2025年10月12日に、Techboost Summit に登壇させていただきました。
参加いただいた皆様、ありがとうございました。
そのセッション内 で ご質問をいただいておりましたので、この記事にて 回答をさせていただきます。
Question 1
質問
iOS/iPadOS, Android などスマホにキーを仕込む方法について知りたいです。物理のFIDO2キーを人数分購入する費用がネックとなる場合、スマホで代用できるようなソリューションなのでしょうか?
回答
はい、スマホに インストールされた Microsoft Authenticator で Authenticator のパスキー を使うことが可能ですが、注意が必要です。
「注意が必要」とした理由は、セッションで扱った Active Directory (ADDS) の OS ログオンでは 物理のセキュリティキーしか対応しておらず、 Authenticator のパスキーを使うことができません。
その他、スマホアプリ や ブラウザ を使った、Microsoft Entra ID の認証には Authenticator のパスキー を使っていただくことができると思います。
※デモで Autopilot 展開を行う際に、管理者の立場で Authenticator のパスキー を使って展開しようとしていましたが、あの場面での利用は可能です(私は、失敗しましたが・・・)
なお、Authenticator のパスキー をセットアップするためには、以下の公開情報を参考にしてみてください。
左ペインを見ると、スマホへの登録方法へのリンクもあると思います。
Question 2
質問
FIDO2+WindowsHelloの優位性は理解できました。AD環境でいうところの「PW忘れによるログイン不可」みたいな事例は今回の場合はどんなことが想定できますか?
回答
FIDO2 へ移行した場合に発生しうるトラブルは、 物理キーの紛失、自宅に置き忘れた、PIN を失念した、指紋認証が認識されない・・・などが考えられると思います。
それを前提に、回答させていただきますね。
物理キーの紛失
物理キーを紛失した場合、ユーザーの セキュリティ情報 の画面から キーを削除する必要があります。
もし、Windows Hello for Business がセットアップ済みであれば、セキュリティ情報 へサインインが可能なので、単純に削除が可能です。
そうではなく、セキュリティ情報 へサインインできない場合は、管理者へ連絡することで、管理者側で アカウントに紐づいた キー を削除することができます。その際の 当日の業務ですが、ADDS の場合は、管理者に ADDS アカウントに パスワードを割り当ててもらい、OS にサインインしてください。
Microsoft Entra ID であれば、Temporary Access Password (TAP) を発行してもらい、一時的に サインインすることができるようになります。
そのあとは、始末書などを書いて、代わりの FIDO2 セキュリティキー が届くのを待ち、再度セットアップしてください(その際には、Windows Hello for Business か、TAP にてセットアップができます)
自宅に置き忘れた
自宅に置き忘れた(確実に無くしていない)場合は、アカウントからの紐づけ削除や、再セットアップは行いません。
そのため、ADDS の場合は、管理者側で ADDS アカウントに パスワードを割り当ててもらい、OS にサインインしてください。
Microsoft Entra ID であれば、Temporary Access Password (TAP) を発行してもらい、一時的に サインインすることができるようになります。
TAP 発行時の注意
管理者の人は、安易に TAP を発行することなく、厳格な本人確認を行う必要があります。
誤って部外者に TAP を渡してしまうと、なりすましで アカウントを使われてしまうリスクがあります。
TAP を本人へ通達する際には、業務スマホへ SMS で送るようにして、文面内にアカウント情報は書かないなどの考慮が必要です(アカウントと TAP がセットになっていると、誰でも悪用ができてしまうためです)
PIN を失念した
FIDO2 セキュリティキーは、Windows OS の 設定パネル で以下の画面の 管理 からリセットを行うことができます。リセットすると、キーに保存されたすべてのアカウントが削除されますが、あとは新品同様に 新たな PIN を設定しなおして、利用できるようになります。
なお、キーの内容は消えてしまっているので、セットアップしないと サインインには使えません。
Windows Hello for Business を使っている場合は、セキュリティ情報 の画面で、再登録するだけです。
セキュリティ情報 に入れない場合は、管理者に、TAP を発行してもらってから、セキュリティ情報 から再登録してください。
指紋認証が認識されない
Yubikey Bio の場合は、指紋認証が使えます。
その指紋認証が認識されない場合は、代わりに PIN が使えますので、それで認証は行えます。
PIN も忘れてしまった場合は、上述した PIN を失念した の章の対応が必要となり、再度 指紋も登録してください。
PIN が分かっていれば、設定パネル、サインインオプションのセキュリティキーの 管理 ボタンから、指紋の再設定が可能です。指紋は、何パターンか登録ができるのて、両手とか 各指、同じ指でも複数の角度から登録しておくと、精度が高まると思います。
Question 3
質問
既存AD環境かつ400人規模の社員数の会社をWinHelloへ切り替える場合の概算費用を教えていただきたいです。
回答
個人ブログのため、そのまま金額や工数などの記載は控えさせていただきます。
実際に 同様の規模の会社様へ導入した際には、フェデレーション が構成されており、Microsoft 365 は、他社 IDP で認証されているという、複雑な構成でした。新たに、Microsoft Entra Connect や段階的ロールアウトなどにより、認証自体の切替が必要でした。これらをやりながら、条件付きアクセスなどの構成もおこなっていくような対応を行いましたが、8か月程度掛かっています。
これらの複雑要素がなければ、それよりは短縮された期間での実装は可能と思われます。
PoC であれば、Entra に慣れていて 前提事項(Microsoft Entra Hybrid Join など)が満たされた環境ならば、数時間。ゼロから構築しても 数日で動く環境は作れると思います。本番環境で すでに利用者がいる状態だと、影響ださないように計画&作業を進めることが大変なのです。
※私の Qiita 記事 を参照しただくだけで、ご自身でも実装可能と思われます(支援、アドバイスが必要な場合は、別途 ご相談ください)
Question 4
質問
80人程度の企業で完全新規にM365BPを導入する際に、FIDO2 USBキーを展開するにあたってのイケてるフローはどのようなものになるでしょうか?なお、「一旦BYODでMFA登録後にユーザに登録してもらう」のは諸般の事情で無しとさせてください…1人情シスゆえ問合せ殺到したら会社行きたくなくなっちゃうので
回答
ひとり情シスとのことですが、ご苦労様です。
セルフキッティング が NG となると難しいですね。
たしかに、一旦 BYOD で MFA登録したあとに、FIDO2 をセルフキッティングするのって、手順書での操作は伝えにくく問い合わせが多く発生する恐れがありますね。
デモでも扱っていましたが、TAP を使うことで ワンタイムパスワード の発行が可能です。
これを使った手順であれば、スマホが1回も登場することなく、利用者側で FIDO2 キーの セットアップは可能になると思われます。この手順なら、問い合わせは それほど多くなくなると思いますが、TAP だと1回限りの利用なので、失敗した際の TAP 再発行の依頼や、その際の本人確認に手間取る可能性がありますね。
1か所にメンバーをあつめて、集合研修的に開催して 各自でセルフキッティングをやってもらう。出社してもらえるかって、社風によってまちまちとは思いますが、この手が使えるならば、一番楽かなと思います。
あとは、管理者側で、全員のキーをセットアップしておいて、キー を郵送、PIN は、社用携帯へ SMS で送る。
これだと、完全に自分だけの作業で終えられますが、80人分だと結構大変かなぁと思います。
・・・などの方法を思いつきました。
Question 5
質問
セキュリティキー🔑を冗長化したいという要望がある場合、野口さんはどのような提案をされていますか?
回答
Windows Hello for Business との併用が可能ならば、これが一番コストも掛からずに無駄もありません。
もし、キーを紛失した場合も、Question 2 の回答に書いたような対応で、カバーすることができます。
予算があるならば、1名に 2個の FIDO2 セキュリティキーを渡しておく・・・という方法もあります。
Yubikey Bio だと高額ですが、予備のキーは Yubikey 5 にしておくなどの工夫でコスト削減も可能です。
Microsoft Entra ID では、1アカウントに複数のキーを登録しておいても利用が可能です。
Question 6
質問
FIDO2キーに設定するPINの複雑性は、管理者が設定できますか?
回答
スルドイ質問ですね。
私は、Yubikey の場合しか分からないため、Yubikey の場合について回答しますね。
一般に販売されている Yubikey の場合、管理者ツールを使って、PIN の複雑性を 事前設定することはできますが、なんと ユーザーがリセットすることが可能で、そうすると、工場出荷状態に戻ってしまうため、簡単な PIN が設定できてしまいます。
エンタープライズ向けには、Yubikey Enhanced PIN models というモデルが提供されていて、メーカー側と調整したうえで購入することで、出荷時から PIN の複雑性が設定されて、リセットしても その状態が維持されるようにすることが可能になっています。
※私は、この方法で購入した経験はありませんが、 利用者の立場で このタイプの Yubikey が配布されて使ったことがあります。その場合は、ホントにリセットしても 複雑性が維持されていました。
以下のコミュニティ情報を見ると、Token2 の PIN+ という製品だったら対応しているという記載もありました。