パスワードレス戦略の概要
この記事では、Microsoft のパスワードレス戦略と、Windows セキュリティ機能が実装にどのように役立つかについて説明します。
パスワードを自由にするための 4 つの段階
Microsoft は、パスワードが不要になった世界を作るために努力しています。 Microsoft は、組織のパスワードの時代を終わらせるための 4 つの手順のアプローチを想定しています。
パスワード置換オプションをデプロイする
パスワードから離れる前に、パスワードを置き換えるものが必要です。 Windows Hello for Businessおよび FIDO2 セキュリティ キーは、ハードウェアで保護された強力な 2 要素資格情報を提供し、Microsoft Entra IDと Active Directory へのシングル サインオンを可能にします。
Windows Hello for Businessまたは FIDO2 セキュリティ キーをデプロイすることは、パスワードレス環境への最初の手順です。 ユーザーは、特に生体認証と組み合わせる場合に、利便性のためにこれらの機能を使用する可能性があります。 ただし、一部のワークフローやアプリケーションではパスワードが必要な場合があります。 この初期段階では、パスワードに対する代替ソリューションを実装し、ユーザーに慣れさせます。
ユーザーが表示するパスワードの領域を減らす
パスワード置換オプションとパスワードが環境内に共存している場合、次の手順はパスワードの表面積を減らすことです。 環境とワークフローは、パスワードの要求を停止する必要があります。 この手順の目的は、ユーザーがパスワードを持っていることをユーザーが認識しているが、パスワードを 使用しない状態を実現することです。 この状態は、コンピューターにパスワード プロンプトが表示されたときに、ユーザーがパスワードを提供することを止めるために役立ちます。 このふるまいは、パスワードがフィッシングされる方法です。 パスワードをめったに使用しないユーザーは、パスワードを提供する可能性はほとんどありません。 パスワード プロンプトが標準ではなくなりました。
パスワードレスデプロイへの移行
ユーザーに表示されるパスワード画面が削除されると、organizationはユーザーをパスワードレス環境に移行し始めることができます。 このステージでは、ユーザーは自分のパスワードを入力、変更、または認識することはありません。
ユーザーは、Windows Hello for Businessまたは FIDO2 セキュリティ キーを使用して Windows にサインインし、Microsoft Entra IDおよび Active Directory リソースへのシングル サインオンを利用します。 ユーザーが認証を強制された場合、認証では Windows Hello for Business または FIDO2 セキュリティ キーが使用されます。
ID ディレクトリからパスワードを削除する
パスワードレス体験の最後のステップは、パスワードが存在しない場所です。 この段階では、ID ディレクトリにはパスワードの形式は格納されません。
パスワードレス体験の準備
パスワードレスへの道は旅です。 体験の期間は、organizationごとに異なります。 IT 意思決定者は、その体験の長さに影響を与える基準を理解することが重要です。
最も直感的な答えは、organizationのサイズですが、正確にサイズを定義するものは何ですか? これらの要因を見て、organizationのサイズの概要を確認できます。
サイズ係数 | 詳細 |
---|---|
部門数 | 組織内の部門の数はさまざまです。 ほとんどの組織には、 エグゼクティブ リーダーシップ、 人事、 会計、 販売、 マーケティングなどの共通の部門があります。 小規模な組織では、部門を明示的にセグメント化しない場合もあれば、大規模な組織の場合もあります。 さらに、サブ部門、およびそれらサブ部門のサブ部門も存在する場合があります。 organization内のすべての部門を把握する必要があり、コンピューターを使用する部門と使用していない部門を把握する必要があります。 部門がコンピューターを使用しない場合は問題ありません (おそらくまれですが、許容範囲内です)。 この状況は、自分に関心を持つ必要がある部署が 1 つ少ないことを意味します。 ただし、この部署がリストに含まれており、該当しないことを確認してください。 部門の数は、徹底的かつ正確であるだけでなく、パスワードの自由への道にあなたとあなたのスタッフを置くそれらの部門の利害関係者を知っている必要があります。 現実的には、私たちの多くは、組織図と、それが時間の経過とともにどのように拡大または縮小するかを把握していません。 この現実は、それらのすべてをインベントリとして一覧を作成する必要がある理由です。 また、ベンダーや連携パートナーなどの外部部門を含めることを忘れないでください。 organizationがパスワードレスになるが、パートナーが引き続きパスワードを使用して企業リソースにアクセスする場合は、そのことを知り、パスワードレス戦略に含める必要があります。 |
組織または部門の階層 | 組織と部門の階層は、部門内または組織全体の管理レイヤーです。 どのようにデバイスが使われるか、何のアプリケーションか、およびそれらの使用方法は、ほとんどの場合、部門ごとに異なりますが、部門の構造内でも異なります。 正しいパスワードレス戦略を決定するには、組織全体でのこれらの違いを知る必要があります。 経営幹部は、営業部門の中間管理職のメンバーとは異なる方法でデバイスを使用する可能性があります。 これらの両方のユーザー ケースは、カスタマー サービス部門の個々の共同作成者がデバイスを使用する方法とは異なる可能性があります。 |
アプリケーションとサービスの数と種類 | ほとんどの組織には多くのアプリケーションがあり、正確な一元化されたリストはめったにありません。 アプリケーションとサービスは、パスワードレスの評価で最も重要な項目です。 アプリケーションとサービスは、異なる種類の認証に移行するためにかなりの労力を必要とします。 ポリシーと手順の変更は、困難な作業になる可能性があります。 標準的な運用手順とセキュリティ ポリシーの更新と、内部で開発された CRM アプリケーションのクリティカル パスで 100 行 (またはそれ以上) の認証コードを変更することとのトレードオフを検討してください。 部門、その階層、およびその関係者があれば、使用されているアプリケーションの数を簡単に把握できます。 このアプローチでは、部門の整理されたリストとそれぞれの階層が必要です。 これで、各部門内のすべてのレベルで使用されるアプリケーションを関連付けることができます。 また、アプリケーションが内部で開発されているか、市販されているかも文書化する必要があります。 後者の場合は、製造元とバージョンを文書化します。 また、アプリケーションのインベントリを作成するときは、Web ベースのアプリケーションまたはサービスを忘れないでください。 |
作業ペルソナの数 | 作業ペルソナは、これまでの 3 つの取り組みが収束する場所です。 部門、各部門内の組織レベル、それぞれが使用するアプリケーションの数、およびアプリケーションの種類を知っています。 この情報から、作業ペルソナを作成します。 作業ペルソナは、特定の部門内のユーザー、役職、または役割 (個々の共同作成者、マネージャー、中間管理職など) のカテゴリを、使用されるアプリケーションのコレクションに分類します。 多くの仕事ペルソナを持っている可能性が高いです。 これらの作業ペルソナは作業単位になり、ドキュメントや会議で参照します。 名前を指定する必要があります。 Amanda - Accounting、Mark - Marketing、Sue - Sales などの簡単で直感的な名前をペルソナに付けます。 組織レベルが部門間で共通している場合は、部門内の共通レベルを表す名を決めます。 たとえば、 Amanda は特定の部門の個々の共同作成者の名で、 名は Sue が特定の部門の中間管理職の誰かを表す場合があります。 さらに、サフィックス ( I、 II、 シニアなど) を使用して、特定のペルソナの部門構造をさらに定義できます。 最終的には、関係者やパートナーがテーブルの長いリストやシークレット デコーダ リングを読み取る必要が生じない名前付け規則を作成します。 また、可能であれば、参照をユーザーの名前として保持してください。 結局のところ、その部門にいて、その特定のソフトウェアを使用しているユーザーについて話しているのです。 |
組織の IT 構造 | IT 部門の構造は、組織によって異なる場合があります。 一部の IT 部門は集中化されていますが、他の部門は分散化されています。 また、パスワードの自由への道は、 クライアント認証 チーム、 デプロイ チーム、 セキュリティ チーム、 PKI チーム、 ID チーム、 クラウド チームなどと対話している可能性があります。これらのチームのほとんどは、パスワードの自由への旅のパートナーです。 これらの各チームにパスワードなしの利害関係者が存在し、その取り組みが理解され、資金提供されていることを確認します。 |
組織を評価する
これで、これが簡単な作業ではなく、体験である理由を理解できます。 各作業ペルソナについて、ユーザーに表示されるパスワード画面を調査する必要があります。 パスワード画面を特定したら、それらを軽減する必要があります。 一部のパスワード画面の解決は簡単です。つまり、ソリューションは環境に既に存在し、ユーザーをその環境に導くだけです。 一部のパスワード サーフェスに対する解決が存在する可能性がありますが、お使いの環境にはデプロイされていません。 その解決策により、プロジェクトを計画、テスト、および展開する必要があります。 これは、複数のユーザーがいる複数の IT 部門、および場合によっては 1 つまたはそれ以上の分散したシステムにまたがる可能性があります。 これらの種類のプロジェクトには時間がかかり、専用のサイクルが必要です。 これと同じ感覚は、社内のソフトウェア開発にも当てはまります。 アジャイル開発手法を使用しても、誰かがアプリケーションに対して認証する方法を変更することが重要です。 適切な計画とテストがないと、生産性に深刻な影響を与える可能性があります。
パスワードレス体験を完了する時間は、パスワードレス戦略への組織の配置によって異なります。 パスワードレス環境がorganizationの目標であるというトップダウンアグリーメントにより、会話が容易になります。 会話が簡単な場合は、人を納得させる時間が減り、目標に向かって移動する時間が長くなります。 トップダウンの合意は、他の進行中の IT プロジェクトのランク内の優先事項として、既存のプロジェクトに優先順位を付ける方法をすべてのユーザーが理解するのに役立ちます。 優先順位について合意することで、マネージャーおよびエグゼクティブ レベルのエスカレーションを削減および最小化する必要があります。 これらの組織的な議論の後、最新のプロジェクト管理手法を使用して、パスワードレスの取り組みを継続します。 organizationは、(戦略に合意した後) 優先順位に基づいてリソースを割り当てます。 これらのリソースは次のようになります。
- 作業ペルソナを通して作業する
- ユーザー受け入れテストを整理して展開する
- ユーザーに表示されるパスワード サーフェスのユーザー受け入れテスト結果を評価する
- 利害関係者と協力して、ユーザーに表示されるパスワード サーフェスを軽減するソリューションを作成する
- ソリューションをプロジェクト バックログに追加し、他のプロジェクトに優先順位を付ける
- ソリューションをデプロイする
- ユーザー受け入れテストを実行して、ソリューションによってユーザーに表示されるパスワード画面が軽減されることを確認する
- 必要に応じてテストを繰り返します
パスワードの自由への組織の旅には時間がかかる場合があります。 作業ペルソナの数とアプリケーションの数をカウントすることは、投資の良い指標です。 うまくいけば、組織が成長しているということは、ペルソナのリストとアプリケーションのリストが縮小する可能性が低いという意味です。 今日パスワードレスで行く作業が nの場合、明日パスワードレスに行く可能性は n x 2 以上、 n x nです。 プロジェクトのサイズや期間が注意をそらすことにならないようにしてください。 各作業ペルソナを進めるにつれて、自分と利害関係者にとってアクションとタスクがより身近になります。 プロジェクトを大きな現実的なフェーズにスコープを設定し、正しい作業ペルソナを選択すると、すぐにorganizationの一部がパスワードレス状態に移行します。
パスワードからの解放への旅を始めるために最適なガイダンスは何ですか? できるだけ早く概念実証を管理に表示する必要があります。 理想的には、パスワードレス体験の各ステップでそれを表示する必要があります。 パスワードレス戦略を念頭に置き、一貫した進捗状況を示すことで、全員が集中できます。
作業ペルソナ
作業ペルソナから始めます。 これらは準備プロセスの一部でした。 これらは、Amanda - Accounting II などのペルソナ名、またはorganization定義されているその他の名前付け規則を持ちます。 その作業ペルソナには、 Amanda が会計部門で割り当てられた職務を実行するために使用するすべてのアプリケーションの一覧が含まれています。 開始するには、作業ペルソナを選択する必要があります。 これは、体験を完了するために有効にする対象となる作業ペルソナです。
ヒント
IT 部門の作業ペルソナは使用しません。 この方法は、おそらくパスワードレス体験を開始するための最悪の方法です。 IT の役割は非常に難しく、時間がかかります。 IT ワーカーは通常、複数の資格情報を持ち、多数のスクリプトとカスタム アプリケーションを実行し、パスワード使用の最悪の違反者です。 旅の途中または終わりに備えて、これらの作業ペルソナを保存することをお勧めします。
作業ペルソナのコレクションを確認します。 パスワードレスの旅の早い段階で、アプリケーションが最も少ないペルソナを特定します。 これらの作業ペルソナは、部門全体または次の 2 つを表すことができます。 これらのロールは、概念実証 (POC) またはパイロットに最適な作業ペルソナです。
ほとんどの組織は、テスト ラボまたは環境で POC をホストします。 パスワードなしの戦略でそのテストを行う場合は、より困難で、時間がかかる可能性があります。 ラボでテストするには、最初に対象のペルソナの環境を複製する必要があります。 このプロセスは、対象となる作業ペルソナの複雑さに応じて、数日または数週間かかる場合があります。
ラボ テストと管理に結果を迅速に提供するバランスを取りたい場合。 パスワードの自由への道のりについて前進の進捗状況を示し続けることは、常に良いことです。 リスクが低い、またはまったくない運用環境でテストする方法がある場合は、タイムラインに有利な場合があります。
パスワードの自由への旅は、プロセスの各段階を通じて各作業ペルソナを取得することです。 最初は、チーム メンバーと関係者がプロセスに精通していることを確認するために、一度に 1 人のペルソナと協力することをお勧めします。 プロセスに慣れたら、リソースが許す限り多くの作業ペルソナを並行してカバーできます。 プロセスは次のようになります。
- 対象となる作業ペルソナを表すテスト ユーザーを特定する
- Windows Hello for Business を展開して、ユーザーをテストする
- パスワードと Windows Hello for Business が機能することを確認する
- パスワードの使用について、テスト ユーザーのワークフローを調査する
- パスワードの使用法を特定し、パスワード軽減策を計画、開発、展開する
- すべてのユーザー パスワードの使用が軽減されるまで繰り返す
- Windows からパスワード機能を削除する
- どのワークフローにもパスワードが必要ないことを検証する
- 意識向上キャンペーンとユーザー教育
- 作業ペルソナに合った残りのユーザーを含める
- 仕事用ペルソナ のユーザーに パスワードが必要とされていないことを検証する
- パスワード認証を防ぐためにユーザー アカウントを構成する
作業ペルソナをパスワードの自由に正常に移動した後、残りの作業ペルソナに優先順位を付けて、プロセスを繰り返すことができます。