明日からはじめるパスワードレス認証
パスワードレス認証の重要性
近年、サイバーセキュリティの脅威が増加する中で、企業や個人のセキュリティ対策の強化が不可欠となっています。特に、アカウント情報の保護は重要であり、従来のパスワードによる認証から、より強固なパスワードレス認証への移行が求められています。パスワードレス認証は、生体認証やトークン、スマートカードなどの物理的・生物的特性を使用して、ユーザーの正当性を確認します。これにより、ユーザビリティの向上やセキュリティの強化が期待できます。
使ってみよう!Windows Hello for Business
Windows Hello for Businessは、Windows 10/11のセキュリティ機能の一部として提供される企業向けのパスワードレス認証ソリューションです。ユーザーは、顔認証、指紋認証、PINなどの方法で、自分のデバイスに安全にサインインすることができます。
利用イメージとしては、オフィスのPCで作業を開始する際、カメラを通して顔認証を行い、瞬時にログインすることができます。これにより、従来の複雑なパスワードの入力や、定期的なパスワード変更の手間が省かれます。
必要となるライセンス
Microsoft Intune 及び Azure Active Directory (Azure AD) Premium Windows Hello for Business は Intune でサポートされている機能であり、企業アカウントによる Azure AD への接続/認証を目的としています。
Windows Hello との違い
Windows Hello と Windows Hello for Business は、いずれも PIN や生体認証を用いた Windows へのサインイン方法ですが、違いは以下のようになります。
・Windows Hello はパスワード情報そのものを端末の TPM と呼ばれるセキュアな領域に格納し、PIN や生体認証を行うことで TPM からパスワードそのものを提示します。
・Windows Hello for Business はパスワード自体をログオン処理で使用しておらず、秘密鍵/公開鍵のペアによって認証する仕組みとなり、TPM にはパスワードではなく秘密鍵が格納されます。
・Windows Hello は Azure AD ユーザーとして認証しない構成 (端末のローカル ユーザーとしてサインイン、もしくはオンプレミス AD に参加して AD ユーザーとしてサインイン) 時のみの利用を想定しています。
実装における留意点
必要なハードウェアとソフトウェア:
生体認証を利用する場合、対応したカメラや指紋リーダーが必要です。
また、Windows 10/11の最新バージョンと、Azure ADやActive Directoryなどの対応したディレクトリサービスが必要となります。ポリシーの設定
企業のセキュリティポリシーに基づいて、Windows Hello for Businessの設定を適切に行う必要があります。例えば、PINの長さや、再認証の頻度などを定めることができます。注意点
物理的なセキュリティも確保することが重要です。デバイスの紛失や盗難に備えて、適切なセキュリティ対策を講じる必要があります。
設定方法
デバイスを Intuneに登録して Windows Hello for Business を有効化します。
ポリシーを「テナント全体で統一設定する場合」「ユーザーやデバイスごとに分けたい場合」の2つの設定方法があります。
<テナント全体で統一設定する場合>
<ユーザーやデバイスごとに分けたい場合>
最後に
パスワードレス認証は、現代のサイバーセキュリティ環境下での企業や個人のセキュリティ強化の鍵となります。Windows Hello for Businessを活用することで、効率的かつ安全な認証環境を実現することができます。
パスワードレス認証を試してみたいけど自力では難しい…という場合は、当社でもお手伝いができるのでお気軽にご相談ください!