本連載では、Windows Server 2016による「Windows Hello for Business」のオンプレミス展開を実機で検証し、実装のポイントやユーザーエクスペリエンスをレポート。今回は、検証に必要な要素とクラウドのAzure ADを準備するまでを解説します。
本稿では、最新版のWindows Server 2016とWindows 10を使用して「Windows Hello for Business」(旧称、Microsoft Passport for Work)のオンプレミス展開を実装し、その機能を検証していきます。
Windows Hello for Businessをオンプレミスに展開するには、関連するさまざまなサーバの役割を展開し、目的(Windows Hello for Businessはその1つ)のために適切に構成する必要があります。
その全ての手順を説明すると大変な文量になるので、本稿では特に注意すべきポイントや、構築手順におけるWindows Server 2016での改善点、新機能を中心に説明していきます。参照するべき公式ドキュメントや公式ブログへのリンクは可能な限り紹介しますが、公式ドキュメントの内容はたびたび更新されることに留意してください。
また、日本語の公式ドキュメントが用意されている場合でも、最新情報は英語版の方なので、英語版ドキュメントのURLを掲載していきます。日本語版のドキュメントを確認したい場合は、「/en-us」の部分を「/ja-jp」に置き換えてください。
Windows Hello for Businessの検証に必要なソフトウェアおよびサービスは以下の通りです。
Windows Hello for Businessの展開方法は、「キーベース(Key-based)」と「証明書ベース(Certificate-based)」の2種類があります。本稿では、「キーベース」の展開方法を検証します。
なお、「証明書ベース」の展開には、この他に証明書登録のための「ネットワークデバイス登録サービス(NDES)」「Microsoft Intune」「System Center Configuration Manager」、または他社MDM(Mobile Device Management)管理ソリューションが必要になります。システム要件については、以下のドキュメントで確認してください。
また、本稿ではレノボ・ジャパン(http://www.lenovo.com/jp/ja/)の協力を得て、以下のサーバ、ノートPC、タブレットを使用して検証を行いました(写真1)。
[製品情報]http://shopap.lenovo.com/jp/systems/servers/towers/x3100-m5/
[製品情報]http://shopap.lenovo.com/jp/notebooks/thinkpad/x-series/x260/
[製品情報]http://shopap.lenovo.com/jp/tablets/thinkpad/x1-tablet/
Windows Hello for Businessのオンプレミス展開では、複数のサーバを展開、構成する必要があります。本稿では「Lenovo System x3100 M5」をWindows Server 2016のHyper-Vホストとして構成し、以下の図1のように各種サーバをHyper-V仮想マシンとして展開しました(画面1)。
クライアントとしては、Microsoft Azure Active Directory(Azure AD)参加用のタブレットと、ドメイン参加用のノートPCの2台を使用しました。いずれも、Microsoft Passportの秘密鍵を格納するためのTPM(Trusted Platform Module)2.0と、Windows Helloの指紋認証に対応した指紋リーダーを備えています(写真2、写真3)。
PIN(暗証番号)によるWindows Hello for Businessであれば(生体認証やスマートフォンサインインを使用しない)、Hyper-V仮想マシンにインストールしたWindows 10で評価することも可能です。Windows Server 2016のHyper-Vは、新機能として「仮想TPMデバイス」を第2世代仮想マシン上で有効化できます。ゲストOSからはTPM 2.0デバイスとして、Microsoft Passportだけでなく「BitLockerドライブ暗号化」や「資格情報ガード」など、Windows 10のセキュリティ機能として使用できます(画面2)。
Copyright © ITmedia, Inc. All Rights Reserved.