LoginSignup
3
5

More than 3 years have passed since last update.

@_kazuya(yuda kazuya)

YubikeyをWindows10のログイン認証で使う(ローカルアカウントのみ)

Last updated at Posted at 2020-12-22

YubikeyをWindows10のログイン認証で使う(ローカルアカウントのみ)

注意事項

必ず設定を始める前にWindows10にマイクロソフトアカウントを最低1つ以上用意しておいてください。
ローカルアカウントのみだと初回設定時に確実にログインできなくなります。
(インストール後再起動を求められるが、Yubikeyが設定できないので、普通にログインできなくなります。)

ちなみに、こうなってしまった場合Yubicoのソフトをインストールする前に復元ポイントがあるので、その地点へ復元すればなんとかなりますが...

※本記事により、これらの情報を運用した結果について、筆者はいかなる責任も負いません。本番環境で試される前に必ずテスト環境で検証されることをお勧めします。

あらまし

先日Yubico社のYubikeyを利用したWindows10搭載のPCのMFA化を行いました。

どなたでもアクセスできる状態を回避するため、物理キーを導入することにより、Yubikeyを所持できる人のみがWindows10にアクセスできる仕組みを構築する。

手順

  • Yubikeyを準備する
  • Windows10のローカルアカウントを用意する
  • Yubikeyのソフトをダウンロード
  • 設定
  • 確認

Yubikeyを準備する

Windows10のログイン認証に使うためには[ログイン/U2F/FIDO2]の機能のあるYubikeyが必要

yubico.png

当方が用意したYubikey、参考までに↓
Yubico セキュリティキー YubiKey 5 NFC
ログイン/U2F/FIDO2/USB-A ポート/2段階認証/高耐久性/耐衝撃性/防水
https://www.amazon.co.jp/gp/product/B07HBD71HL/ref=ppx_yo_dt_b_asin_title_o05_s00?ie=UTF8&psc=1

Windows10のローカルアカウントを用意する

新規ユーザー登録

・スタートメニュー設定アイコン(歯車のマーク)を開く
・「アカウント」をクリック
・「家族とその他のユーザー」をクリック
・「その他のユーザーをこのPCに追加」をクリック
・手順に沿ってユーザー作成

※既存のマイクロソフトアカウントをローカルアカウントに変更も可能です。

ソフトをダウンロード

注意事項

必ず設定を始める前にWindows10にマイクロソフトアカウントを最低1つ以上用意しておいてください。
ローカルアカウントのみだと初回設定時に確実にログインできなくなります。
(インストール後再起動を求められるが、Yubikeyが設定できないので、普通にログインできなくなります。)

ちなみに、こうなってしまった場合Yubicoのソフトをインストールする前に復元ポイントがあるので、その地点へ復元すればなんとかなりますが...

https://www.yubico.com/products/services-software/download/computer-login-tools/
このサイトから、
Local accountsのDownload Yubico Login for Windowsをクリックしダウンロードする。

Yubikey.png

設定

あらかじめYubikeyをUSBへ挿入しておく

アプリケーション「Yubico」フォルダーから「Login Configration」を起動

図2.png

Welcomeメッセージの後「Next」で進む。

図3.png

Yubikeyの設定

使用したいスロットを選択
「Slot1,2」

「Use existing secret if configured - generate if not configured」を選択

リカバリーコードを生成しておきたいので、「Generate recovery code」にチェック
図4.png

設定するユーザーを選択

図5.png

 検出されたYubikeyを確認する

図6.png

「Please remove your YubiKey to continue...」が表示されたら一旦YubikeyをUSBポートから取り出す。
図7.png

リカバリーコードが生成されるので、保存する。
図8.png

「Finish」で終了します。

図9.png

確認

Windowsログイン操作の一例

・金庫(ポケットでもなんでもいいですが)からYubikeyを取り出す
・任意の端末のUSB端子へYubikeyを挿入
・Usernameに任意のユーザー名を入力
・Passwordに任意のパスワードを入力
・ログイン完了
・完了後、サインアウトを行いYubikeyを取り出し、
指定の場所(金庫)へ移動する
・金庫をロックする

IMG_2284.JPG

Yubikey破損時の対応
・金庫からYubikeyリカバリーコードを取り出す
・任意の端末を起動
・画面下の「Lost your Yubikey?」をクリック
・Usernameにユーザー名を入力
・Recovery codeに先ほど取り出したリカバリーコードを入力
・Passwordに任意のパスワードを入力
・ログイン完了
・必要に応じてアプリケーション「Yubico」フォルダーから「Uninstall Yubico Login for Windows」を起動
・手順に沿ってアンインストール
img.png

3
5
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
5