今回の記事は、Windows 10 1709から実装された Windows Helloを使用した多要素認証によるロック解除についての内容です。この制御は、グループポリシー管理用テンプレートもしくは、RSATを使用して構成していきます。

 

Windows Helloとは、指紋や顔、虹彩などの個人を特定可能な生体情報を使用して認証を行う機能です。この生体認証を利用したサインインですが、単純にインカメラがついていれば利用できるというものではありません。Hello 対応のデバイス (センサー) が搭載されていないと利用はできません。また、Windows Helloはドメイン環境の場合、既定で利用できません。(1607以降)　Windows Helloを利用する為には、グループポリシーにて以下設定を有効化する必要があります。

 

 

■事前準備

 

方法１

グループポリシー管理用テンプレート  1803をドメインのセントラルストアに展開します。（本記事内の作業を行う前に、事前にドメインのセントラルストアに以下テンプレートを配置してください。この管理用テンプレートは本記事執筆時点での最新の管理用テンプレートです。）

 

Administrative Templates (.admx) for Windows 10 April 2018 Update (1803) – 日本語

https://www.microsoft.com/ja-JP/download/details.aspx?id=56880

 

 

方法２

RSATをWindows10  (1709以降) にインストールします。RSATを使用して、WIndows10を実行しているPCからグループポリシーを構成します。

Windows 10 用のリモート サーバー管理ツール

https://www.microsoft.com/ja-JP/download/details.aspx?id=45520

 

 

■Windows Helloの有効化

 

■グループポリシーの設定

[コンピューターの構成] – [ポリシー] – [管理用テンプレート] – [システム] – [ログオン] – [便利な PIN を使用したサインインをオンにする]

有効

 

このポリシー設定では、ドメイン ユーザーが便利な PIN を使ってサインインできるかどうかを制御できます。このポリシー設定を有効にした場合、ドメイン ユーザーは便利な PIN を設定し、これを使ってサインインできるようになります。このポリシー設定を無効にした場合、または構成しなかった場合、ドメイン ユーザーは便利な PIN を設定および使用できません。

注意: この機能を使用した場合、ユーザーのドメイン パスワードはシステム資格情報コンテナーにキャッシュされます。

 

 

 

■PCでのHello セットアップ

 

1. 設定アプリから、[アカウント] – [サインインオプション] -[PIN] – [追加] を選択します。

 

 

 

2. パスワードを要求されるので、入力します。

 

 

3. PINを設定し、[OK]を入力する事で、PINの設定は完了です。

 

 

4.　次に例として顔情報で認証可能なようにHelloをセットアップしていきます。設定アプリから、[アカウント] – [サインインオプション] – [Windows Hello] – [顔認証] -[セットアップ]を選択します。

 

 

5. Windows Helloへようこそ画面で[開始する]を選択します。

 

 

6. PINを入力します。

 

 

7. 指示に従って、Helloをセットアップします。(以下の人物のシルエット部分にあなたの顔が表示されます。）セットアップが正常に完了したら、Helloを使用した生体認証でのサインインを実行可能です。続いて多要素認証のセットアップを開始します。

 

 

 

 

 

■Windows Helloを使用した多要素認証の設定

 

 

現在、Windows は、デバイスのロックを解除する際、1 つの資格情報 (パスワード、PIN、指紋、顔など) の使用のみをサポートしています。 そのため、それらのいずれかの資格情報が侵害 (のぞき見) された場合、攻撃者はシステムにアクセスできます。Windows 10 では、Windows Hello を拡張することにより、多要素のデバイスのロック解除を提供します。管理者は、デバイスのロックを解除するために、要素と信頼された信号の組み合わせを要求するように Windows 10 を構成できます。

 

Windows Helloを設定する場合、同時にPINを設定する必要があるとお伝えしましたが、このPINの認証で実際には顔認証がなくてもサインイン可能な状態になります。PINはパスワードと異なり、デバイス内にのみ保存されます。つまり、他のデバイスで同じPINを使用してサインインをする事はできません。しかし、あまりにも単純なPINを構成した場合にも安全性は高いのか、ソーシャル・エンジニアリングの観点からは個人的に少し疑問です。なので、今回はWindows Helloに対して、PINだけでのサインインを不可能なように構成する為、多要素認証を構成していきます。このセットアップが完了すると、ユーザーは指定したいずれかの(顔認証+PINなど）方法を組み合わせた情報でサインイン可能になります。

 

 

 

 

■グループポリシーの設定

 

以下ポリシーを有効化します。設定名は Windows Hello for Business ですが、通常の Windows Hello (WorkGroup, ドメイン環境) でも動作し、設定後は再起動などは不要で、[スタート] + L の画面ロックをすることですぐに設定した内容での動作を確認できます。このポリシー設定を有効にすると、ユーザーは各一覧から 1 要素を使用しないとロックを解除できません。

 

[コンピューターの構成] – [ポリシー] – [管理用テンプレート] – [Windows コンポーネント] – [Windows Hello for Business] – [デバイスのロック解除要素を構成する]

有効

 

規定値で使用した場合、以下のような設定となります。

 

第 1 のロック解除要素の資格情報プロバイダーの既定の資格情報プロバイダー

PIN
指紋
顔認識

第 2 のロック解除要素の資格情報プロバイダーの既定の資格情報プロバイダー

信頼された信号
PIN

 

※ここで設定をする第一と第二の資格情報プロバイダーの順番に、関係はあまりありません。どちらの認証から開始しても、大丈夫です。

 

既定値の場合、以下のような認証が可能です。

例：PIN＋顔認証

指紋+顔認証

PIN+指紋認証

 

 

既定値以外の認証方法を設定したい場合、グループポリシーに以下のGUIDを設定します。（PINは必ずどちらかに設定をする必要があります。）

 

 

 

資格情報プロバイダー GUID

 

PIN {D6886603-9D2F-4EB2-B667-1971041FA96B}

指紋 {BEC09223-B018-416D-A0AC-523971B639F5}

顔認識 {8AF662BF-65A0-4D0A-A540-A338A999D36F}

信頼された信号
(スマートフォンの近接通信、ネットワークの場所) {27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}

 

※多要素のロック解除では、サード パーティ製の資格情報プロバイダーや、上記の表に示されていない資格情報プロバイダーはサポートされません。

※PIN は少なくとも 1 つのグループに含まれている必要があります。

※信頼された信号は、別の資格情報プロバイダーと組み合わせる必要があります。

※同じロック解除要素を使用して、両方のカテゴリを満たすことはできません。 そのため、両方のカテゴリにいずれかの資格情報プロバイダーを含める場合、いずれかのカテゴリを満たすために使用できますが、両方のカテゴリを満たすことはできません。

 

 

 

 

以下は、本機能を使用した場合の制限事項です。詳細は引用元の本ページ下部に記載のMicrosoft サポートチームのブログを参照してください、

 

生体認証のロック
生体認証に 3 回失敗した場合には、使用した生体認証(顔認証 or 指紋認証) にロックがかかり PIN を入力しないと解除されません。多要素ロックの設定をしている場合には、追加要素の認証が成功してデスクトップ画面が表示されないと、生体認証が再度認識されません。

例えば、「PIN/顔」＋「PIN/指紋」と設定した際に、指紋認証に 3 回間違えてロックがかかり、PIN にて解除した場合には、PIN にて認証したことになりますので、「顔」もしくは「指紋」にて追加の要素で認証する必要がありますが、「指紋」はロックがかかっているため、「顔」を使用して認証する必要があります。

 

パスワード
サインイン オプションとしてパスワードのアイコンは必ず表示されますので、多要素のロック解除の設定をした場合でもパスワードのアイコンをクリックし、パスワードを入力することで 1 要素のみでロックを解除することができます。

 

 

引用元：Windows Hello における多要素のロック解除について

https://blogs.technet.microsoft.com/jpntsblog/2018/09/05/windowshello_multifactorunlock/

 

 

※ユーザーが必要な要素を持っていない場合は、デバイスをロック解除することができないようにするために、サード パーティ製の資格情報プロバイダーをすべて削除する必要があります。 フォールバック オプションとしてパスワードまたはスマート カードを使用できます (どちらも必要に応じて無効にすることができます)。

 

 

 

■PCでのロック解除イメージ

 

1.顔認証でのサインインを構成している場合、以下のように [ユーザーを探しています] と表示され、Windows Helloの顔認証が実行されます。

 

 

 

2.通常であれば、顔認証が成功すればサインインは可能な状態になりますが、多要素認証を構成している場合、以下のように [組織にはさらに1ステップ必要です] と表示され、２番目の方法での認証を求められます。ここでグループポリシーで指定したいずれかの方法で認証をする事でデバイスへのサインインが完了します。

 

 

 

 

■Trouble Shooting

 

Windows Hello 多要素のロック解除は、アプリケーションとサービス ログ\Microsoft\Windows\HelloForBusiness の下のイベント ログに、Device Unlock (デバイスのロック解除) というカテゴリ名でイベントを書き込みます。もし認証が成功しない場合には、このログを確認してみるとよいでしょう。

 

イベント ID 詳細

3520 ロック解除の試行を開始しました
5520 ロック解除ポリシーが構成されていません
6520 警告イベント
7520 エラー イベント
8520 成功イベント

 

 

✔ 参考情報

Windows Helloのシステム要件

指紋リーダーの要件
大面積センサー (センサーマトリックスが 160 x 160 ピクセル以上、DPI が 500 以上)
• FAR < 0.001%
• FRR (なりすまし対策や生体検知のシステムがない場合) < 5%
• 実際の有効な FRR (なりすまし対策や生体検知のシステムがある場合) <10%
• なりすまし対策の手段は要件の 1 つです
• なりすまし対策の手段を構成することをお勧めします

小面積センサー (センサー マトリックスが 160 x 160 ピクセル未満、DPI が 500 以上)
• FAR < 0.002%
• FRR (なりすまし対策や生体検知のシステムがない場合) < 5%
• 実際の有効な FRR (なりすまし対策や生体検知のシステムがある場合) < 10%
• なりすまし対策の手段は要件の 1 つです
• なりすまし対策の手段を構成することをお勧めします

スワイプ センサー
• FAR < 0.002%
• FRR (なりすまし対策や生体検知のシステムがない場合) < 5%
• 実際の有効な FRR (なりすまし対策や生体検知のシステムがある場合) < 10%
• なりすまし対策の手段は要件の 1 つです
• なりすまし対策の手段を構成することをお勧めします

 

顔特徴認識の要件
• FAR < 0.001%
• FRR (なりすまし対策や生体検知のシステムがない場合) < 5%
• 実際の有効な FRR (なりすまし対策や生体検知のシステムがある場合) < 10%
• なりすまし対策の手段は要件の 1 つです
• なりすまし対策の手段を構成することをお勧めします

 

虹彩特徴認識の要件
• FAR < 0.001%
• FRR (なりすまし対策や生体検知のシステムがない場合) < 5%
• 実際の有効な FRR (なりすまし対策や生体検知のシステムがある場合) < 10%
• なりすまし対策の手段は要件の 1 つです
なりすまし対策の手段を構成することをお勧めします