仮想スマート カードの概要: チュートリアル ガイド
Warning
Windows Hello for Businessおよび FIDO2 セキュリティ キーは、Windows 用の最新の 2 要素認証方法です。 仮想スマート カードを使用しているお客様は、Windows Hello for Businessまたは FIDO2 に移行することをお勧めします。 新しい Windows インストールの場合は、Windows Hello for Businessまたは FIDO2 セキュリティ キーをお勧めします。
IT プロフェッショナル向けのこのトピックでは、TPM 仮想スマート カードを使用するための基本的なテスト環境を設定する方法について説明します。
仮想スマート カードは、物理スマート カードに対する 2 要素認証で同等のセキュリティ上の利点を提供する Microsoft のテクノロジです。 また、ユーザーの利便性を高め、組織の展開コストを削減します。 物理スマート カードと同じ暗号化機能を提供するトラステッド プラットフォーム モジュール (TPM) デバイスを利用することで、仮想スマート カードは、スマート カードで必要な 3 つの重要なプロパティ (nonexportability、分離暗号化、およびハンマリング防止) を実現します。
このステップバイステップのチュートリアルでは、TPM 仮想スマート カードを使用するための基本的なテスト環境を設定する方法について説明します。 このチュートリアルを完了すると、Windows コンピューターに機能的な仮想スマート カードがインストールされます。
このチュートリアルは、ソフトウェアのインストールとテスト ドメインの設定を除いて、1 時間以内に完了できます。
チュートリアルの手順
重要
この基本的な構成は、テストのみを目的としています。 運用環境での使用を目的としたものではありません。
前提条件
必要なものは以下のとおりです。
- インストールされ、完全に機能する TPM (バージョン 1.2 またはバージョン 2.0) でWindows 10を実行しているコンピューター
- 上記のコンピューターに参加できるテスト ドメイン
- 完全にインストールされ、実行されている証明機関 (CA) を使用して、そのドメイン内のサーバーにアクセスする
手順 1: 証明書テンプレートを作成する
ドメイン サーバーで、仮想スマート カードに要求する証明書のテンプレートを作成する必要があります。
証明書テンプレートを作成するには
- サーバーで、Microsoft 管理コンソール (MMC) を開きます。 これを行う方法の 1 つは、[スタート] メニューから「mmc.exe」と入力し、[mmc.exe] を右クリックして、[管理者として実行] を選択することです。
- [ファイル>スナップインの追加と削除を選択する
- 使用可能なスナップインの一覧で、[証明書テンプレート] を選択し、[追加] を選択します。
- 証明書テンプレートが MMC の [コンソール ルート ] の下に表示されるようになりました。 それをダブルクリックして、使用可能なすべての証明書テンプレートを表示します
- Smartcard ログオン テンプレートを右クリックし、[テンプレートの複製] を選択します
- [ 互換性 ] タブの [ 証明機関] で、選択内容を確認し、必要に応じて変更します
- [ 全般 ] タブで、次の手順を実行します。
- TPM 仮想スマート カード ログオンなどの名前を指定する
- 有効期間を目的の値に設定します
- [ 要求処理 ] タブで、次の操作を行います。
- [目的] を [署名] と [スマートカード ログオン] に設定します
- [登録中にユーザーにプロンプトを表示する] を選択します
- [暗号化] タブで、次 の手順を 実行します。
- 最小キー サイズを 2048 に設定する
- [要求で次のいずれかのプロバイダーを使用する必要があります] を選択し、[Microsoft Base Smart Card Crypto Provider]\(Microsoft Base Smart Card Crypto Provider\) を選択します
- [ セキュリティ ] タブで、 登録 アクセス権を付与するセキュリティ グループを追加します。 たとえば、すべてのユーザーにアクセス権を付与する場合は、[ 認証済みユーザー ] グループを選択し、[アクセス許可の 登録 ] を選択します。
- [ OK] を選択 して変更を完了し、新しいテンプレートを作成します。 新しいテンプレートが証明書テンプレートの一覧に表示されます
- [ ファイル] を選択し、[ スナップインの追加と削除 ] を選択して、証明機関スナップインを MMC コンソールに追加します。 管理するコンピューターを尋ねられたら、CA が配置されているコンピューター (おそらくローカル コンピューター) を選択します
- MMC の左側のウィンドウで、[ 証明機関 (ローカル)] を展開し、証明機関の一覧内で CA を展開します
- [証明書テンプレート] を右クリックし、[新規] を選択し、[発行する証明書テンプレート] を選択します。
- 一覧から、作成した新しいテンプレート (TPM 仮想スマート カード ログオン) を選択し、[ OK] を選択します
注
テンプレートがすべてのサーバーにレプリケートされ、この一覧で使用可能になるまでに時間がかかる場合があります。
- テンプレートがレプリケートされたら、MMC で証明機関の一覧を右クリックし、[ すべてのタスク] を選択し、[ サービスの停止] を選択します。 次に、CA の名前をもう一度右クリックし、[ すべてのタスク] を選択し、[ サービスの開始] を選択します。
手順 2: TPM 仮想スマート カードを作成する
この手順では、コマンド ライン ツールのTpmvscmgr.exeを使用して、クライアント コンピューターに仮想スマート カードを作成します。
TPM 仮想スマート カードを作成するには
- ドメインに参加しているコンピューターで、管理者の資格情報を含むコマンド プロンプト ウィンドウを開きます。
- コマンド プロンプトで、次のように入力し、Enter キーを押します。
tpmvscmgr.exe create /name TestVSC /pin default /adminkey random /generate
これにより、TestVSC という名前の仮想スマート カードが作成され、ロック解除キーが省略され、カードにファイル システムが生成されます。 PIN は既定の12345678に設定されます。
- プロセスが完了するまで数秒待ちます。 完了すると、Tpmvscmgr.exe は TPM 仮想スマート カードのデバイス インスタンス ID を提供します。 この ID は、仮想スマート カードを管理または削除する必要があるため、後で参照できるように保存します。 PIN の入力を求めるメッセージが表示されるようにするには、 /pin の既定値 ではなく、 /pin プロンプトを入力します。
Tpmvscmgr コマンド ライン ツールの詳細については、「 仮想スマート カード と Tpmvscmgr を使用する」を参照してください。
手順 3: TPM 仮想スマート カードに証明書を登録する
仮想スマート カードを完全に機能させるには、サインイン証明書を使用してプロビジョニングする必要があります。
証明書を登録するには
- [スタート] メニューに「certmgr.msc」と入力して、証明書コンソールを開きます。
- [個人用] を右クリックし、[すべてのタスク] を選択し、[新しい証明書の要求] を選択します。
- プロンプトに従い、テンプレートの一覧が表示されたら、[TPM Virtual Smart Card Logon チェック] ボックス (または手順 1 でテンプレートに名前を付けたもの) を選択します。
- デバイスの入力を求められたら、前のセクションで作成したデバイスに対応する Microsoft 仮想スマート カードを選択します。 ID デバイス (Microsoft プロファイル) として表示されます
- TPM 仮想スマート カードの作成時に確立された PIN を入力し、[OK] を選択します。
- 登録が完了するまで待ってから、[完了] を選択 します
仮想スマート カードを、ドメインにサインインするための代替資格情報として使用できるようになりました。 仮想スマート カード構成と証明書の登録が成功したことを確認するには、現在のセッションからサインアウトしてからサインインします。 サインインすると、Secure Desktop (サインイン) 画面に新しい TPM 仮想スマート カードのアイコンが表示されるか、TPM スマート カードサインイン ダイアログ ボックスに自動的に移動します。 アイコンを選択し、必要に応じて PIN を入力し、[ OK] を選択します。 ドメイン アカウントにサインインしている必要があります。