Microsoft Passport
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Windows Hello + Microsoft Passport]]
* 目次 [#ddaa7fd7]
#contents
*概要 [#t443994b]
Microsoft Passport (旧 Next Generation Credential)
-ID+パスワードの枠を超えた、Windows10のより強固な公開鍵...
-Windows10だけでなくWebサービスへも、「[[PINコード>#t80ad...
-Windows 10で以下を行うと有効になる。
--Microsoftアカウントでセットアップ
--Azure AD参加を「組織アカウント」(Windows 10では「職場...
*認証の仕組み [#m12ab2d3]
**2 要素認証 [#y850f777]
-デバイスに関連付けられた[[キーまたは証明書>#l642b360]]と、
-ユーザが知っているもの ([[PINコード>#t80ad33e]])、または...
***PINコード [#t80ad33e]
-Microsoft Passportにより、4桁以上のPINコードでサインイン...
-以下のような仕組みのため、PINコードは4桁でも安全とされて...
-「PINコード」と「デバイス」をひも付けることで~
単純なパスワードよりも強固なセキュリティを実現している。
--PINコードを生成する際に、秘密鍵がデバイス側に登録される。
--サービスの登録時に、公開鍵がサービス側に登録され、
--サービスへのログイン時に、
---クライアント側のPINコードで秘密鍵によるアサーション生...
---サーバー側で公開鍵によるアサーション検証が行われる。
-アカウント ロックアウト後、
--ユーザーは PIN をリセットする必要がある。
--PIN をリセットすると、キーと証明書は削除される。
-参考
--PIN がパスワードよりも優れている理由 (Windows)~
https://technet.microsoft.com/ja-jp/library/mt621546.aspx
***生体認証 [#oa397277]
-[[Windows Hello]]の生体認証のための前提システムとしても...
-このため、[[Windows Hello]]を利用するには、PINを設定して...
--[設定]→[アカウント]→[サインイン オプション]を表示...
---[暗証番号(PIN)]の[追加]をクリックしてPINを設定す...
---Windows 10に生体認証デバイスが認識されている場合、[Wi...
---これをクリックし、Windows Helloセットアップの[開始す...
---PINコードの入力を求められたら、PINを入力する。
---生体認証デバイスに生体認証情報を入力する。
---多分、ここで、PINコード+生体認証の秘密鍵がデバイス側...
-これにより、生体認証情報でサインインできるようになる。
-参考
--Windows10 - PIN(暗証番号)でサインインする方法 - PC設...
https://pc-karuma.net/windows10-pin-signin/
--Windows Helloを使って指紋認証でサインインする | Windows...
https://dekiru.net/article/12854/
--RealSense 3DカメラでWindows Helloの顔認識ログインやって...
http://pcfan.121ware.com/notice/1340/
**キーまたは証明書 [#l642b360]
キー (ハードウェアまたはソフトウェア) またはキーを含む証...
ハードウェアまたはソフトウェアで使ってデバイスの身元を確...
***証明書ベースの認証 [#r96816ef]
証明書を発行して管理する公開キー基盤 (PKI) を保有している...
引き続き、[[Microsoft Passport]]と組み合わせて PKI を使用...
***キー ベースの認証 [#cc828347]
PKI を使用しない、または証明書の管理に関連する作業の軽減...
[[Microsoft Passport]]のキー ベースの資格情報を使用できる。
-[[TPMによって生成されるハードウェア ベースのキー>TPM(Tr...
-Microsoft Passportによって生成されるソフトウェア ベース...
([[TPM>TPM(Trusted Platform Module)]]を利用できない場...
**キーペアの生成タイミング [#jf02e918]
***[[AIK>TPM(Trusted Platform Module)#e8431d17]] [#i91d...
[[Windows Hello]]をセットアップしたタイミングだと思われる。
***署名用のキーペア [#k8b2fb3a]
[[KeyCredentialManager.RequestCreateAsync>Windows.Securit...
[[AIK>TPM(Trusted Platform Module)#e8431d17]]を使用した...
**キーストアの分離 [#m23e505e]
-[[Microsoft Passport]]は、公開鍵暗号(PKI)ビルトイン サ...
-このPKIビルトイン サービスのキーストアは以下のように分離...
***ユーザ [#t726b5ac]
ユーザー毎に別のキーストアを持つ。
***アプリ [#pbc6a0fb]
-さらにアプリ毎にコンテナが分割される。
-Webの場合はドメイン毎にコンテナが分割される。
***keyName [#rb177b03]
ユーザアカウント名を使用するのが慣例である模様。
*[[FIDO]] [#ba8f6921]
そういうことで、[[Microsoft Passport]]は、
-[[FIDO]]1.0(UAF)のデバイス(Windows)側の実装に近いも...
-且つ、このPKIは、[[FIDO]]1.0(U2F)や[[FIDO]]2.0でも利用...
-これにより、サービスへのログインに「[[PINコード>#t80ad33...
という、[[FIDO]]との関係を持っている。
**API [#vd1793ee]
[[Microsoft Passport]]が提供するプログラミングシステムのA...
***Native([[Windows.Security.Credentials]]) [#z647efe6]
[[Windows.Security.Credentials]]
-KeyCredential
-KeyCredentialManager
-KeyCredentialAttestationResult
-UserConsentVerifier
***Web([[Web Authentication API]]) [#ud72761a]
[[Web Authentication API]]
*SSO [#c5f70e20]
Active Directory(AD)、Microsoftアカウント、Azure AD(組...
-[[Windows Hello for Business]]
--「[[PINコード>#t80ad33e]]/[[生体認証>#oa397277]]」経由...
--企業でのセキュリティ強化や運用バリエーションのオプショ...
--[[Windows Hello]]以外にもICチップを内蔵したスマートカー...
-[[Web Account Manager API]] などを使用するらしい。
*参考 [#u07aa98b]
**enjoy struggling [#z24b9c96]
-雑感 Microsoft Ignite What's new for Windows Hello for B...
https://blog.haniyama.com/2018/09/28/ms-ignite-2018/
--Windows Hello, モバイルアプリの Microsoft Authenticator...
--Windows Hello for Business で、Azure AD に参加した Wind...
**microsoft.com [#t78b7226]
***technet [#ic97511d]
-Windows 10 ベースのデバイスの正常性の制御 (Windows)~
https://technet.microsoft.com/ja-jp/library/mt592023.aspx
--Control the health of Windows 10-based devices (Windows...
https://docs.microsoft.com/ja-jp/windows/device-security/...
-Windows > Windows 10 と Windows 10 Mobile
--Windows 10 の新機能 > Microsoft Passport の概要 (Window...
https://technet.microsoft.com/ja-jp/library/dn985839.aspx
--Windows 10 のセキュリティ保護 > Microsoft Passport を使...
https://technet.microsoft.com/ja-jp/library/mt219735.aspx
-- エンタープライズ セキュリティ ガイド > Microsoft Passp...
https://technet.microsoft.com/ja-jp/library/mt589441.aspx
***blogs.technet [#o57b8308]
-Windows 10: Microsoft Passport: パスワードのない時代の幕...
https://blogs.technet.microsoft.com/jpsecurity/2015/09/11...
-Microsoft Passport とは ? – Junichi Anno's blog~
https://blogs.technet.microsoft.com/junichia/2015/08/17/m...
-IdM実験室: [翻訳]Azure ADとWindows 10におけるMicrosoft P...
http://idmlab.eidentity.jp/2016/03/azure-adwindows-10micr...
----
Tags: [[:認証基盤]]
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Windows Hello + Microsoft Passport]]
* 目次 [#ddaa7fd7]
#contents
*概要 [#t443994b]
Microsoft Passport (旧 Next Generation Credential)
-ID+パスワードの枠を超えた、Windows10のより強固な公開鍵...
-Windows10だけでなくWebサービスへも、「[[PINコード>#t80ad...
-Windows 10で以下を行うと有効になる。
--Microsoftアカウントでセットアップ
--Azure AD参加を「組織アカウント」(Windows 10では「職場...
*認証の仕組み [#m12ab2d3]
**2 要素認証 [#y850f777]
-デバイスに関連付けられた[[キーまたは証明書>#l642b360]]と、
-ユーザが知っているもの ([[PINコード>#t80ad33e]])、または...
***PINコード [#t80ad33e]
-Microsoft Passportにより、4桁以上のPINコードでサインイン...
-以下のような仕組みのため、PINコードは4桁でも安全とされて...
-「PINコード」と「デバイス」をひも付けることで~
単純なパスワードよりも強固なセキュリティを実現している。
--PINコードを生成する際に、秘密鍵がデバイス側に登録される。
--サービスの登録時に、公開鍵がサービス側に登録され、
--サービスへのログイン時に、
---クライアント側のPINコードで秘密鍵によるアサーション生...
---サーバー側で公開鍵によるアサーション検証が行われる。
-アカウント ロックアウト後、
--ユーザーは PIN をリセットする必要がある。
--PIN をリセットすると、キーと証明書は削除される。
-参考
--PIN がパスワードよりも優れている理由 (Windows)~
https://technet.microsoft.com/ja-jp/library/mt621546.aspx
***生体認証 [#oa397277]
-[[Windows Hello]]の生体認証のための前提システムとしても...
-このため、[[Windows Hello]]を利用するには、PINを設定して...
--[設定]→[アカウント]→[サインイン オプション]を表示...
---[暗証番号(PIN)]の[追加]をクリックしてPINを設定す...
---Windows 10に生体認証デバイスが認識されている場合、[Wi...
---これをクリックし、Windows Helloセットアップの[開始す...
---PINコードの入力を求められたら、PINを入力する。
---生体認証デバイスに生体認証情報を入力する。
---多分、ここで、PINコード+生体認証の秘密鍵がデバイス側...
-これにより、生体認証情報でサインインできるようになる。
-参考
--Windows10 - PIN(暗証番号)でサインインする方法 - PC設...
https://pc-karuma.net/windows10-pin-signin/
--Windows Helloを使って指紋認証でサインインする | Windows...
https://dekiru.net/article/12854/
--RealSense 3DカメラでWindows Helloの顔認識ログインやって...
http://pcfan.121ware.com/notice/1340/
**キーまたは証明書 [#l642b360]
キー (ハードウェアまたはソフトウェア) またはキーを含む証...
ハードウェアまたはソフトウェアで使ってデバイスの身元を確...
***証明書ベースの認証 [#r96816ef]
証明書を発行して管理する公開キー基盤 (PKI) を保有している...
引き続き、[[Microsoft Passport]]と組み合わせて PKI を使用...
***キー ベースの認証 [#cc828347]
PKI を使用しない、または証明書の管理に関連する作業の軽減...
[[Microsoft Passport]]のキー ベースの資格情報を使用できる。
-[[TPMによって生成されるハードウェア ベースのキー>TPM(Tr...
-Microsoft Passportによって生成されるソフトウェア ベース...
([[TPM>TPM(Trusted Platform Module)]]を利用できない場...
**キーペアの生成タイミング [#jf02e918]
***[[AIK>TPM(Trusted Platform Module)#e8431d17]] [#i91d...
[[Windows Hello]]をセットアップしたタイミングだと思われる。
***署名用のキーペア [#k8b2fb3a]
[[KeyCredentialManager.RequestCreateAsync>Windows.Securit...
[[AIK>TPM(Trusted Platform Module)#e8431d17]]を使用した...
**キーストアの分離 [#m23e505e]
-[[Microsoft Passport]]は、公開鍵暗号(PKI)ビルトイン サ...
-このPKIビルトイン サービスのキーストアは以下のように分離...
***ユーザ [#t726b5ac]
ユーザー毎に別のキーストアを持つ。
***アプリ [#pbc6a0fb]
-さらにアプリ毎にコンテナが分割される。
-Webの場合はドメイン毎にコンテナが分割される。
***keyName [#rb177b03]
ユーザアカウント名を使用するのが慣例である模様。
*[[FIDO]] [#ba8f6921]
そういうことで、[[Microsoft Passport]]は、
-[[FIDO]]1.0(UAF)のデバイス(Windows)側の実装に近いも...
-且つ、このPKIは、[[FIDO]]1.0(U2F)や[[FIDO]]2.0でも利用...
-これにより、サービスへのログインに「[[PINコード>#t80ad33...
という、[[FIDO]]との関係を持っている。
**API [#vd1793ee]
[[Microsoft Passport]]が提供するプログラミングシステムのA...
***Native([[Windows.Security.Credentials]]) [#z647efe6]
[[Windows.Security.Credentials]]
-KeyCredential
-KeyCredentialManager
-KeyCredentialAttestationResult
-UserConsentVerifier
***Web([[Web Authentication API]]) [#ud72761a]
[[Web Authentication API]]
*SSO [#c5f70e20]
Active Directory(AD)、Microsoftアカウント、Azure AD(組...
-[[Windows Hello for Business]]
--「[[PINコード>#t80ad33e]]/[[生体認証>#oa397277]]」経由...
--企業でのセキュリティ強化や運用バリエーションのオプショ...
--[[Windows Hello]]以外にもICチップを内蔵したスマートカー...
-[[Web Account Manager API]] などを使用するらしい。
*参考 [#u07aa98b]
**enjoy struggling [#z24b9c96]
-雑感 Microsoft Ignite What's new for Windows Hello for B...
https://blog.haniyama.com/2018/09/28/ms-ignite-2018/
--Windows Hello, モバイルアプリの Microsoft Authenticator...
--Windows Hello for Business で、Azure AD に参加した Wind...
**microsoft.com [#t78b7226]
***technet [#ic97511d]
-Windows 10 ベースのデバイスの正常性の制御 (Windows)~
https://technet.microsoft.com/ja-jp/library/mt592023.aspx
--Control the health of Windows 10-based devices (Windows...
https://docs.microsoft.com/ja-jp/windows/device-security/...
-Windows > Windows 10 と Windows 10 Mobile
--Windows 10 の新機能 > Microsoft Passport の概要 (Window...
https://technet.microsoft.com/ja-jp/library/dn985839.aspx
--Windows 10 のセキュリティ保護 > Microsoft Passport を使...
https://technet.microsoft.com/ja-jp/library/mt219735.aspx
-- エンタープライズ セキュリティ ガイド > Microsoft Passp...
https://technet.microsoft.com/ja-jp/library/mt589441.aspx
***blogs.technet [#o57b8308]
-Windows 10: Microsoft Passport: パスワードのない時代の幕...
https://blogs.technet.microsoft.com/jpsecurity/2015/09/11...
-Microsoft Passport とは ? – Junichi Anno's blog~
https://blogs.technet.microsoft.com/junichia/2015/08/17/m...
-IdM実験室: [翻訳]Azure ADとWindows 10におけるMicrosoft P...
http://idmlab.eidentity.jp/2016/03/azure-adwindows-10micr...
----
Tags: [[:認証基盤]]
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
