クラウドを活用し高度なセキュリティを実現するWindows 10の新しい認証テクノロジー：企業ユーザーに贈るWindows 10への乗り換え案内（8）（1/2 ページ）

Windows 10では、Microsoft Azureのクラウドサービスを活用した、パスワードを使用しない新しいサインイン方法および追加の認証方法が利用可能です。これらの機能は個人のMicrosoftアカウントでも利用可能ですが、Azure Active Directory（Azure AD）の組織アカウントやオンプレミスのActive Directoryドメインのアカウントでも利用可能です。

[山市良，テクニカルライター]

連載目次

パスワードに変わる新たなサインイン方法「Windows Hello」

　Windows 10の初期リリースには、「Microsoft Passport」という認証テクノロジーが搭載されました。これは、Microsoftアカウントサービスの以前の名称（Microsoft Passport Network）とは関係のない、Windows 10に実装された新しい認証テクノロジーです。そして、Microsoft Passportに基づいた認証方法として、顔認証によるサインインを可能にする「Windows Hello」テクノロジーも同時に搭載されました。

　現在、Microsoft PassportとWindows Helloの両テクノロジーは、「Windows Hello」という名前で統合されています。そのため、顔認証、指紋認証、眼球の虹彩認証といった生体認証をWindows Helloと表現することもありますが、生体認証を全く使用しない場合でもWindows Helloと呼びます。ただし、以降の本稿では、Microsoft PassportとWindows Helloを古い意味で分けて説明していきます。

　Microsoft Passportとして登場した新しい認証テクノロジーは、従来のID（ユーザー名）とパスワードによるWindowsへのサインイン（Windowsログオンのこと）の代わりに使用できる、パスワードの入力を伴わないサインインを可能にします。

　これは、ユーザーのIDにパスワードが不要になるわけではありません。IDとパスワード、それに本人確認を加えたMicrosoft Passportのセットアップにより、使用するWindows 10デバイスをMicrosoftのクラウドサービスに登録すると、次回のサインインからPIN（Personal Identification Number：既定は4桁の数字）または生体認証デバイスを用いた素早いサインインが可能になるということです。例えば、顔認証であれば、カメラが顔で本人を確認した時点で自動的にサインインされます（画面1）。

画面1　Windows Helloの顔認証による自動サインイン

　Microsoft Passportは、Microsoftアカウントによるサインインを構成する際にセットアップされます（画面2）。初回サインイン時には秘密鍵と公開鍵のペアが生成され、それをローカルのデバイスにロックをかけて安全に保管し、公開鍵をMicrosoftのサービスに送信して、MicrosoftアカウントのIDとデバイスにひも付けて登録します。

画面2　個人（Microsoftアカウント）のWindows Helloのセットアップ

　次回サインイン時には、ロックを解除して秘密鍵を取り出す操作でサインインが完了します。取り出された秘密鍵で暗号化した要求をMicrosoftのサービスに送信し、サービス側は公開鍵を用いて要求を検証して、アクセストークンを発行します。このアクセストークンにより、ユーザーはWebアプリやクラウドサービスを追加の認証なしで、つまりシングルサインオン（SSO）で利用できるようになります（図1）。

図1　Microsoft Passport（現在はMicrosoft Passportのテクノロジーを含めてWindows Helloと呼ぶ）の仕組み

　Microsoft Passportは、前回（第7回『企業のID管理基盤、クラウド＆Windows 10時代の3つの選択肢』）説明した「Azure AD参加（Azure AD Join）」で構成されたWindows 10デバイスでもセットアップできます。

　このAzure ADの組織アカウントを使用したMicrosoft Passportを「Windows Hello for Business」と呼びます。Windows Hello for Businessは、以前は「Microsoft Passport for Work」と呼ばれていました。Windows 10 バージョン1607以降では、Azure ADと統合されたWindows Server 2016ベースのActive Directoryドメインのハイブリッド環境において、ドメイン参加済みWindows 10デバイスとドメインユーザーにおいてWindows Hello for Businessを展開できるようになっています（画面3）。

画面3　Active DirectoryドメインユーザーでのWindows Hello for Businessのセットアップ

　Windows Hello for Businessをオンプレミスに展開するためのシステム構成や展開方法については、以下の記事を参考にしてください。ただし、1年以上前に執筆した記事であるため、Microsoft Azure側のサービスやポータル、オンプレミス側の前提コンポーネント（Azure AD Connectなど）、名称（Microsoft Passport for Workなど）は、現在とは仕様や操作が異なる部分もあります。

• 【実機で徹底検証】「パスワードのない世界」へ　「Windows Hello for Business」のオンプレミス展開を試す（ITmedia エンタープライズ）

　企業内にWindows Hello for Businessを導入すると、ドメインユーザーによるサインインが簡素化されるだけでなく、Office 365のようなクラウドサービスのSSOアクセスや、クラウドサービス／オンプレミスのリソースに対するデバイス認証に基づいた条件付きアクセス（登録済みのデバイスならアクセスを許可など）の要求が可能になります。

　Windows Hello for Businessの利点は、初回セットアップ以降、認証時にパスワードがネットワーク上でやりとりされることがないため、IDとパスワードという重要な認証情報が盗難に遭うリスクが大幅に軽減されることです。また、仮にIDとパスワードが漏えいしたり、盗まれたりした場合でも、攻撃者はさらにユーザーの“登録済みのデバイス本体”を手に入れなければWindowsにサインインできませんし、デバイス認証を要求するリソースにアクセスすることもできないのです。

　さらに、UEFIセキュアブートやBitLockerドライブ暗号化、資格情報ガード（Credential Guard）、Windows情報保護（旧称、エンタープライズデータ保護）など、Windows 10のその他のセキュリティ機能を併用することで、デバイスが盗難に遭ったとしても、資格情報を含むデバイス内の重要な情報へのアクセスをブロックできます。