こんにちは。SCSKセキュリティプロダクト部Yubicoチームです。
今回はWindows端末ログイン時におけるYubiKey の利用方法をご紹介します。
YubiKeyの利用方法は、アカウントのケースによって異なります。
また、Windows端末へのログインでYubiKeyを利用する場合、利用するパターンとして大きく4つにわかれ、端末およびユーザーアカウントがどのようなドメイン管理になっているかで、利用できる製品と認証方式が変わります。
1.ユーザーアカウントがドメインに参加していない場合(スタンドアロン)
YubiKeyに秘密情報を格納し、Windowsのローカルアカウントと紐づけることで、ログイン時にはローカルアカウント+パスワード+秘密情報を格納したYubiKeyをUSBに挿していることが求められます。
また、本認証はローカルアカウント+パスワードが知識情報、秘密情報を格納したYubiKeyが所持情報となる多要素認証(MFA)になります。
仕組みの導入のためには、WindowsにYubico社が無償配布しておりますYubico login tool for Windowsというツールを導入する必要があり、ツールにてWindowsのローカルアカウントとYubiKeyを関連付けます。
また、ユーザーアカウントはWindows端末個々に独立していますので、ローカルアカウントと
YubiKeyの紐づけは端末それぞれで行う必要があります。
利用可能なYubiKeyは下記の通りとなります
-1024x245.png)
動作については下記記事で説明しておりますため、ご参照ください。
2.ユーザーアカウントがオンプレActive Directoryドメインに参加している場合
Windowsサーバーが標準で有しているスマートカード認証を利用します。
ドメイン環境にActive Directory Certification Service(AD CS)サーバーを構築し、AD CSによるクライアント証明書の発行と認証を行います。
YubiKeyはPIVスマートカードとして利用が可能なため、AD CSが発行したユーザー証明書をYubiKeyに格納して利用できます。
ログインに際しましては、証明書を格納したYubiKey(所持情報)+YubiKeyのPIN(知識情報)による多要素認証(MFA)となります。
YubiKeyへの証明書登録は、管理者もしくはユーザー自身で行うことが可能です。
※AD CS環境の構築および運用はお客様にて実施頂く必要がございます。
弊社では構築の参考資料をご提供しております。
利用可能なYubiKeyは下記の通りとなります
-1024x245.png)
動作については下記記事でも説明しておりますため、ご参照ください。
3.ユーザーアカウントがEntraIDドメインに参加している場合
EntraIDの標準機能であるFIDO認証機能を利用した認証が可能です。
EntraIDサインインでFIDO認証を有効化し、ユーザーIDにYubiKeyをFIDOセキュリティキーとして登録することで、ユーザーのWindowsサインイン(EntraID登録端末)にYubiKeyを利用することが可能です。
本認証は、FIDO認証情報が登録されたYubiKey(所持情報)+YubiKeyのPIN(知識情報)または指紋(生体情報)の多要素認証(MFA)となります。
FIDO認証は最新の認証プロトコルになりますので、LTSCなどの古いバージョンのWindows10では対応していない場合があります。
互換環境の仕様詳細はMS社にご確認ください。
ユーザーアカウントとYubiKeyの関連付けは、管理者もしくはユーザー自身で実施します。
利用可能なYubiKeyは下記の通りとなります
-1024x479.png)
動作については下記記事で説明しておりますため、ご参照ください。
4.サードパーティーベンダーサービスを併用する場合
サードパーティーベンダーではYubiKeyを利用して様々なアカウント環境を統合して管理し、一元化されたログイン機能をサービスとして展開しているものもあります。詳細につきましては各サードパーティーベンダーへお問い合わせください。
YubiKeyはここでご紹介したWindows端末のログインのみならず、様々な端末環境やサービスへのログインに利用できる多要素認証用のセキュリティキーです。
YubiKeyに関するご相談・お問合せは、お気軽に弊社までお問合せください。
お問い合わせ
ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。
プロダクト・サービス事業グループ
ネットワークセキュリティ事業本部
セキュリティプロダクト第二部
