資格情報は、デバイスにバインドすることができ、資格情報を使って取得されるトークンも、デバイスにバインドされています。

  • 登録手順で、ID プロバイダーがユーザーの身元を確認し、Windows Hello の公開キーをユーザー アカウントにマップします。 プロバイダーには、Active Directory、Azure AD、Microsoft アカウントなどがあります。

  • キーは、ハードウェア (エンタープライズ向け TPM 1.2 または 2.0、およびコンシューマー向け TPM 2.0) で、またはポリシーに基づいてソフトウェアで生成できます。 キーがハードウェアで生成されることを保証するには、ポリシーを設定する必要があります。

  • 認証は、デバイスに関連付けられたキーまたは証明書と、そのユーザーが知っているもの (PIN) または人物が知っているもの (生体認証) の組み合わせを使用した 2 要素認証です。 Windows Hello ジェスチャはデバイス間でローミングされず、サーバーと共有されません。 生体認証テンプレートは、デバイスにローカルに格納されます。 PIN は保存も共有もされません。

  • TPM を使用する場合、プライベートキーはデバイスから離れることはありません。 登録プロセスの間、認証を行うサーバーは、ユーザー アカウントにマップされている公開キーを保持しています。

  • PIN エントリと生体認証ジェスチャの両方によって、Windows10 以降が秘密キーを使って、ID プロバイダーに送信されるデータを暗号で署名するようトリガーされます。 ID プロバイダーは、ユーザーの ID を確認し、ユーザーを認証します。

  • 個人 (Microsoft アカウント) および企業 (Active Directory または Azure AD) のアカウントは、単一のコンテナーをキーに使用します。 すべてのキーは、ユーザーのプライバシーを確保するために、ID プロバイダーのドメインで分離されます。

  • 証明書の秘密キーは、Windows Hello コンテナーおよび Windows Hello ジェスチャによって保護することができます。

詳しくは、「Windows Hello for Business のしくみ」をご覧ください。

キー ベースの認証と証明書ベースの認証との比較

Windows Hello for Business は、キー (ハードウェアまたはソフトウェア)、またはハードウェアまたはソフトウェアの証明書を使用できます。 エンド ユーザー証明書を発行および管理するための公開キー基盤 (PKI) を持つ企業は、引き続き PKI を Windows Hello for Business と組み合わせて使用できます。 PKI を使用しない企業や、ユーザー証明書の管理に関連する労力を減らしたい企業は、Windows Hello のキーベースの資格情報に依存することができます。 この機能では、ドメイン コントローラー上の証明書が信頼できるルートとして引き続き使用されます。 Windows 10 バージョン 21H2 以降では、ハイブリッド デプロイに対する cloud Kerberos 信頼と呼ばれる機能があります。この機能は、信頼のルートとして Azure AD を使用します。 cloud Kerberos 信頼では、Windows Helloにキーベースの資格情報が使用されますが、ドメイン コントローラーの証明書は必要ありません。

クラウド Kerberos 信頼を含むキーを持つWindows Hello for Businessは、RDP 用に指定された資格情報をサポートしていません。 RDP では、キーまたは自己署名証明書を使用した認証はサポートされていません。 Windows Hello for Businessを使用した RDP は、指定された資格情報としての証明書ベースの展開でサポートされます。 キー資格情報を持つ Windows Hello for Business は、Windows Defender Remote Credential Guard で利用することが可能です。

詳細情報

Windows Hello for Businessを使用した強力なユーザー認証の実装

Microsoft における Windows Hello for Business の実装

Windows Hello for Business: 認証: このビデオでは、Windows Hello for Business と、サインインとリソースへのアクセスに使用する方法について説明します。

Windows Hello 顔認証

関連記事