Help us understand the problem. What is going on with this article?

Azure AD で FIDO キーでサインインする1 (設定有効化~ブラウザ サインイン)

ついにパブリックプレビューが公開されました。
以下に設定方法が公開されていますが、まだ英語版しかないので、作業メモがてら手順を公開します。
Enable passwordless sign in for Azure AD (preview)

なお、今回のセキュリティキーはYubikeyを利用しています。

STEP1: Azure AD テナントで FIDO 設定を有効化する

まずは Azure AD テナント側で FIDO キーを利用できるように設定する必要があります

1. Azure ポータルにサインインする

Azure ポータルにサインインします
https://portal.azure.com/

2. ユーザー設定からプレビュー機能の利用を許可する

まずは、ユーザーにプレビュー機能の利用を許可する必要があります。
ポータルにサインインしたら以下をたどります。

[Azure Active Directory]
->[Manage]
->[User Settings]

image.png

それから、ユーザー設定の下の方にある Manage User feature preview settings をクリックします。
image.png

Users can use preview features for registering and managing security info – enhanced を構成します。
全員対象でよければ [All] を一部のユーザーのみ許可する場合は [Selected] から対象とするグループを指定します。
image.png

3. FIDO ポリシーを有効化する

次に FIDO ポリシーを有効化します。Azure ポータルから以下をたどります
[Azure Active Directory]
->[Securiy]
->[Authentication methods]

image.png

そのあと、Authentication method policy (Preview) から FIDO2 Security Policy を選択すると画面下部に詳細設定が表示されます。
細かい設定がいろいろとありますが、とりあえず利用するために [ENABLE]Yes に、[TARGET] に対象とするユーザーを指定します。設定が終わったら [SAVE] します。

image.png

STEP2: 対象ユーザーで FIDO キーを登録する

今度はユーザー側で FIDO キーを登録します。これ以降の作業は Edge が対応ブラウザのようなので、現状 Edge を利用してください(2019/07/14現在)
他の FIDO / WebAuthn 対応ブラウザでも早く作業可能になってほしい。

また、InPrivate モードで作業すると途中で失敗するので注意。

1 対象ユーザーでマイプロファイルにアクセスします。

以下から直接アクセスできます
https://myprofile.microsoft.com

2. セキュリティ情報を追加する

左側のメニューから [Security Info] を選択し、[+ Add method] します
image.png

3.追加するメソッドから Security Key を選択します。

image.png

なお、対応していないブラウザを利用しているとエラーがでます。
image.png

4. 追加するキーの種類を選択します。

今回の Yubikey では USB device となります。
image.png
ウィザードが進むので、Next を選択します。
image.png

なお、InPrivate モードだとここで失敗します。くっそ。
image.png

5. セキュリティーキーを挿入します。

ここで、キーを挿入するように要求されるので、挿入します。
image.png

image.png

そのあと、設定次第でPIN の入力と金属部分へのタッチが求められます。それらの確認に成功すると、Key に名前を付けて完了です。

image.png
image.png

STEP3: Security Key でサインインする

対応しているブラウザでサインイン(例:Office 365)を行います。とりあえず、Edge と Firefox は対応しているようです。Chrome はまだのよう(2019/07/14 現在)
そして微妙に表示がブラウザによって違う

Edge
image.png
image.png

FireFox
image.png
Chrome 版 Edge
image.png

PIN を入力して
image.png

タッチして
image.png

ログインユーザーを選択します
image.png

無事サインイン完了!

image.png

以上で、テナントでの FIDOキー有効化とブラウザサインインまでは完了です。改めて Windows 10 のサインインも別途作成予定
作成しました。(2019/07/15)
Azure AD で FIDO キーでサインインする2 (WIndows 10 設定~デスクトップ サインイン)

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした