スウェーデンの会社が製造したハードウェアセキュリティキーを使用可能ユビコにログインするローカルアカウントWindows 11/10の場合。同社は最近、Yubico の最初の安定バージョンをリリースしました。Windowsアプリケーションへのログイン。この記事では、インストールと設定方法を説明します。ユビキーWindows 11/10 PC で使用します。
ユビキーは、ワンタイム パスワード、公開キー暗号化と認証をサポートするハードウェア認証デバイスです。ユニバーサル セカンド ファクター (U2F)そしてFIDO2FIDO Alliance によって開発されたプロトコル。これにより、ユーザーはワンタイム パスワードを発行するか、デバイスによって生成された FIDO ベースの公開/秘密キーのペアを使用して、自分のアカウントに安全にログインできるようになります。 YubiKey を使用すると、ワンタイム パスワードをサポートしていないサイトで使用する静的パスワードを保存することもできます。フェイスブック従業員の認証情報に YubiKey を使用し、グーグル従業員とユーザーの両方をサポートします。一部のパスワード マネージャーは YubiKey をサポートしています。 Yubico は、YubiKey に似たデバイスである Security Key も製造していますが、公開鍵認証に重点を置いています。
YubiKey を使用すると、ユーザーは秘密鍵を外部に公開することなく、メッセージの署名、暗号化、復号化を行うことができます。この機能は、以前は Mac および Linux ユーザーのみが利用可能でした。
Windows 11/10 で YubiKey を設定/セットアップするには、次のものが必要です。
- YubiKey USB ハードウェア。
- Windows 用 Yubico ログイン ソフトウェア。
- YubiKey マネージャー ソフトウェア。
それらはすべて、ゆびこ.com彼らの下で製品タブ。また、YubiKey アプリは、Azure Active Directory (AAD) または Active Directory (AD) によって管理されるローカル Windows アカウントをサポートしていないことにも注意してください。マイクロソフトアカウント。
YubiKey ハードウェア認証デバイス
Yubico Login for Windows ソフトウェアをインストールする前に、ローカル アカウントの Windows ユーザー名とパスワードをメモしておいてください。ソフトウェアをインストールする人は、自分のアカウントの Windows ユーザー名とパスワードを持っている必要があります。これらがないと何も設定できず、アカウントにアクセスできません。 Windows 資格情報プロバイダーのデフォルトの動作では、最後のログインを記憶するため、ユーザー名を入力する必要はありません。
そのため、ユーザー名を覚えていない人も多いかもしれません。ただし、ツールをインストールして再起動すると、新しい Yubico 資格情報プロバイダーが読み込まれるため、管理者とエンドユーザーの両方が実際にユーザー名を入力する必要があります。これらの理由から、管理者だけでなく、Yubico Login for Windows 経由でアカウントを設定するすべての人は、管理者がツールをインストールして設定を終了する前に、ローカル アカウントの Windows ユーザー名とパスワードを使用してログインできることを確認する必要があります。 - ユーザーのアカウント。
また、Windows 用 Yubico ログインが設定されると、次のことにも注意する必要があります。
- いいえWindows パスワードのヒント
- パスワードをリセットする方法がない
- 前のユーザー/ログイン機能を記憶しない。
また、Windows 自動ログインは Yubico Login for Windows と互換性がありません。 Yubico Login for Windows 構成が有効になったときに、自動ログイン用にアカウントが設定されていたユーザーが元のパスワードを覚えていない場合、そのアカウントにはアクセスできなくなります。次の方法でこの問題に先制的に対処します。
- 自動ログインを無効にする前に、ユーザーに新しいパスワードを設定してもらいます。
- Yubico Login for Windows を使用してアカウントを設定する前に、すべてのユーザーに、ユーザー名と新しいパスワードを使用して自分のアカウントにアクセスできることを確認してもらいます。
管理者ソフトウェアをインストールするには権限が必要です。
YubiKey のインストール
まず、ユーザー名を確認します。 Yubico Login for Windows をインストールして再起動したら、ログインするにはパスワードに加えてこれを入力する必要があります。これを行うには、[スタート] メニューからコマンド プロンプトまたは PowerShell を開き、以下のコマンドを実行します。
whoami
次の形式になっている完全な出力をメモします。DESKTOP-1JJQRDF\jdoe、 どこジェイドーはユーザー名です。
- Yubico Login for Windows ソフトウェアを次からダウンロードします。ここ。
- ダウンロードをダブルクリックしてインストーラーを実行します。
- エンドユーザー使用許諾契約に同意します。
- インストール ウィザードで、宛先フォルダーの場所を指定するか、デフォルトの場所を受け入れます。
- ソフトウェアがインストールされているマシンを再起動します。再起動後、Yubico 資格情報プロバイダーは、YubiKey の入力を求めるログイン画面を表示します。
YubiKey はまだプロビジョニングされていないため、ユーザーを切り替えて、ローカル Windows アカウントのパスワードだけでなく、そのアカウントのユーザー名も入力する必要があります。必要に応じて、次のことを行う必要がある場合がありますMicrosoftアカウントをローカルアカウントに変更。
ログイン後、緑色のアイコンで「ログイン設定」を検索します。 (実際に「Yubico Login for Windows」と表示されている項目は単なるインストーラーであり、アプリケーションではありません。)
YubiKey の設定
ソフトウェアを設定するには管理者権限が必要です。
Yubico Login for Windows 用に設定できるのは、サポートされているアカウントのみです。構成ウィザードを起動しても、探しているアカウントが表示されない場合、そのアカウントはサポートされていないため、構成に使用できません。
構成プロセス中に、次のことが必要になります。
- 主キーとバックアップキー: 登録ごとに異なる YubiKey を使用します。バックアップキーを設定している場合、各ユーザーはプライマリキー用に 1 つの YubiKey を持ち、バックアップキー用に 2 つ目の YubiKey を持つ必要があります。
- リカバリーコード: リカバリ コードは、すべての YubiKey が失われた場合にユーザーを認証するための最後の手段のメカニズムです。リカバリ コードは、指定したユーザーに割り当てることができます。ただし、リカバリ コードは、アカウントのユーザー名とパスワードも使用できる場合にのみ使用できます。リカバリ コードを生成するオプションは、構成プロセス中に表示されます。
ステップ 1: Windows で始めるメニュー、選択ユビコ>ログイン設定。
ステップ 2: [ユーザー アカウント制御] ダイアログが表示されます。管理者以外のアカウントからこれを実行している場合は、ローカル管理者の資格情報の入力を求められます。ようこそページでは、Yubico ログイン構成プロビジョニング ウィザードが紹介されています。
ステップ 3: をクリックします。次。 Yubico Windows ログイン構成のデフォルト ページが表示されます。
ステップ 4: 設定可能な項目は次のとおりです。
スロット: チャレンジ/レスポンス シークレットが保存されるスロットを選択します。カスタマイズされていないすべての YubiKey には、スロット 1 に資格情報が事前に読み込まれているため、Windows 用 Yubico Login を使用して、他のアカウントへのログインにすでに使用されている YubiKey を設定している場合は、スロット 1 を上書きしないでください。
チャレンジ/レスポンスの秘密: この項目を使用すると、シークレットの構成方法と保存場所を指定できます。オプションは次のとおりです。
- 設定されている場合は既存のシークレットを使用し、設定されていない場合は生成します: キーの既存のシークレットが指定されたスロットで使用されます。デバイスに既存のシークレットがない場合、プロビジョニング プロセスによって新しいシークレットが生成されます。
- シークレットが現在構成されている場合でも、新しいランダムなシークレットを生成します: 新しいシークレットが生成されてスロットにプログラムされ、以前に構成されたシークレットが上書きされます。
- 手動でシークレットを入力:上級ユーザー向け: プロビジョニング プロセス中に、アプリケーションは HMAC-SHA1 シークレット (20 バイト – 16 進数でエンコードされた 40 文字) を手動で入力するように求めます。
リカバリーコードの生成: プロビジョニングされたユーザーごとに、新しいリカバリ コードが生成されます。このリカバリ コードにより、エンドユーザーは YubiKey を紛失した場合でもシステムにログインできるようになります。
注: ユーザーに 2 番目のキーをプロビジョニングするときにリカバリ コードを保存することを選択した場合、以前のリカバリ コードはすべて無効になり、新しいリカバリ コードのみが機能します。
ユーザーごとにバックアップデバイスを作成する: プロビジョニング プロセスで各ユーザーに 2 つのキー (プライマリ YubiKey とバックアップ YubiKey) を登録するには、このオプションを使用します。ユーザーにリカバリーコードを提供したくない場合は、各ユーザーにバックアップ YubiKey を提供することをお勧めします。詳細については、上記の「主キーとバックアップ キー」セクションを参照してください。
ステップ 5: をクリックします。次をクリックして、プロビジョニングするユーザーを選択します。のユーザーアカウントの選択ページ (Yubico Login for Windows でサポートされているローカル ユーザー アカウントがない場合、リストは空になります) が表示されます。
ステップ 6: ユーザー名の横にあるチェックボックスを選択して、Yubico Login for Windows の現在の実行中にプロビジョニングするユーザー アカウントを選択し、クリックします。次。のユーザーの構成ページが表示されます。
ステップ 7: 上記の [ユーザーの設定] フィールドに表示されているユーザー名は、現在 YubiKey が設定されているユーザーです。各ユーザー名が表示されると、そのユーザーを登録するために YubiKey を挿入するように求められます。
ステップ 8:デバイスを待つこのページは、挿入された YubiKey が検出されている間、およびページ上部の「ユーザーの構成」フィールドにユーザー名が入力されているユーザーに登録される前に表示されます。選択した場合ユーザーごとにバックアップデバイスを作成する「デフォルト」ページの「ユーザーの構成」フィールドには、どの YubiKey が登録されているかも表示されます。主要なまたはバックアップ。
ステップ 9: 手動で指定したシークレットを使用するようにプロビジョニング プロセスを設定している場合は、40 個の 16 進数のシークレットのフィールドが表示されます。シークレットを入力してクリックします次。
ステップ 10: [Programming Device] ページには、各 YubiKey のプログラミングの進行状況が表示されます。のデバイスの確認以下に示すページには、デバイスのシリアル番号 (利用可能な場合) や各ワンタイム パスワード (OTP) スロットの構成ステータスなど、プロビジョニング プロセスによって検出された YubiKey の詳細が表示されます。デフォルトとして設定した内容と、検出された YubiKey で可能な内容の間に矛盾がある場合は、警告シンボルが表示されます。問題がなければ、チェック マークが表示されます。ステータス ラインにエラー アイコンが表示されている場合は、エラーの説明と、それを修正するための手順が画面に表示されます。
ステップ 11: ユーザー アカウントのプログラミングが完了すると、対応する YubiKey がなければそのアカウントにアクセスできなくなります。構成したばかりの YubiKey を削除するように求められ、プロビジョニング プロセスは自動的に次のユーザー アカウントと YubiKey の組み合わせに進みます。
ステップ 12: 結局、指定されたユーザー アカウントの YubiKey がプロビジョニングされました。
- 「デフォルト」ページで「リカバリー・コードの生成」が選択されている場合は、「リカバリー・コード」ページが表示されます。
- [リカバリ コードの生成] が選択されていない場合、プロビジョニング プロセスは次のユーザー アカウントに自動的に続行されます。
- プロビジョニング プロセスは次のようになります。終了した最後のユーザーアカウントが完了した後。
リカバリコードは長い文字列です。 (エンドユーザーが数字の 1 を小文字の L と、0 を文字の O と間違えることによって引き起こされる問題を排除するために、リカバリ コードは Base32 でエンコードされます。Base32 では、似ているように見える英数字を同じであるかのように扱います。)
のリカバリーコード指定したユーザー アカウントのすべての YubiKey が設定されると、ページが表示されます。
ステップ 13: [リカバリ コード] ページで、選択したユーザーのリカバリ コードを生成して設定します。これが完了すると、コピーそして保存リカバリコードフィールドの右側にあるボタンが使用可能になります。
ステップ 14: リカバリ コードをコピーしてユーザーと共有されないように保存し、ユーザーが紛失した場合に備えて保管してください。
注記: プロセスのこの時点で必ずリカバリ コードを保存してください。次の画面に進むと、コードを取得することはできません。
ステップ 15: 次のユーザー アカウントに移動するにはユーザーの選択ページ、クリック次。最後のユーザーを構成すると、プロビジョニング プロセスによって次のメッセージが表示されます。終了したページ。
ステップ 16: 各ユーザーにリカバリ コードを与えます。エンドユーザーは、ログインできないときにアクセスできる安全な場所にリカバリ コードを保存する必要があります。
YubiKeyのユーザーエクスペリエンス
ローカル ユーザー アカウントが YubiKey を必要とするように設定されている場合、ユーザーはYubico 認証情報プロバイダーデフォルトの代わりにWindows 資格情報プロバイダー。ユーザーは YubiKey を挿入するように求められます。次に、Yubico ログイン画面が表示されます。ユーザーはユーザー名とパスワードを入力します。
注記: ログインするために YubiKey USB ハードウェアのボタンを押す必要はありません。場合によっては、ボタンを押すとログインが失敗することがあります。
エンドユーザーがログインするときは、システムの USB ポートに正しい YubiKey を挿入する必要があります。エンドユーザーが正しい YubiKey を挿入せずにユーザー名とパスワードを入力すると、認証は失敗し、ユーザーにエラー メッセージが表示されます。
エンド ユーザーのアカウントが Yubico Login for Windows 用に構成されており、回復コードが生成され、ユーザーが YubiKey を紛失した場合、回復コードを使用して認証できます。エンドユーザーは、ユーザー名、回復コード、およびパスワードを使用してコンピューターのロックを解除します。
新しい YubiKey が設定されるまで、エンドユーザーはログインするたびにリカバリ コードを入力する必要があります。
もしユビコログインfor Windows は YubiKey が挿入されたことを検出しません。おそらく、キーで OTP モードが有効になっていないか、YubiKey ではなく、このアプリケーションと互換性のないセキュリティ キーを挿入していることが原因です。を使用します。YubiKey マネージャーアプリケーションを使用して、プロビジョニングされるすべての YubiKey で OTP インターフェースが有効になっていることを確認します。
YubiKey を使用して Windows 11/10 にログインできますか?
はい、YubiKey を使用して Windows 11/10 PC にログインできます。ただし、コンピュータで YubiKey を使用するには、ローカル アカウントが必要です。コンピュータで使用するときは、すべてのリモート ログイン方法が無効になっていることを確認する必要があります。
Windows で YubiKey ログインを設定するにはどうすればよいですか?
Windows で YubiKey ログインを設定するには、YubiKey USB ハードウェアまたは物理デバイス、ログイン ソフトウェア、YubiKey Manager ソフトウェアの 3 つが必要です。最初にソフトウェアのインストールプロセスを実行する必要があります。次に、前述の手順に従って作業を完了します。
重要: Windows でサポートされている別のサインイン方法は影響を受けません。したがって、「バックドア」を開いたままにしないように、Yubico Login for Windows で保護しているユーザー アカウントの追加のローカルおよびリモート ログイン方法を制限する必要があります。
YubiKey を試してみた場合は、以下のコメントセクションでその経験をお知らせください。
![Word の回復可能な署名エラー [修正]](https://rele.work/tech/hayato/wp-content/uploads/2024/11/Recoverable-Signature-error-in-Microsoft-Word.jpg)