こんにちは。SCSKセキュリティプロダクト部Yubicoチームです。
先日のWindowsOSのアップデートにより、Windows端末へFIDOセキュリティーキーを利用して、ログインできるようになりました。
今回は利用するための条件とログインイメージについて記載します。
必要条件
必要な条件は下記の通りとなります。
Windows 10 バージョン 1903 以降
Entra ID(旧Azure AD)参加済デバイス
Entra ID(旧Azure AD)アカウントとFIDO2セキュリティーキーが紐づいている
Azure側でFIDO2セキュリティーキーの認証方法を有効にする
サポートされてないシナリオ
現時点でサポートされていないは下記の通りとなります。
Windows Server Active Directory Domain Services (AD DS) ドメイン
参加済のデバイス(オンプレミス専用デバイス) へのログイン
RDP、VDI、および Citrix へのログイン
オンラインのときにセキュリティーキーを使用してデバイスにサインインした
ことがない場合の、 オフラインログイン
Windows 10 バージョン 1903より前のデバイスへのログイン
他にも現時点でサポートされていないシナリオがあるため、詳細はMicrosoftのページをご確認ください。
Windows のパスワードレス セキュリティ キー サインイン – Microsoft Entra | Microsoft Learn
また、注意すべきこととしては、複数の Entra ID(旧Azure AD) アカウントが含まれるセキュリティーキーで Windows 10 デバイスにログインする場合、ログイン対象のユーザーは選択できず、セキュリティーキーに最後に追加されたアカウントが利用されます。
ログインイメージ
PCを立ち上げるとサインイン時にYubiKeyが要求されます
YubiKeyのPINが求められます
※指紋認証タイプのYubiKeyでは表示されません
YubiKeyのPINを入力します
※指紋認証タイプのYubiKeyでは表示されません
YubiKeyへのタッチが要求されます
※指紋認証タイプのYubiKeyは指紋認証が要求されます
YubiKeyへのタッチを行います
※指紋認証タイプのYubiKeyは指紋認証を行います
ログイン成功します
同ドメインで他のユーザーへ切り替えたい場合
「他ユーザー」を選択し、切り替えたいユーザーと紐づいているYubiKeyを挿入することで
サインインユーザーを切り替えられます
YubiKeyのPINを入力します
※指紋認証タイプのYubiKeyでは表示されません
YubiKeyへのタッチが要求されます
※指紋認証タイプのYubiKeyは指紋認証が要求されます
YubiKeyへのタッチを行います
※指紋認証タイプのYubiKeyは指紋認証を行います
ログイン成功します
試したこと
通常のログイン操作に加えて下記のようなシナリオも確認しております。
YubiKey Bioでのログイン成功
※PIN+YubiKeyへタッチではなく、YubiKeyへの指紋認証でログイン成功します
一度ログイン成功した端末をオフラインにしてログイン成功
オンライン状態の端末へログイン成功
一度もオンラインでログインしていない端末へオフラインでログイン失敗
他ドメイン参加へしているPCへのログイン失敗
RDPでFIDOセキュリティーキーを使ったログイン不可(パスワードログインは可能)
オフラインログイン成功したPCから認証なしでAzureやM365へログイン
※PCへのオフライン認証をもってAzureやM365での本人確認となっております
参考ページ
今回検証するにあたり、参考にしたページは下記となります。
さいごに
今までYubiKeyをWebサービスではなくWindowsへのログインへ利用したいと多くのお問い合わせいただいておりましたが、Entra ID(旧Azure AD)を利用しているお客様は本機能を活用することで、端末ログイン時から多要素で認証することができます。
YubiKeyに関するご相談・お問合せは、お気軽に弊社までお問合せください。
お問い合わせ
ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。
プロダクト・サービス事業グループ
ネットワークセキュリティ事業本部
セキュリティプロダクト第二部
