「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Windows Hello + Microsoft Passport]] * 目次 [#ddaa7fd7] #contents *概要 [#t443994b] Microsoft Passport (旧 Next Generation Credential) -ID+パスワードの枠を超えた、Windows10のより強固な公開鍵暗号(PKI)ビルトイン サービス -Windows10だけでなくWebサービスへも、「[[PINコード>#t80ad33e]]/[[生体認証>#oa397277]]」を使用してサインインできる。 -Windows 10で以下を行うと有効になる。 --Microsoftアカウントでセットアップ --Azure AD参加を「組織アカウント」(Windows 10では「職場または学校アカウント」と表現)でセットアップ *認証の仕組み [#m12ab2d3] **2 要素認証 [#y850f777] -デバイスに関連付けられた[[キーまたは証明書>#l642b360]]と、 -ユーザが知っているもの ([[PINコード>#t80ad33e]])、またはユーザを示すもの ([[生体認証情報>#oa397277]]) ***PINコード [#t80ad33e] -Microsoft Passportにより、4桁以上のPINコードでサインインできるようになった。 -以下のような仕組みのため、PINコードは4桁でも安全とされている。 -「PINコード」と「デバイス」をひも付けることで~ 単純なパスワードよりも強固なセキュリティを実現している。 --PINコードを生成する際に、秘密鍵がデバイス側に登録される。 --サービスの登録時に、公開鍵がサービス側に登録され、 --サービスへのログイン時に、 ---クライアント側のPINコードで秘密鍵によるアサーション生成が行われ、 ---サーバー側で公開鍵によるアサーション検証が行われる。 -アカウント ロックアウト後、 --ユーザーは PIN をリセットする必要がある。 --PIN をリセットすると、キーと証明書は削除される。 -参考 --PIN がパスワードよりも優れている理由 (Windows)~ https://technet.microsoft.com/ja-jp/library/mt621546.aspx ***生体認証 [#oa397277] -[[Windows Hello]]の生体認証のための前提システムとしても機能する。 -このため、[[Windows Hello]]を利用するには、PINを設定しておく必要がある。 --[設定]→[アカウント]→[サインイン オプション]を表示し、 ---[暗証番号(PIN)]の[追加]をクリックしてPINを設定する。 ---Windows 10に生体認証デバイスが認識されている場合、[Windows Hello]の[セットアップ]が表示される。 ---これをクリックし、Windows Helloセットアップの[開始する]をクリックする。 ---PINコードの入力を求められたら、PINを入力する。 ---生体認証デバイスに生体認証情報を入力する。 ---多分、ここで、PINコード+生体認証の秘密鍵がデバイス側に登録される。 -これにより、生体認証情報でサインインできるようになる。 -参考 --Windows10 - PIN(暗証番号)でサインインする方法 - PC設定のカルマ~ https://pc-karuma.net/windows10-pin-signin/ --Windows Helloを使って指紋認証でサインインする | Windows 10 | できるネット~ https://dekiru.net/article/12854/ --RealSense 3DカメラでWindows Helloの顔認識ログインやってみた!LAVIE Note Standard編 | デジタル生活部~ http://pcfan.121ware.com/notice/1340/ **キーまたは証明書 [#l642b360] キー (ハードウェアまたはソフトウェア) またはキーを含む証明書を、~ ハードウェアまたはソフトウェアで使ってデバイスの身元を確認できる。 ***証明書ベースの認証 [#r96816ef] 証明書を発行して管理する公開キー基盤 (PKI) を保有している企業は、~ 引き続き、[[Microsoft Passport]]と組み合わせて PKI を使用できる。 ***キー ベースの認証 [#cc828347] PKI を使用しない、または証明書の管理に関連する作業の軽減を望む企業は、~ [[Microsoft Passport]]のキー ベースの資格情報を使用できる。 -[[TPMによって生成されるハードウェア ベースのキー>TPM(Trusted Platform Module)#b3bd2f7c]] -Microsoft Passportによって生成されるソフトウェア ベースのキー~ (TPM を利用できない場合の、フォールバック ソフトウェア ソリューション) **キーペアの生成タイミング [#jf02e918] ***[[AIK>TPM(Trusted Platform Module)#e8431d17]] [#i91d080a] [[Windows Hello]]をセットアップしたタイミングだと思われる。 ***署名用のキーペア [#k8b2fb3a] [[KeyCredentialManager.RequestCreateAsync>Windows.Security.Credentials#x9609a48]]実行時に、~ [[AIK>TPM(Trusted Platform Module)#e8431d17]]を使用した追加の署名用のキーペアが発行されるものと思われる。 **キーストアの分離 [#m23e505e] -[[Microsoft Passport]]は、公開鍵暗号(PKI)ビルトイン サービスである。 -このPKIビルトイン サービスのキーストアは以下のように分離される。 ***ユーザ [#t726b5ac] ユーザー毎に別のキーストアを持つ。 ***アプリ [#pbc6a0fb] -さらにアプリ毎にコンテナが分割される。 -Webの場合はドメイン毎にコンテナが分割される。 ***keyName [#rb177b03] ユーザアカウント名を使用するのが慣例である模様。 *[[FIDO]] [#ba8f6921] そういうことで、[[Microsoft Passport]]は、 -[[FIDO]]1.0(UAF)のデバイス(Windows)側の実装に近いものであって、 -且つ、このPKIは、[[FIDO]]1.0(U2F)や[[FIDO]]2.0でも利用可能。 -これにより、サービスへのログインに「[[PINコード>#t80ad33e]]/[[生体認証>#oa397277]]」を使用できるようになる。 という、[[FIDO]]との関係を持っている。 **API [#vd1793ee] [[Microsoft Passport]]が提供するプログラミングシステムのAPI。 ***Native [#z647efe6] [[Windows.Security.Credentials]] -KeyCredentialManager -KeyCredential -UserConsentVerifier ***Web [#ud72761a] [[Web Authentication API]] *SSO [#c5f70e20] Active Directory(AD)、Microsoftアカウント、Azure AD(組織アカウント)との統合も可能。 -[[Windows Hello for Business]] --「[[PINコード>#t80ad33e]]/[[生体認証>#oa397277]]」経由で対応サービスへの横断的なアクセスが可能となる。 --企業でのセキュリティ強化や運用バリエーションのオプションが複数用意されている。 --[[Windows Hello]]以外にもICチップを内蔵したスマートカードの利用 -[[Web Account Manager API]] などを使用するらしい。 *参考 [#u07aa98b] **technet.microsoft.com [#t78b7226] -Windows 10 ベースのデバイスの正常性の制御 (Windows)~ https://technet.microsoft.com/ja-jp/library/mt592023.aspx --Control the health of Windows 10-based devices (Windows 10) | Microsoft Docs~ https://docs.microsoft.com/ja-jp/windows/device-security/protect-high-value-assets-by-controlling-the-health-of-windows-10-based-devices -Windows > Windows 10 と Windows 10 Mobile --Windows 10 の新機能 > Microsoft Passport の概要 (Windows)~ https://technet.microsoft.com/ja-jp/library/dn985839.aspx --Windows 10 のセキュリティ保護 > Microsoft Passport を使った本人確認の管理 (Windows)~ https://technet.microsoft.com/ja-jp/library/mt219735.aspx -- エンタープライズ セキュリティ ガイド > Microsoft Passport ガイド (Windows)~ https://technet.microsoft.com/ja-jp/library/mt589441.aspx **blogs.technet.microsoft.com [#o57b8308] -Windows 10: Microsoft Passport: パスワードのない時代の幕開け – 日本のセキュリティチーム~ https://blogs.technet.microsoft.com/jpsecurity/2015/09/11/windows-10-microsoft-passport/ -Microsoft Passport とは ? – Junichi Anno's blog~ https://blogs.technet.microsoft.com/junichia/2015/08/17/microsoft-passport-2/ -IdM実験室: [翻訳]Azure ADとWindows 10におけるMicrosoft Passport for Work~ http://idmlab.eidentity.jp/2016/03/azure-adwindows-10microsoft-passport.html ---- Tags: [[:認証基盤]]