「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Windows Hello + Microsoft Passport]] * 目次 [#ddaa7fd7] #contents *概要 [#t443994b] Microsoft Passport (旧 Next Generation Credential) -ID+パスワードの枠を超えた、Windows10のより強固な公開鍵暗号(PKI)ビルトイン サービス -Windows10だけでなくWebサービスへも、「[[PINコード>#t80ad33e]]/[[生体認証>#oa397277]]」を使用してサインインできる。 *認証の仕組み [#m12ab2d3] -デバイスに関連付けられたキーまたは証明書と、 -以下を組み合わせた2 要素認証。 --ユーザが知っているもの (PIN) --またはユーザを示すもの (Windows Hello) **キー ベースの認証と証明書ベースの認証との比較 [#l642b360] キー (ハードウェアまたはソフトウェア) またはキーを含む証明書を、~ ハードウェアまたはソフトウェアで使って身元を確認できる。 ***証明書ベースの認証 [#r96816ef] 証明書を発行して管理する公開キー基盤 (PKI) を保有している企業は、~ 引き続き、[[Microsoft Passport]]と組み合わせて PKI を使用できる。 ***キー ベースの認証 [#cc828347] PKI を使用しない、または証明書の管理に関連する作業の軽減を望む企業は、~ [[Microsoft Passport]]のキー ベースの資格情報を使用できる。 -[[TPMによって生成されるハードウェア ベースのキー>TPM(Trusted Platform Module)#e8431d17]] -[[Microsoft Passportによって生成されるソフトウェア ベースのキー]] *PINコード [#t80ad33e] -Microsoft Passportにより、4桁のPINコードでサインインできるようになった。 -以下のような仕組みのため、PINコードは4桁でも安全とされている。 -「PINコード」と「デバイス」をひも付けることで~ 単純なパスワードよりも強固なセキュリティを実現している。 --PINコードを生成する際に、秘密鍵がデバイス側に登録される。 --サービスの登録時に、公開鍵がサービス側に登録され、 --サービスへのログイン時に、 ---クライアント側のPINコードで秘密鍵によるアサーション生成が行われ、 ---サーバー側で公開鍵によるアサーション検証が行われる。 *生体認証 [#oa397277] -[[Windows Hello]]の生体認証のための前提システムとしても機能する。 -このため、[[Windows Hello]]を利用するには、PINを設定しておく必要がある。 --[設定]→[アカウント]→[サインイン オプション]を表示し、 ---[暗証番号(PIN)]の[追加]をクリックしてPINを設定する。 ---Windows 10に生体認証デバイスが認識されている場合、[Windows Hello]の[セットアップ]が表示される。 ---これをクリックし、Windows Helloセットアップの[開始する]をクリックする。 ---PINコードの入力を求められたら、PINを入力する。 ---生体認証デバイスに生体認証情報を入力する。 ---多分、ここで、PINコード+生体認証の秘密鍵がデバイス側に登録される。 --参考 ---Windows Helloを使って指紋認証でサインインする | Windows 10 | できるネット~ https://dekiru.net/article/12854/ ---RealSense 3DカメラでWindows Helloの顔認識ログインやってみた!LAVIE Note Standard編 | デジタル生活部~ http://pcfan.121ware.com/notice/1340/ -これにより、生体認証情報でサインインできるようになる。 *SSO [#c5f70e20] Active Directory(AD)、Microsoftアカウント、Azure AD(組織アカウント)との統合も可能。 -PINコードまたはWindows Hello経由で対応サービスへの横断的なアクセスが可能となる。 -企業でのセキュリティ強化や運用バリエーションのオプションが複数用意されている。 --Windows Hello以外にもICチップを内蔵したスマートカードの利用 --“鍵”の生成にTPM 1.2または2.0対応のハードウェアを利用 -Web Account Manager API などを使用するらしい(詳細不明)。 *[[FIDO]] [#ba8f6921] そういうことで、[[Microsoft Passport]]は、 -[[FIDO]]1.0(UAF)のデバイス(Windows)側の実装に近いものであって、 -且つ、このPKIは、[[FIDO]]1.0(U2F)や[[FIDO]]2.0でも利用可能。 -これにより、サービスへのログインに「[[PINコード>#t80ad33e]]/[[生体認証>#oa397277]]」を使用できるようになる。 という、[[FIDO]]との関係を持っている。 **API [#vd1793ee] [[Microsoft Passport]]が提供するプログラミングシステムのAPI。 ***Native [#z647efe6] [[Windows.Security.Credentials]] -KeyCredentialManager -KeyCredential -UserConsentVerifier ***Web [#ud72761a] *参考 [#u07aa98b] **technet.microsoft.com [#t78b7226] -Windows 10 ベースのデバイスの正常性の制御 (Windows)~ https://technet.microsoft.com/ja-jp/library/mt592023.aspx --Control the health of Windows 10-based devices (Windows 10) | Microsoft Docs~ https://docs.microsoft.com/ja-jp/windows/device-security/protect-high-value-assets-by-controlling-the-health-of-windows-10-based-devices -Microsoft Passport を使った本人確認の管理 (Windows)~ https://technet.microsoft.com/ja-jp/library/mt219735.aspx -Microsoft Passport の概要 (Windows)~ https://technet.microsoft.com/ja-jp/library/dn985839.aspx -Microsoft Passport ガイド (Windows)~ https://technet.microsoft.com/ja-jp/library/mt589441.aspx -Windows Hello for Business~ https://docs.microsoft.com/ja-jp/windows/access-protection/hello-for-business/hello-identity-verification **blogs.technet.microsoft.com [#o57b8308] -Windows 10: Microsoft Passport: パスワードのない時代の幕開け – 日本のセキュリティチーム~ https://blogs.technet.microsoft.com/jpsecurity/2015/09/11/windows-10-microsoft-passport/ -Microsoft Passport とは ? – Junichi Anno's blog~ https://blogs.technet.microsoft.com/junichia/2015/08/17/microsoft-passport-2/ -IdM実験室: [翻訳]Azure ADとWindows 10におけるMicrosoft Passport for Work~ http://idmlab.eidentity.jp/2016/03/azure-adwindows-10microsoft-passport.html ---- Tags: [[:認証基盤]]