こんにちは。SCSKセキュリティプロダクト第二部Yubicoチームです。
IT管理者がユーザーアカウントとYubiKeyを紐づける作業の負担を削減するYubiEnrollについてご紹介します。
YubiEnroll は、Yubico AB 社により無償提供されている Windows10/11 用ツールです。
現時点でYubiEnrollが対応している環境はMicrosoft EntraID および Okta となります。IT管理者が、ユーザーID に YubiKey を FIDO2 認証セキュリティキーとして代理登録、代理削除等を行うことができる CLI(コマンドラインインターフェース)を提供します。CLIではYubiKeyのPINの最小長を設定や、PINの強制変更を有効するなど設定可能です。
また、Microsoft EntraIDの標準機能ではIT管理者が代理でYubiKeyを割り当てることができず、ユーザー自身でYubiKeyの紐づけ作業を行う必要があります。その際、初回ログインはID/PW(+OTPなど)でのログインとなり、ログイン後にYubiKeyの紐づけ作業を行うため、初回からFIDO認証を実現することは不可となります。
一方YubiEnrollを利用し、事前にIT管理者がユーザーアカウントとYubiKeyを紐づけることで、ユーザーは初回からFIDO認証を行うことが可能となるため、セキュリティ向上にもつながります。
YubiEnrollを利用した場合のイメージについては以下となります。
ファームウェア バージョン5.5以降のYubiKeyであれば、単純にユーザーアカウントとYubiKeyを紐づけるだけでなく、以下機能もYubiEnrollを用いて利用することができます。
| YubiEnroll機能 | YubiKeyの機能をサポートするプラットフォーム |
|---|---|
| PIN の最小長 | Windows 11、MacOS上のChrome、Linux |
| 使用前にPINを強制的に変更する | Windows 11、MacOS上のChrome、Linux |
| 常にUV(User Verification)が必要 | Windows 10※、Windows 11、macOS、Android、iOS、Linux |
※Windows 10では、「常にUVが必要」で有効になっているセキュリティキーは、OktaまたはMicrosoft Entra IDで機能します。UVを要求しない WebAuthn をサポートする他のWebサイト等では、ユーザーのログインがブロックされる可能性があります。
一例とはなりますが、IT管理者がYubiEnrollを使用して登録する手順は以下となります。
- IT 管理者は YubiEnroll CLI を実行し、ID プロバイダーに対して認証を行います。
- IT 管理者は、YubiEnroll CLI を使用して、ID プロバイダーのエンドユーザーのアカウントの登録プロセスを開始します。
- YubiEnroll は、ID プロバイダーから資格情報作成オプションを取得します。
- YubiEnroll は、ローカルに接続または登録ワークステーションに提示される YubiKey に資格情報を作成します。
- YubiEnrollは、YubiKeyにランダム化されたPINを設定します。
- YubiKeyは、エンドユーザーの資格情報の構成証明データをYubiEnrollに返します。
- YubiEnrollは、エンドユーザーの資格情報をIDプロバイダーに登録します。
- IT 管理者は、YubiKey と PIN をエンドユーザーに配布します。
YubiEnrollについてはYubico社の下記ページでも記載されておりますため、ご確認ください。
Yubico Enrollment Suite – JA | Yubico
Introduction — YubiEnroll User Guide documentation
また、弊社にて日本語版のマニュアルの準備がございますため、ご要望ございましたらお気軽にお問い合わせください。
お問い合わせ
ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。
