はじめに
本記事では、FIDO2 セキュリティキー を使用して Microsoft Entra ID アカウント で Windows にサインイン する方法を紹介します。
本件を検証する前に、色々と 下調べしたのですが、ローカルアカウント しかサポートしていない等の情報が多く引っ掛かって、成功例は 見当たらず、そもそも 無理なんじゃないかと諦めかけていました。
ですが、以下の公開情報を見つけて、頑張れば なんとかできるんじゃないかと思い、トライしてみました。
公開情報:FIDO2 セキュリティ キーを使用して Microsoft Entra ID による Windows 10 および 11 デバイスへのサインインを有効にする
https://learn.microsoft.com/ja-jp/entra/identity/authentication/howto-authentication-passwordless-security-key-windows?wt.mc_id=mvp_407731
本記事のターゲット
「FIDO2 セキュリティキー を使用して Windows にサインイン」を有効化する方法は、いくつか用意されていますが、本記事では ① の Intune を使った手順を紹介します。
① Microsoft Intune で有効にする
② ターゲットとなる Microsoft Intune のデプロイ
③ プロビジョニング パッケージを使用して有効にする
④ グループ ポリシーで有効にする (Microsoft Entra ハイブリッド参加済みデバイスのみ)
※① は、Intune に登録された全デバイスを対象。② では、グループに割り当てられたデバイスのみを、FIDO2 サインイン の対象とすることができます。
公開情報:Windows サインインのセキュリティ キーを有効にする
https://learn.microsoft.com/ja-jp/entra/identity/authentication/howto-authentication-passwordless-security-key-windows?wt.mc_id=mvp_407731#enable-security-keys-for-windows-sign-in
お知らせ
④ のパターンを使うと、"FIDO2 で Active Directory ドメイン への ログオン" が可能になります。
別途 記事を投稿してありますので、併せて参照ください。
FIDO2 で Windows にサインインする(ADドメイン編)
https://qiita.com/carol0226/items/87dbd1f57f80f6da3968
前提事項
本記事では、Microsoft Entra 参加済み デバイス が対象になります。
以下の 公開情報 の 要件 の表で、左側の列です。
上記の 公開情報 の 要件 を元にした結果、以下の ①~③ を全て満たしておく必要があることが判りました。
① Intune の構成
FIDO2 セキュリティ キー でのサインインを有効化するために、本記事では Intune を使います。
以下の記事を参考に、テナント の構成と Intune ライセンス の手配が必要です。
Windows デバイス を Intune に自動登録する
https://qiita.com/carol0226/items/e75b04f2a6a99fa6bcf7
② Microsoft Entra 多要素認証
以下の記事を参考に Microsoft Entra 参加済み(Microsoft Entra Joined)となったデバイスがあれば、要件が満たされます。
Microsoft Entra Join の手順 (Windows 11)
https://qiita.com/carol0226/items/74efd0c2cce7fc42e110
Microsoft Entra Join の 手順 (Windows 10)
https://qiita.com/carol0226/items/eba166a0a4b2e7df3a92
※Windows 10 バージョン 1909 以降が実行されている必要があります。
③ 統合されたセキュリティ情報の登録(FIDO2 セキュリティー キー)
以下の記事で紹介している内容で テナントで FIDO2 セキュリティー キー が利用できるように構成され、ユーザーに FIDO2 セキュリティ キー が割り当てられている必要があります。
Microsoft Entra ID の認証を FIDO2 で出来るようにする
https://qiita.com/carol0226/private/8586291079d941f62f7b
ポイント
つまり、③ で Microsoft Entra ID を使った Web サービスに対して FIDO2 で認証ができるようになっていれば、あとは Intune を使って OS 側で FIDO2 でのサインインを有効すれば、OK ということです。
構成手順
Microsoft Intune で有効にする
Intune で行う構成は、1か所のみです。たったこれだけです。
- Intune 管理センター にサインインします。
https://intune.microsoft.com
- 以下の画面のとおり、操作を進めて、最後に 保存 を押します。
左ペインの デバイス から 登録 を選択し、Windows Hello for Business を開きます。
開かれた右側ウィンドウを 一番下までスクロールして Use security keys for sign-in の設定を Enabled に変更します。
公開情報:Microsoft Intune で有効にする
https://learn.microsoft.com/ja-jp/entra/identity/authentication/howto-authentication-passwordless-security-key-windows?wt.mc_id=mvp_407731#enable-with-microsoft-intune
動作確認
FIDO2 セキュリティ キーを使用してサインインする
- 前章で Intune 側の構成を変更したあと、Intune に登録されたデバイスを再起動します。
- 設定が PC にうまく反映されると、緑下線の サインイン オプション を押した際に、以下の通り 赤枠(セキュリティキー)のアイコンが追加されます。
※設定の反映にタイムラグがありえますが、私は 10 分後くらいに反映されてました。
- 以下の画面が FIDO2 で OS にサインインできる画面です。
ここで、FIDO2 セキュリティ キー を挿入して PIN を入力します。
※アカウント名を入力しなくても良いんですね・・・(キー内に ID も保存されている)
- 正しい PIN が入力されたら、以下の画面が表示されます。
- FIDO2 セキュリティ キー に 指タッチします。
下図は、私が検証した YubiKey です。この時に ランプが点灯しています。
- これで 以下の画面に遷移されて サインイン が完了します。
以上のように、あらかじめ FIDO2 セキュリティ キー に Microsoft Entra アカウント が登録されていれば、OS の初回ログオンから、パスワードレス で サインイン することが出来ました。
公開情報:FIDO2 セキュリティ キーを使用してサインインする
https://learn.microsoft.com/ja-jp/entra/identity/authentication/howto-authentication-passwordless-security-key-windows?wt.mc_id=mvp_407731#sign-in-with-fido2-security-key
さいごに
成功してみると、非常に簡単に構成出来ることが判りました。
現在は、テナント側も PC 側も 初期設定を行わないと FIDO2 が利用できませんが、将来的には 既定の構成のままで 利用できるようになっても良いんじゃないかと 個人的に思います。
これをやりたいと思っても、巷の情報で、中々 成功事例を見つけられなかったのですが、本記事を参考にチャレンジしてみていただければ幸いです。
Next Step
公開情報には、以下の通り オンプレミスのリソースへの SSO という記事が記載されています。
公開情報:オンプレミスのリソースへの SSO
https://learn.microsoft.com/ja-jp/entra/identity/authentication/howto-authentication-passwordless-security-key-on-premises?wt.mc_id=mvp_407731
これについては、私の記事でも紹介していますので、合わせて構成しておくと良いと思います。
Microsoft Entra 参加済み デバイスを、社内LAN に持ち込んだ際に、ファイルサーバーなどの ドメイン環境のリソースに アクセスできるようになります。
参考
以下の公開情報で、FAQ や トラブルシューティング が掲載されています。
これは、構築後に動作確認した後のタイミングで良いので、目を通しておくと その後の運用時に無駄にハマらずに済むかもしれません。