Edited at

Azure AD で FIDO キーでサインインする1 (設定有効化~ブラウザ サインイン)

ついにパブリックプレビューが公開されました。

以下に設定方法が公開されていますが、まだ英語版しかないので、作業メモがてら手順を公開します。

Enable passwordless sign in for Azure AD (preview)

なお、今回のセキュリティキーはYubikeyを利用しています。


STEP1: Azure AD テナントで FIDO 設定を有効化する

まずは Azure AD テナント側で FIDO キーを利用できるように設定する必要があります


1. Azure ポータルにサインインする

Azure ポータルにサインインします

https://portal.azure.com/


2. ユーザー設定からプレビュー機能の利用を許可する

まずは、ユーザーにプレビュー機能の利用を許可する必要があります。

ポータルにサインインしたら以下をたどります。

[Azure Active Directory]

->[Manage]

->[User Settings]

image.png

それから、ユーザー設定の下の方にある Manage User feature preview settings をクリックします。

image.png

Users can use preview features for registering and managing security info – enhanced を構成します。

全員対象でよければ [All] を一部のユーザーのみ許可する場合は [Selected] から対象とするグループを指定します。

image.png


3. FIDO ポリシーを有効化する

次に FIDO ポリシーを有効化します。Azure ポータルから以下をたどります

[Azure Active Directory]

->[Securiy]

->[Authentication methods]

image.png

そのあと、Authentication method policy (Preview) から FIDO2 Security Policy を選択すると画面下部に詳細設定が表示されます。

細かい設定がいろいろとありますが、とりあえず利用するために [ENABLE]Yes に、[TARGET] に対象とするユーザーを指定します。設定が終わったら [SAVE] します。

image.png


STEP2: 対象ユーザーで FIDO キーを登録する

今度はユーザー側で FIDO キーを登録します。これ以降の作業は Edge が対応ブラウザのようなので、現状 Edge を利用してください(2019/07/14現在)

他の FIDO / WebAuthn 対応ブラウザでも早く作業可能になってほしい。

また、InPrivate モードで作業すると途中で失敗するので注意。


1 対象ユーザーでマイプロファイルにアクセスします。

以下から直接アクセスできます

https://myprofile.microsoft.com


2. セキュリティ情報を追加する

左側のメニューから [Security Info] を選択し、[+ Add method] します

image.png


3.追加するメソッドから Security Key を選択します。

image.png

なお、対応していないブラウザを利用しているとエラーがでます。

image.png


4. 追加するキーの種類を選択します。

今回の Yubikey では USB device となります。

image.png

ウィザードが進むので、Next を選択します。

image.png

なお、InPrivate モードだとここで失敗します。くっそ。

image.png


5. セキュリティーキーを挿入します。

ここで、キーを挿入するように要求されるので、挿入します。

image.png

image.png

そのあと、設定次第でPIN の入力と金属部分へのタッチが求められます。それらの確認に成功すると、Key に名前を付けて完了です。

image.png

image.png


STEP3: Security Key でサインインする

対応しているブラウザでサインイン(例:Office 365)を行います。とりあえず、Edge と Firefox は対応しているようです。Chrome はまだのよう(2019/07/14 現在)

そして微妙に表示がブラウザによって違う

Edge

image.png

image.png

FireFox

image.png

Chrome 版 Edge

image.png

PIN を入力して

image.png

タッチして

image.png

ログインユーザーを選択します

image.png


無事サインイン完了!

image.png

以上で、テナントでの FIDOキー有効化とブラウザサインインまでは完了です。改めて Windows 10 のサインインも別途作成予定

作成しました。(2019/07/15)

Azure AD で FIDO キーでサインインする2 (WIndows 10 設定~デスクトップ サインイン)