今回から数回に分けて、Windows Server 2016による「Windows Hello for Business」(旧称、Microsoft Passport for Work)のオンプレミス展開を実機で検証し、実装のポイントやユーザーエクスペリエンスをレポートします。
Windows 10では「Microsoft Passport」と「Windows Hello」という新しい認証方法が利用可能になりました。これまで、この機能は「Microsoftアカウント」と「Azure Active Directory(Azure AD)アカウント」で利用できるものでしたが、Windows Server 2016で初めて“オンプレミスのActive Directoryドメイン環境”で利用できるようになります。
Microsoft PassportとWindows Helloは、どちらも「パスワードのない世界」をもたらすWindows 10の新機能です。「パスワードのない世界」というのは語弊があるかもしれません。実際には、Windowsへのログオンやアプリを利用するためのIDの資格情報は、「ユーザーアカウントとパスワードの組み合わせ」であることに変わりはありません。
これまで、ネットワーク経由でアプリを利用する場合は、ユーザーアカウントとともにパスワードを何らかの形(クリアテキスト、暗号化されたパスワード、パスワードハッシュなど)でサービスを提供するサーバに送信し、利用者を識別してアクセスを許可するのが一般的でした。しかし、この仕組みは攻撃を受けるリスクがあるため、強度が高く、長くて複雑なパスワードを使用する、パスワードを使い回さない、定期的にパスワードを変更するなどの対策が必要でした。
一方、Microsoft PassportとWindows Helloがもたらす「パスワードのない世界」は、毎日のPCやアプリを、一度もパスワードを入力することなく利用できるようにします。すなわち、ネットワーク上でパスワードをやりとりせずに、Windowsやアプリは利用者が本人であることを信頼し、あらためて認証を要求することなく、Windowsやアプリへのアクセスを実現するのです(画面1)。
Microsoft Passportは、「FIDO(Fast IDentity Online)2.0」というパスワードに代わる新しい認証方法規格に基づく機能であり、「パスワードのない世界」の基本機能を提供します(図1)。
Microsoft Passportは、Windows 10をMicrosoftアカウントでセットアップするか、Azure AD参加を「組織アカウント」(Windows 10では「職場または学校アカウント」と表現)でセットアップすると、標準で有効になります。
Windows 10をこれらのアカウントでセットアップすると、Microsoft Passportの構成が始まり、電話の音声やSMS(ショートメールメッセージ)、モバイルアプリの二段階認証による本人確認の後、4桁数字でPIN(Personal Identification Number:暗証番号/個人識別番号)の設定が要求されます。
このとき、非対称鍵(秘密鍵と公開鍵のペア)が生成され、クラウド(MicrosoftアカウントのサービスまたはAzure AD)へのデバイス登録と同時に、公開鍵がクラウドに送信され、保管されます。秘密鍵は、ハードウェア(PC)に搭載されたセキュリティチップ「TPM(Trusted Platform Module)」内に安全に保管されます。TPMを搭載していないPCの場合は、安全な領域(TPMよりは安全ではないが)に秘密鍵が格納されます。
PINはそのデバイスだけで有効な、TPM(または安全な領域)から秘密鍵を取り出すための“暗証番号”になります。PINの入力で取り出した秘密鍵でアクセス要求に署名を行い、クラウドのサービスに要求を送信します。それを受信したクラウドのサービスは、デバイス登録時に保管した公開鍵を用いてアクセス要求を検証し、アクセストークンを発行します。ユーザーはアクセストークンをクラウドのアプリに提示することで、追加の認証を要求されることなく、アプリにシングルサインオン(Single Sign-On:SSO)でアクセスすることができます。
Windows Helloは、PINの代わりに使用できる「生体(バイオメトリクス)認証」機能です。対応デバイスが利用可能であれば、「指紋認証」「顔認証」「虹彩認証」を用いることができます。また、Windows 10 バージョン1607からは、スマートフォンを利用した「スマートフォンサインイン」(Remote Passport、電話によるサインイン)をPINの代わりに使用できるようになりました。
Microsoftアカウント以外のMicrosoft Passportを、以前は「Microsoft Passport for Work」と呼んでいました。Windows 10 バージョン1607からは、これが「Windows Hello for Business」という名前に変更されました。Microsoft Passport for Workは、Azure ADの組織アカウントでのみ利用できるものでした。Windows Server 2016では、Windows Hello for Businessをオンプレミスで展開できるようになります。
Copyright © ITmedia, Inc. All Rights Reserved.