仮想スマート カードの使用
Warning
Windows Hello for Businessおよび FIDO2 セキュリティ キーは、Windows 用の最新の 2 要素認証方法です。 仮想スマート カードを使用しているお客様は、Windows Hello for Businessまたは FIDO2 に移行することをお勧めします。 新しい Windows インストールの場合は、Windows Hello for Businessまたは FIDO2 セキュリティ キーをお勧めします。
仮想スマート カードの要件、仮想スマート カードの使用方法と管理方法について説明します。
要件、制限事項、制限事項
| 分野 | 要件と詳細 |
|---|---|
| サポートされているトラステッド プラットフォーム モジュール (TPM) | TPM メインバージョン 1.2 またはバージョン 2.0 (トラステッド コンピューティング グループによって設定) に準拠するすべての TPM は、仮想スマート カードとして使用できます。 詳細については、 TPM のメイン仕様に関するページを参照してください。 |
| コンピューターごとにサポートされている仮想スマート カード | 一度に 10 枚のスマート カードをコンピューターまたはデバイスに接続できます。 これには、物理スマート カードと仮想スマート カードの組み合わせが含まれます。 注 複数の仮想スマート カードを作成できます。ただし、4 つ以上の仮想スマート カードを作成した後、パフォーマンスの低下に気付き始める場合があります。 すべてのスマート カードは常に挿入されているかのように表示されるため、複数のユーザーがコンピューターまたはデバイスを共有している場合、各ユーザーは、そのコンピューターまたはデバイスで作成されたすべての仮想スマート カードを表示できます。 ユーザーがすべての仮想スマート カードの PIN 値を認識している場合、ユーザーはそれらを使用することもできます。 |
| 仮想スマート カードでサポートされている証明書の数 | 1 つの TPM 仮想スマート カードには、対応する秘密キーを持つ 30 個の個別の証明書を含めることができます。 ユーザーは、カードの証明書の合計数が 90 を超えるまで、カードの証明書を更新し続けることができます。 証明書の合計数が秘密キーの合計数と異なる理由は、更新を同じ秘密キーで実行できる場合があり、その場合、新しい秘密キーが生成されない場合があります。 |
| PIN、PIN ロック解除キー (PUK)、管理キーの要件 | PIN と PUK は、数字、アルファベット、特殊文字を含めることができる 8 文字以上である必要があります。 管理キーは、48 文字の 16 進文字として入力する必要があります。 これは、CBCチェーンモードのISO/IEC 9797パディング方法2を備えた3キートリプルDESです。 |
Tpmvscmgr.exe の使用
エンド ユーザーの TPM 仮想スマート カードを作成および削除するには、Tpmvscmgr コマンド ライン ツールがオペレーティング システムのコマンド ライン ツールとして含まれています。 [作成] パラメーターと [削除] パラメーターを使用して、ローカル コンピューターまたはリモート コンピューター上の仮想スマート カードを管理できます。 このツールの使用方法については、「 Tpmvscmgr」を参照してください。
仮想スマート カードをプログラムで作成および削除する
仮想スマート カードは、API を使用して作成および削除することもできます。 詳細については、次のクラスとインターフェイスを参照してください。
- TpmVirtualSmartCardManager
- RemoteTpmVirtualSmartCardManager
- ITpmVirtualSmartCardManager
- ITPMVirtualSmartCardManagerStatusCallBack
名前空間の API を使用して Microsoft Store アプリを Windows.Device.SmartCards 構築し、仮想スマート カードの完全なライフサイクルを管理できます。 これを行うためのアプリを構築する方法については、「 強力な認証: Enterprise、BYOD、コンシューマー環境で仮想スマート カードを利用するアプリを構築する」を参照してください。
次の表では、Microsoft Store アプリで開発できる機能について説明します。
| 機能 | 物理スマート カード | 仮想スマート カード |
|---|---|---|
| スマート カード リーダーのクエリと監視 | ○ | はい |
| リーダーで使用可能なスマート カードを一覧表示し、カード名とカード ID を取得する | はい | はい |
| カードの管理キーが正しいかどうかを確認する | はい | はい |
| 特定のカード ID を使用してカードをプロビジョニング (または再フォーマット) する | はい | はい |
| 古い PIN を入力し、新しい PIN を指定して PIN を変更する | はい | はい |
| 管理キーの変更、PIN のリセット、またはチャレンジ/応答メソッドを使用してスマート カードのブロックを解除する | はい | はい |
| 仮想スマート カードの作成 | 該当なし | はい |
| 仮想スマート カードを削除する | 該当なし | ○ |
| PIN ポリシーを設定する | なし | はい |
これらの Windows API の詳細については、次を参照してください。
TPM ベースの仮想スマート カードと物理スマート カードの区別
ユーザーがトラステッド プラットフォーム モジュール (TPM) ベースの仮想スマート カードを物理スマート カードと視覚的に区別できるように、仮想スマート カードには別のアイコンがあります。 仮想スマート カード アイコン
は、サインイン中や、ユーザーが仮想スマート カードの PIN を入力する必要があるその他の画面に表示されます。
TPM ベースの仮想スマート カードは、ユーザー インターフェイスでセキュリティ デバイスというラベルが付けられます。
PIN の変更
仮想スマート カードの PIN は、次の手順に従って変更できます。
- 古い PIN またはパスワードでサインインする
- Ctrl キーを押+しながら+Del キーを押し、[パスワードの変更] を選択します
- [サインイン オプション] を選択する
- 仮想スマート カード アイコンを選択します
- 新しい PIN を入力して確認する
問題の解決
TPM がプロビジョニングされていない
TPM ベースの仮想スマート カードが正常に機能するには、プロビジョニングされた TPM をコンピューターで使用できる必要があります。
- BIOS で TPM が無効になっている場合、または完全な所有権とストレージ ルート キーでプロビジョニングされていない場合、TPM 仮想スマート カードの作成は失敗します
- 仮想スマート カードの作成後に TPM が初期化された場合、カードは機能しなくなり、再作成する必要があります
- オペレーティング システムを再インストールした場合、以前の TPM 仮想スマート カードは使用できなくなり、再作成する必要があります
- オペレーティング システムがアップグレードされている場合は、アップグレードされたオペレーティング システムで以前の TPM 仮想スマート カードを使用できます
ロックアウト状態の TPM
場合によっては、ユーザーからの PIN 試行が頻繁に行われるため、TPM がロックアウト状態になることがあります。 TPM 仮想スマート カードの使用を再開するには、所有者のパスワードを使用して TPM のロックアウトをリセットするか、ロックアウトの有効期限が切れるのを待つ必要があります。 ユーザー PIN のブロックを解除しても、TPM のロックアウトはリセットされません。 TPM がロックアウトされている場合、TPM 仮想スマート カードはブロックされているかのように表示されます。 ユーザーが間違った PIN を何度も入力したために TPM がロックアウト状態になったとき、Tpmvscmgr コマンド ライン ツールなどの仮想スマート カード管理ツールを使用してユーザー PIN をリセットすることが必要になる場合があります。
関連項目
認証、機密性、およびデータ整合性のユース ケースの詳細については、「 仮想スマート カードの概要」を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示