パスワードレスを試してみる【後半】FIDO2 セキュリティキー編

この記事の内容

  • Azure AD(Microsoft Entra ID)でFIDO2セキュリティキーを使ったサインインを有効にする手順を解説します
  • ユーザーがMyプロファイルからセキュリティキーを自分で登録する方法を紹介します
  • Microsoft Endpoint Manager(Intune)を使って、Windows Hello for BusinessおよびFIDO2セキュリティキーを有効化する方法を説明します
  • デバイス構成プロファイルを作成してFIDO2ポリシーを端末に適用する手順を紹介します
  • Windows Autopilotで展開した共有PCにセキュリティキーでサインインできることを確認します

FIDO2セキュリティキーとは

FIDO2(Fast IDentity Online 2)は、パスワードを使わずに認証を行うための標準規格です。USBやNFCに対応したハードウェアキーを使い、PINとキーへの物理的なタッチを組み合わせることで、安全なパスワードレス認証を実現します。

共有PCが多い環境や、パスワードを入力させたくない環境において特に有効な手段です。

Azure ADでセキュリティキーサインインを有効にする

まず、Azure Active Directory(Microsoft Entra ID)の認証方法ポリシーからFIDO2セキュリティキーのサインインを有効にします。

設定手順

  1. Azure ポータルにサインインします
  2. Azure Active Directoryセキュリティ認証方法ポリシー を開きます
  3. FIDO2 セキュリティ キー を選択します
  4. 有効にする をオンにします
  5. 対象ユーザーを選択します(例:山田太郎さんのみに限定するなど、特定ユーザーやグループを指定可能)
  6. 保存 をクリックします

今回のデモでは、特定ユーザー(山田太郎)のみを対象として設定を保存しました。これにより、対象ユーザーはMyプロファイルからセキュリティキーを登録できるようになります。

ユーザーがセキュリティキーを登録する

設定を有効にしたら、ユーザー自身がMyプロファイルでセキュリティキーを登録します。

登録手順

  1. プライベートブラウザで myprofile.microsoft.com にアクセスします
  2. セキュリティ情報 をクリックします
  3. 方法の追加 を選択します
  4. 一覧に セキュリティ キー が表示されていることを確認します(ポリシー設定前はこの項目が表示されません)
  5. セキュリティ キー を選択し、USB デバイス を選びます
  6. 画面の指示に従い、セキュリティキーをUSBポートに挿入します
  7. セキュリティキーのPINを作成します
  8. キーにタッチして操作を承認します
  9. セキュリティキーに名前を付けて登録を完了します

登録が完了すると、ユーザーに紐づいたキーが登録されたことが確認できます。

WebブラウザでFIDO2サインインをテストする

登録完了後、別のプライベートウィンドウを開いてFIDO2サインインが機能するか確認します。

テスト手順

  1. プライベートブラウザで Microsoft 365 のサインインページを開きます
  2. サインインオプションから セキュリティ キー を選択します
  3. セキュリティキーをUSBポートに挿入します
  4. PINを入力します
  5. キーにタッチして認証します

上記の操作でパスワードを入力することなくサインインできることを確認しました。

IntuneでWindowsサインインにFIDO2を有効にする

次に、WindowsへのサインインにもFIDO2セキュリティキーを使えるよう、Microsoft Endpoint Manager(Intune)から設定を行います。

Windows Hello for Businessの有効化

  1. Microsoft Endpoint Manager 管理センターendpoint.microsoft.com)にアクセスします
  2. デバイスデバイスの登録Windows の登録Windows Hello for Business を開きます
  3. Windows Hello for Business の構成 を有効にします
  4. サインインのセキュリティ キーの使用有効 に設定します
  5. 保存 します

デバイス構成プロファイルでFIDO2ポリシーを適用する

Windows Hello for Business の設定だけでなく、デバイス構成プロファイルを作成してFIDO2ポリシーを端末に明示的に割り当てることも必要になる場合があります。

構成プロファイルの作成手順

  1. デバイス構成プロファイルプロファイルの作成 を選択します
  2. プラットフォームは Windows 10 以降 を選択します
  3. プロファイルの種類は テンプレート から カスタム または Identity Protection を選択します
  4. FIDO2 セキュリティ キー に関するOMA-URI設定を追加します
OM/:AD-e1Uv:RiIce:/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
  1. 割り当て先を すべてのデバイス に設定します
  2. 保存 して割り当てを完了します

設定をデバイスに同期(Intune同期)した後、再起動することで設定が反映されます。

WindowsへのFIDO2セキュリティキーサインインをテストする

デバイスを再起動すると、サインインオプションに セキュリティ キー が表示されます。

テスト手順

  1. サインイン画面でサインインオプションから セキュリティ キー を選択します
  2. セキュリティキーをUSBポートに挿入します
  3. PINを入力します
  4. キーにタッチして認証します

パスワードを使わずにWindowsにサインインできることが確認できました。サインイン後は、Microsoft 365 や Azure AD に紐づいた各種サービスにもシームレスにアクセスできます。

共有PCシナリオ:Windows AutopilotとFIDO2の組み合わせ

最後に、Windows Autopilotで展開した共有PCにおいて、別ユーザーのセキュリティキーを使ったサインインをテストします。

テストシナリオ

  • PCはWindows AutopilotのSelf-Deployingモードで展開済み(特定ユーザーに紐づいていない)
  • 管理者アカウントでの初期セットアップ済み
  • 山田太郎さんのセキュリティキーを使って、別ユーザーが使用していたPCからサインイン

確認結果

管理者アカウントでセットアップされたPCに対して、山田太郎さんのセキュリティキーを使ってサインインを試みました。PINを入力し、キーにタッチするだけで正常にサインインできることを確認しました。

これにより、共有デバイス環境においても、ユーザーは自分のセキュリティキーを持ち歩くだけでどの端末からでも自分のアカウントにアクセスできることが実証されました。

この組み合わせは、以下のような環境に特に適しています。

  • コールセンターや工場など、複数ユーザーが同じ端末を使用する環境
  • Windows Autopilot Self-Deployingモードで展開した共有PC
  • Azure AD Join(Microsoft Entra Join)済みのデバイス群

まとめ

今回はFIDO2セキュリティキーを使ったパスワードレス認証の設定から動作確認までを一通り試しました。

  • Azure AD側では認証方法ポリシーからFIDO2を有効化し、対象ユーザーをMyプロファイルで登録するだけでWebサービスへのパスワードレスサインインが実現できます
  • Windowsサインインに対応させるには、IntuneでのWindows Hello for Businessの有効化と、デバイス構成プロファイルの両方を設定する必要がある場合があります
  • **Windows Autopilot(Self-Deployingモード)**との組み合わせが特に相性よく、共有PCでも個人のセキュリティキーで自分のアカウントにアクセスできる環境が構築できます

設定の過程ではトライアンドエラーが発生する部分もありますが、一度構成できてしまえばユーザー体験は非常にシンプルで使いやすいものになります。パスワードレス化の第一歩として、FIDO2セキュリティキーはぜひ検討してみてください。