パスワードレス認証試してみた話_FIDO2セキュリティキーでパスワードレス認証
27.8K Views
July 31, 23
スライド概要
2023/07/31(月) 第39回 Microsoft 365 勉強会 で登壇時の資料です。
https://jpo365ug.connpass.com/event/289947/
Windows 10/11 の標準機能でもFIDO2セキュリティキーを管理できたので、補足をBlogに記載しております。
はてなブログ |【Microsoft Entra ID】FIDO2セキュリティキーでパスワードレスな話
https://flali.hatenablog.com/entry/2023/07/31/233627
Microsoft Entra IDにおけるパスワードレス認証についてで登壇させて頂きました。従来のパスワードに依存しない認証方法である「パスワードレス認証」や、Microsoft Entra IDで利用できるパスワードレス認証の手段、それを利用するための設定方法について記載しています。
Microsoft 365 , Power Platform ( Power Apps | Power Automate )とか
関連スライド
各ページのテキスト
パスワードレス認証 試してみた話 @flali_world FIDO2 セキュリティキーで パスワードレス認証! Azure AD から Microsoft Entra ID へ! 第39回 Microsoft 365 勉強会 2023/07/31
PROFILE フロッキー https://www.frog-pod.com/ X @FROKKY_ NAME : ふらり @ ROBO BOY X (Twitter) : @flali_world Blog : https://flali.hatenablog.com/ Docs : https://www.docswell.com/user/fworlddocs @flali_world 2
はじめに 本資料に掲載されている内容は、 いつか人になりたいと思っている 🤖の空想上の出来事です。 内容間違っていたらごめんなさい。 @flali_world 3
おしながき 1. パスワードレス認証とFIDO2セキュリティキー 2. 管理者側の設定 3. ユーザー側の設定 4. ユーザーのサインイン 5. さいごに @flali_world 4
Azure AD から Microsoft Entra ID へ 名称変更の発表がありました。(徐々に変更が適用中) 変更前 変更後 備考 Azure AD Free Microsoft Entra ID Free プラン名 Azure Active Directory Premium P1 Microsoft Entra ID P1 プラン名 Azure Active Directory Premium P2 Microsoft Entra ID P2 プラン名 Azure AD External identities Microsoft Entra External ID 外部ユーザーID Azure Active Directory の新しい名前 - Microsoft Entra | Microsoft Learn @flali_world 5
1.パスワードレス認証と FIDO2セキュリティキー
パスワードレス認証とは 所持 生体 マジック リンク P@ssword! 1回限りのアクセスリンク 一定期間のアクセスリンク 従来のパスワードに依存しない認証方法 ユーザーはパスワードを覚える必要がない 第三者にパスワードが盗まれるリスク軽減 @flali_world 7
多要素認証(Multi Factor Authentication)とは 多要素認証(MFA)とは知識 (ID/パスワード)、所持(ICカード、認証アプリ)、生体(顔、指紋、 静脈)の違う要素を2つ以上組み合わせて認証を強化する仕組みです。 所持 IC Card 知識 Authenticator Apps 生体 P@ssword! Password PIN Facial Fingerprint Azure AD Multi-Factor Authentication の概要 - Microsoft Entra | Microsoft Learn @flali_world 8
パスワードレスは ”より安全” ユーザーIDやパスワードでの従来の認証方法も利用できますが、より安全な方法に置き換えてい くべき。 〈引用〉認証方法と機能 - Microsoft Entra | Microsoft Learn @flali_world 9
Microsoft Entra ID のパスワードレス認証対応 Microsoft Authenticator や Windows Hello for Business、FIDO2 セキュリティ キー が対応し ています。 Microsoft Entra ID で 利用できる パスワードレス認証 Facial Fingerprint Windows Hello for Business Microsoft Authenticator FIDO2 セキュリティ キー スマートフォンアプリ Azure Active Directory へのパスワードレスのサインイン - Microsoft Entra | Microsoft Learn @flali_world 10
今日は FIDO2 セキュリティ キー FIDO2 セキュリティ キー を使ったパスワードレス認証の話。 スマートフォンを貸与できない(していない)ユーザーの認証強化や、緊急アクセス用管理者アカ ウント(Break Glass アカウント)の認証に利用など。 Microsoft Entra ID で 利用できる パスワードレス認証 Facial Fingerprint Windows Hello for Business Microsoft Authenticator FIDO2 セキュリティ キー スマートフォンアプリ Azure Active Directory へのパスワードレスのサインイン - Microsoft Entra | Microsoft Learn @flali_world 11
緊急アクセス用管理者アカウント 管理者アカウント所有者の退職や多要素認証に登録したデバイスの破損、通信事業者の障害など でスマートフォンの Microsoft Authenticator アプリが利用できない状況になったときや、条件 付きアクセスで設定を失敗して締め出された時などに使うアカウント。 回線障害 BYOD ポリシー Manage emergency access 緊急アクセス用アカウント 電話 / SMS 認証 Microsoft Authenticator 多要素認証が使えない状況! 機種変 故障 紛失 FIDO2 普段は対価金庫などで管理 緊急アクセス用管理者アカウントを管理する - Microsoft Entra | Microsoft Learn @flali_world 12
FIDO(Fast Identity Online )ってなーに? 従来のパスワードに代わる認証手段。 Fast Identity Online は 素早いオンライン認証の意味。 〈引用〉FIDOとは - FIDO Alliance @flali_world 13
FIDOアライアンス 2009年後半に構想され、2012年7月、FIDOアライアンスが設立。 2013年に正式に発足されました。 〈引用〉FIDO Alliance - Open Authentication Standards More Secure than Passwords @flali_world 14
Microsoft Entra ID の対応は最近 2022年6月22日に一般提供開始 一時アクセス パスによるセキュアな認証方式の展開 | Japan Azure Identity Support Blog (jpazureid.github.io) @flali_world 15
FIDO2 パスワードレス認証のブラウザーサポート 2023年6月の日本語のドキュメント。 〈引用〉FIDO2 パスワードレス認証のブラウザー サポート - Microsoft Entra | Microsoft Learn Article:2023/06/25(日本語版) @flali_world 16
FIDO2 パスワードレス認証のブラウザーサポート 2023年7月の日本語のドキュメント。 〈引用〉FIDO2 パスワードレス認証のブラウザー サポート - Microsoft Entra | Microsoft Learn Article:2023/07/11(日本語版) @flali_world 17
iOS と macOS のブラウザーで正式サポート 2023年7月、iOS と macOS のブラウザーが正式サポートされました! ※iOS / Android のネイティブアプリは非サポートなので注意。 <引用>Advancing Modern Strong Authentication - Microsoft Community Hub @flali_world 18
FIDO2 セキュリティキーはいろんな種類があります。 USB、NFC、Bluetoothなどの様々な接続方法が提供されており(メーカーによる)、PINや生体 でユーザー認証するタイプがあります。 PIN 生体認証 おススメ! FIDO2 セキュリティ キーのプロバイダー | Microsoft Learn @flali_world 19
本日のFIDO2 セキュリティキー <引用>セキュリティ・顔認証技術+AI・モバイル決済端末|飛天ジャパン株式会社 (ftsafe.co.jp) @flali_world 20
2.管理者側の設定 セルフパスワードリセットの設定 FIDO2セキュリティキーの有効化 一時アクセスパス(TAP)有効化と設定
管理者側の設定とユーザー側の設定 設定 認証有効化 ユーザー設定 初回サインイン サインイン方法の追加 2回目以降のサインイン セルフサービス パスワードリセット FIDO2セキュリティキー 一時アクセスパス払出 TAPでサインイン FIDO2セキュリティキー 登録 FIDO2セキュリティキー 利用 一時アクセスパス(TAP) 条件付きアクセス ※対象ユーザー無効化 PC上で設定 FIDO2セキュリティキー 初期設定 ※PINや指紋認証 サインインURLとTAP通知 管理者 管理者側の設定 一般ユーザー ユーザー側の設定 @flali_world 22
セルフパスワードリセット(SSPR)の設定 パスワードレス認証を利用するユーザーは、SSPRの設定から除外しておきます。 @flali_world 23
認証方法の有効化 Microsoft Entra 管理センター > ID > 保護 > 認証方法 から 認証方法 | ポリシー の FIDO2 セキュリティ キー と 一時アクセスパス を有効化。 @flali_world 24
一時アクセス パス(Temporary Access Pass) 一時アクセスパスは、1回または複数回、一定期間サインインできる時間制限付きのパスコード認 証です。 一時アクセスパスを利用しないと従来のパスワードをユーザーに教える必要が出てきます。 最短有効期間/最長有効期間 TAPが有効である最短期間と最長期間 既定の有効期間 ユーザーへTAP設定時の既定値 TAP設定時に変更可能。 長さ(文字) PINコードの長さ 一時使用を必須にする いいえ: 有効期間中は複数回認証可 はい: 1回のみ認証可 パスワードレスの認証方法を登録するように Azure AD で一時アクセス パスを構成する - Microsoft Entra | Microsoft Learn @flali_world 25
一時アクセスパス(TAP)の発行 ID > ユーザー > すべてのユーザー から対象のユーザーを選択します。 @flali_world 26
一時アクセスパス(TAP)の発行 対象ユーザーの 認証方法 を選択し、「新しいユーザー認証方法のエクスペリエンスに切り替え てください。…」が表示されている場合は、その表示をクリックします。 @flali_world 27
一時アクセスパス(TAP)の発行 + 認証方法の追加 から 方法の選択:一時アクセスパス を選択し、TAPの開始時間や有効期間を 設定します。 @flali_world 28
一時アクセスパス(TAP)の発行 発行された一時アクセスパスと、セキュリティ情報のURL(http://aka.ms/mysecurityinfo)を ユーザーにお知らせします。 @flali_world 29
3.利用者側の設定 FIDO2セキュリティキーの設定 TAPで初回サインイン FIDO2セキュリティキーの登録
管理者側の設定とユーザー側の設定 設定 認証有効化 ユーザー設定 初回サインイン サインイン方法の追加 2回目以降のサインイン セルフサービス パスワードリセット FIDO2セキュリティキー 一時アクセスパス払出 TAPでサインイン FIDO2セキュリティキー 登録 FIDO2セキュリティキー 利用 一時アクセスパス(TAP) 条件付きアクセス ※対象ユーザー無効化 PC上で設定 FIDO2セキュリティキー 初期設定 ※PINや指紋認証 サインインURLとTAP通知 管理者 管理者側の設定 一般ユーザー ユーザー側の設定 @flali_world 31
FIDO2セキュリティキーの設定 今回は指紋認証に対応したキーを利用します。 公式ページ(https://ftsafe.co.jp/products/fido/)より、指紋認証管理アプロをダウンロード します。 @flali_world 32
指紋管理アプリの起動 インストーラーはなく、ダウンロードしたアプリケーション BioPaddFIDO を起動します。 @flali_world 33
指紋管理アプリ:指紋の登録 指紋認証に対応したFIDO2セキュリティキーをPCに接続して「+指紋を追加」 @flali_world 34
指紋管理アプリ:指紋の登録 ダイアログに従って指紋を登録します。 @flali_world 35
指紋管理アプリ:指紋の登録 指紋が登録できたことを確認します。わかりやすい指紋名にしておくと管理が楽だと思います。 @flali_world 36
初回サインイン TAPを設定した際に表示されていたセキュリティ設定URL(https://aka.ms/mysecurityinfo)に アクセスします。ユーザーは自身のMicrosoft 365 アカウントを入力し、管理者より発行された 一時アクセスパスを入力してサインインします。 @flali_world 37
FIDO2セキュリティキーの登録 セキュリティ情報ページ +サインイン方法の追加 をクリックします。 @flali_world 38
FIDO2セキュリティキーの登録 方法はセキュリティ キー を選択し、ダイアログに沿って設定を進めます。 @flali_world 39
FIDO2セキュリティキーの登録 パスキーの作成のポップアップがブラウザ上で表示されます。「Windows Hello または外部セ キュリティ キー」を選択します。 @flali_world 40
FIDO2セキュリティキーの登録 Windows 側にダイアログが表示されます。こちらもダイアログの手順に従って進めます。 @flali_world 41
FIDO2セキュリティキーの登録 ブラウザ側に戻ると、セキュリティ キーに名称を付けるか聞かれますのでわかりやすい名前を付 けてください。よくわからない名称を設定すると後の管理で泣きます。 @flali_world 42
FIDO2セキュリティキーの登録 セキュリティ情報に「セキュリティキー」が表示されていれば、登録完了です。 @flali_world 43
4.ユーザーのサインイン パスワードレスで Microsoft365.com へ 44
サインイン https://www.microsoft365.com へアクセスします。サインイン をクリックします。 @flali_world
サインイン サインインオプション を選択します。 @flali_world 46
サインイン Windows Hello またはセキュリティキーでサインイン を選択します。 @flali_world 47
サインイン 「ユーザーを確認しています」ではセキュリティキー を選択します。 「本人を確認しています」が表示されたら、セキュリティキーにタッチし、セキュリティキーが 対応しているPINや指紋で認証します。 @flali_world 48
サインイン ログインできました! @flali_world 49
5.さいごに
よくありそうな質問(Q&A) Q1. セキュリティキーが壊れた(紛失した)場合はどうするの? A1. 新しいセキュリティキーを準備し、再設定します。 壊れたキーはユーザーの認証方法から削除してください。 管理者にてユーザーの認証方法から削除することも可能です。 Q2. 予備は用意しておいたほうがいいの? A2. はい、予備は用意しておいたほうが良いと思います。 予備の個数は会社規模間やダウンタイムをどこまで許容できるかで 変わってきます。 Q3. 指紋認証タイプの場合は、指紋は複数登録したほうがいいの? A3. はい、複数の指紋の登録が良いと思います。 けがなどで認証できないこともありますので、ご注意ください。 @flali_world 51
まとめ FIDOはパスワードに依存しない認証手段 より安全な認証にシフトしていこう 緊急アクセス用管理者アカウント、大事 @flali_world 52
Thank you ! ※ Microsoft、Microsoft 365、Office 365、Microsoft Dynamics、Microsoft Azure 、Power Platform 、 Power Apps、Power Automate、Power BI、Microsoft Dataverse 、Microsoft Entra 及び関連する名称並びにそれぞれのロゴは、 米国 Microsoft Corporationの米国およびその他の国における登録商標です。※ FIDOはFido Alliance, Inc.の登録商標です。※ QRコードはデンソーウェーブの登録商標です。