• 操作環境：
• OS：Windows 11
• Webブラウザー：Edge
• 使用プラン：Microsoft 365 Business Premium(試用版)
• セキュリティキー：Yubico セキュリティキー Yubikey 5 NFC

 

• FIDO2準拠セキュリティキーについて
• Entra管理C セキュリティキーによる認証有効化
• ユーザーPC 組織アカウントへのセキュリティキー登録
• ユーザーPC 組織リソースアクセス時のセキュリティキー使用
• Intune管理C セキュリティキーによるWindowsサインイン有効化
• ユーザーPC Windowsサインイン時のセキュリティキー使用
• おわりに

 

FIDO2準拠セキュリティキーについて

Microsoft Entra IDのパスワードレス認証の手段として、FIDO2準拠のセキュリティキーを使用できます。この例では、yubicoのセキュリティキー Yubikey 5 NFCをPCのUSB-Aポートに接続する形で使用してみます。

 

Entra管理C セキュリティキーによる認証有効化

公式記事に従い、組織のパスキーを有効化します。

 

WebブラウザーよりMicrosoft Entra管理センターにアクセスし、左メニューの[ID>保護>認証]方法を選択し、サブメニューの[ポリシー]を選択し、メソッドの[パスキー(FIDO2)]を選択します。

 

[有効化およびターゲット]タブの[有効にする]をオンにし、[保存]を選択します。
なお、この例では[すべてのユーザー]としていますが、ターゲットついて絞り込みの要件があれば適宜設定します。

 

[構成]タブの[構成証明の適用]を[はい]にし、[保存]を選択します。

 

ユーザーPC 組織アカウントへのセキュリティキー登録

セキュリティキーを使用するユーザーPCにおいて、組織アカウントの設定にアクセスし、セキュリティキーの登録を行います。
この例では、マイアプリ画面の右上のサインインアイコンから、[アカウントを表示]を選択します。

 

[セキュリティ情報]の[更新情報]を選択します。

 

[サインイン方法]の追加を選択します。

 

方法については、[セキュリティキー]を選択し、[追加]を選択します。
セキュリティキーの種類については、[USBデバイス]を選択します。

 

セキュリティキーをPCのUSB-Aポートに挿入し、[次へ]を選択します。
保存場所については、[セキュリティキー]を選択し、[次へ]を選択します。

 

セットアップ画面、続行画面ではそれぞれ[OK]を選択します。

 

このセキュリティキーのPINコードを設定し(確認のため二回入力)、[OK]を選択します。
画面の指示に従い、セキュリティキーの[y]と書かれた緑色の点滅箇所にタッチします。

 

サインインできるようになった旨のメッセージが表示されたら、[OK]を選択します。
このセキュリティキーの名前を適宜入力し、[次へ]を選択します。この後、画面が処理中のまま進まない場合は、右上の[×]印を選択し、さらにセキュリティ情報の画面を再読み込みします。

 

サインイン方法にセキュリティキーが追加されました。

 

ユーザーPC 組織リソースアクセス時のセキュリティキー使用

前の工程と同じユーザーPCでMicrosoft 365のサービスにアクセスし、セキュリティキーが使用できるか確認します。
画面のように認証を要求されたら、[代わりに顔、指紋、PIN、またはセキュリティキーを使用する]を選択します。
[セキュリティキー]を選択し、[次へ]を選択します。

 

前の工程で設定したセキュリティキーのPINコードを入力し、[OK]を選択します。
画面の指示に従い、セキュリティキーの[y]と書かれた緑色の点滅箇所にタッチします。
これで認証が通れば、サービスにアクセスできるようになります。

 

Intune管理C セキュリティキーによるWindowsサインイン有効化

これまでの設定により、セキュリティキーにより組織のリソースにアクセスできるようになりました。さらに、セキュリティキーを使ってWindows PCにサインインするための設定を追加します。

 

公式記事によるといくつか方法があります。この例ではクラウド単独型の環境を使用しているため、Intuneによる設定を行います。以前の記事でWindows Hello for Business(以降WHfBと表現)用の構成プロファイルを作成しているため、このプロファイルにセキュリティキーの有効化設定を追加する形で作業します。

 

Microsoft Intune管理センターにアクセスし、左メニューの[デバイス]を選択し、サブメニューの[デバイスの管理>構成]を選択し、既存のWHfBの設定を選択します。
既存の設定がない場合は、以前の記事を参考に、[作成>新しいポリシー]を選択します。

 

画面下部にある[構成設定]の[編集]を選択します。

 

[設定の追加]を選択し、設定ピッカーが表示されたら、[Windows Hello for Business]を選択し(見つけにくい場合は[Hello]等のキーワードで絞り込む)、[サインインにセキュリティキーを使用する]にチェックをつけます。

 

[サインインにセキュリティキーを使用する]を[有効]にし、[レビューと保存]を選択します。

 

ユーザーPC Windowsサインイン時のセキュリティキー使用

[サインイン オプション]を選択し、セキュリティキーのアイコンが表示されれば、使用できる状態になっています。
これを選択すると、セキュリティキーのPINコードを求められますので、工程3で設定した値を入力し、[Enter]キーを押します。

 

画面の指示に従い、セキュリティキーの[y]と書かれた緑色の点滅箇所にタッチします。
これで認証が通れば、Windowsにサインインできるようになります。

 

こちらは参考情報です。
Microsoft Entra管理センターの対象ユーザーのサインインログからも、セキュリティキーによるWindowsサインインの状況が確認できます。

• アプリケーション：Windows Sign In

 

おわりに

この記事で紹介したセキュリティキーを使った認証は、パスワードレス認証の一つになります。ネット上の記事に今後主流になるとよく記載されていますので、今後も動向に注視していきたいと思います。
今回使用したセキュリティキーがたまたまそうだったのか分かりませんが、この記事の最初の方で紹介したAmazonでの価格について、1-2年ほど前に入手した時から随分値上がりしていました。

 

 

当ブログ内の関連記事

elmgrn.hatenablog.com

elmgrn.hatenablog.com

elmgrn.hatenablog.com