Microsoft Passport のバックアップ(No.11)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Microsoft Passport へ行く。
  • 1 (2017-10-05 (木) 18:05:05)
  • 2 (2017-10-05 (木) 19:46:07)
  • 3 (2017-10-06 (金) 11:02:08)
  • 4 (2017-10-06 (金) 19:57:12)
  • 5 (2017-10-06 (金) 20:30:29)
  • 6 (2017-10-06 (金) 23:50:21)
  • 7 (2017-10-10 (火) 12:51:50)
  • 8 (2017-10-10 (火) 13:50:22)
  • 9 (2017-10-10 (火) 19:15:46)
  • 10 (2017-10-11 (水) 16:26:56)
  • 11 (2017-10-16 (月) 09:33:43)
  • 12 (2019-03-06 (水) 14:42:32)
  • 13 (2019-03-07 (木) 15:00:46)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

Microsoft Passport (旧 Next Generation Credential)

• ID＋パスワードの枠を超えた、Windows10のより強固な公開鍵暗号（PKI）ビルトイン サービス

• Windows10だけでなくWebサービスへも、「PINコード/生体認証」を使用してサインインできる。

• Windows 10で以下を行うと有効になる。
  • Microsoftアカウントでセットアップ
  • Azure AD参加を「組織アカウント」（Windows 10では「職場または学校アカウント」と表現）でセットアップ

認証の仕組み †

2 要素認証 †

• デバイスに関連付けられたキーまたは証明書と、
• ユーザが知っているもの (PINコード)、またはユーザを示すもの (生体認証情報)

PINコード †

• Microsoft Passportにより、4桁以上のPINコードでサインインできるようになった。
• 以下のような仕組みのため、PINコードは4桁でも安全とされている。

• 「PINコード」と「デバイス」をひも付けることで
  単純なパスワードよりも強固なセキュリティを実現している。
  • PINコードを生成する際に、秘密鍵がデバイス側に登録される。
  • サービスの登録時に、公開鍵がサービス側に登録され、
  • サービスへのログイン時に、
    • クライアント側のPINコードで秘密鍵によるアサーション生成が行われ、
    • サーバー側で公開鍵によるアサーション検証が行われる。

• アカウント ロックアウト後、
  • ユーザーは PIN をリセットする必要がある。
  • PIN をリセットすると、キーと証明書は削除される。

• 参考
  • PIN がパスワードよりも優れている理由 (Windows)
    https://technet.microsoft.com/ja-jp/library/mt621546.aspx

生体認証 †

• Windows Helloの生体認証のための前提システムとしても機能する。

• このため、Windows Helloを利用するには、PINを設定しておく必要がある。

• [設定］→［アカウント］→［サインイン オプション］を表示し、
  • ［暗証番号（PIN）］の［追加］をクリックしてPINを設定する。
  • Windows 10に生体認証デバイスが認識されている場合、［Windows Hello］の［セットアップ］が表示される。
  • これをクリックし、Windows Helloセットアップの［開始する］をクリックする。
  • PINコードの入力を求められたら、PINを入力する。
  • 生体認証デバイスに生体認証情報を入力する。
  • 多分、ここで、PINコード＋生体認証の秘密鍵がデバイス側に登録される。

• これにより、生体認証情報でサインインできるようになる。

• 参考
  • Windows10 - PIN（暗証番号）でサインインする方法 - PC設定のカルマ
    https://pc-karuma.net/windows10-pin-signin/
  • Windows Helloを使って指紋認証でサインインする | Windows 10 | できるネット
    https://dekiru.net/article/12854/
  • RealSense? 3DカメラでWindows Helloの顔認識ログインやってみた！LAVIE Note Standard編 | デジタル生活部
    http://pcfan.121ware.com/notice/1340/

キーまたは証明書 †

キー (ハードウェアまたはソフトウェア) またはキーを含む証明書を、
ハードウェアまたはソフトウェアで使ってデバイスの身元を確認できる。

証明書ベースの認証 †

証明書を発行して管理する公開キー基盤 (PKI) を保有している企業は、
引き続き、Microsoft Passportと組み合わせて PKI を使用できる。

キー ベースの認証 †

PKI を使用しない、または証明書の管理に関連する作業の軽減を望む企業は、
Microsoft Passportのキー ベースの資格情報を使用できる。

• TPMによって生成されるハードウェア ベースのキー
• Microsoft Passportによって生成されるソフトウェア ベースのキー
  （TPM を利用できない場合の、フォールバック ソフトウェア ソリューション）

キーペアの生成タイミング †

AIK †

Windows Helloをセットアップしたタイミングだと思われる。

署名用のキーペア †

KeyCredentialManager.RequestCreateAsync実行時に、
AIKを使用した追加の署名用のキーペアが発行されるものと思われる。

キーストアの分離 †

• Microsoft Passportは、公開鍵暗号（PKI）ビルトイン サービスである。
• このPKIビルトイン サービスのキーストアは以下のように分離される。

ユーザ †

ユーザー毎に別のキーストアを持つ。

アプリ †

• さらにアプリ毎にコンテナが分割される。
• Webの場合はドメイン毎にコンテナが分割される。

keyName †

ユーザアカウント名を使用するのが慣例である模様。

FIDO †

そういうことで、Microsoft Passportは、

• FIDO1.0（UAF）のデバイス（Windows）側の実装に近いものであって、
• 且つ、このPKIは、FIDO1.0（U2F）やFIDO2.0でも利用可能。
• これにより、サービスへのログインに「PINコード/生体認証」を使用できるようになる。

という、FIDOとの関係を持っている。

API †

Microsoft Passportが提供するプログラミングシステムのAPI。

Native（Windows.Security.Credentials） †

Windows.Security.Credentials

• KeyCredential?
• KeyCredentialManager?
• KeyCredentialAttestationResult?
• UserConsentVerifier?

Web（Web Authentication API） †

Web Authentication API

SSO †

Active Directory（AD）、Microsoftアカウント、Azure AD（組織アカウント）との統合も可能。

• Windows Hello for Business
  • 「PINコード/生体認証」経由で対応サービスへの横断的なアクセスが可能となる。
  • 企業でのセキュリティ強化や運用バリエーションのオプションが複数用意されている。
  • Windows Hello以外にもICチップを内蔵したスマートカードの利用

• Web Account Manager API などを使用するらしい。

参考 †

technet.microsoft.com †

• Windows 10 ベースのデバイスの正常性の制御 (Windows)
  https://technet.microsoft.com/ja-jp/library/mt592023.aspx
  • Control the health of Windows 10-based devices (Windows 10) | Microsoft Docs
    https://docs.microsoft.com/ja-jp/windows/device-security/protect-high-value-assets-by-controlling-the-health-of-windows-10-based-devices

• Windows > Windows 10 と Windows 10 Mobile
  • Windows 10 の新機能 > Microsoft Passport の概要 (Windows)
    https://technet.microsoft.com/ja-jp/library/dn985839.aspx
  • Windows 10 のセキュリティ保護 > Microsoft Passport を使った本人確認の管理 (Windows)
    https://technet.microsoft.com/ja-jp/library/mt219735.aspx
  • エンタープライズ セキュリティ ガイド > Microsoft Passport ガイド (Windows)
    https://technet.microsoft.com/ja-jp/library/mt589441.aspx

blogs.technet.microsoft.com †

• Windows 10: Microsoft Passport: パスワードのない時代の幕開け – 日本のセキュリティチーム
  https://blogs.technet.microsoft.com/jpsecurity/2015/09/11/windows-10-microsoft-passport/

• Microsoft Passport とは ? – Junichi Anno's blog
  https://blogs.technet.microsoft.com/junichia/2015/08/17/microsoft-passport-2/

• IdM実験室: [翻訳]Azure ADとWindows 10におけるMicrosoft Passport for Work
  http://idmlab.eidentity.jp/2016/03/azure-adwindows-10microsoft-passport.html

---

Tags: :認証基盤

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.042 sec.