マイクロソフトパスポートかなり長い間存在しています。これは、Outlook.com、OneDrive、Messenger (存続時)、People、連絡先などのすべての Microsoft 製品への単一ポイント エントリとして機能します。でWindows 10, Microsoft Passport は、登録されたデバイスと Windows Hello (生体認証) または PIN で構成される強力な 2 要素認証でパスワードを置き換えます。この投稿では、Microsoft が Windows 10 で Microsoft Passport をどのように使用する予定であるかについて概要を説明します。
Windows 10 の Microsoft パスポートとは何ですか
Microsoft Passport は、Windows 10 に組み込まれているキーベースの認証システムです。Microsoft Passport を使用するには、ユーザーは Windows 10 デバイスへのログインに使用するジェスチャを作成します。
大まかに言えば、Microsoft Passport は 2 つのサービスで構成されています。1 つはメンバーが 1 つの名前とパスワードを使用してログインできるようにするシングル サインイン サービス、もう 1 つはメンバーが迅速で便利なオンライン購入を行うために使用できる Wallet サービスです。
アップデート: Microsoft Passport は Windows Live ID にブランド変更され、現在はマイクロソフトアカウント。
Microsoft Passport の 2 要素認証
Microsoft は、サイバー犯罪者がインターネット上での活動を活発化させた数年前に、2 要素認証を導入しました。しかし、現状では二要素認証を使用するといくつかの問題があります。
まずパスワードを入力し、次に入力する必要がある PIN を受け取ります。電話の場合、特に電話の RAM が少ない場合、これが問題になります。これに加えて、現在のシナリオでは、2 要素認証を使用する場合は、使用するアプリごとに異なるパスワードを作成する必要があります。 Microsoft Outlook 電子メール クライアントの「アプリ パスワード」を作成し、Web ブラウザ経由でログインするときに使用する実際の Microsoft パスワードの代わりにそれを入力する必要もあります。
これらすべてが変更されるように設定されていますWindows 10 の Microsoft パスポート。現時点では、2 要素認証はオプションです。 Microsoft は、すべてのユーザーに 2 要素認証の使用を義務化します。今ほど厳しくはならないでしょう。キーは 2 つあり、1 つは Microsoft のもの、もう 1 つはユーザーのものになります。ユーザーは、保護された Microsoft アプリにアクセスするためにユーザー キーのみが必要です。
Microsoft の主キーは証明書またはファームウェアです。つまり、ログイン ボックスにその情報を入力する必要はありません。次に、PIN を取得します。この PIN により、Microsoft 製品への扉が開かれます。
ウィンドウズハロー
PIN についてはすでに説明しました。さらなる保護を望むユーザーは次のオプションを選択できますウィンドウズハローこれは、保護されたリソースにアクセスするためにサインイン画面に描画する、ある種のジェスチャです。
Windows Hello は、Windows 10 に組み込まれた新しい生体認証サインイン システムに Microsoft が与えた名前です。Windows Hello はオペレーティング システムに直接組み込まれているため、顔または指紋を識別してユーザーのデバイスのロックを解除できます。認証は、ユーザーがデバイス固有の Microsoft Passport 資格情報にアクセスするために自分の一意の生体認証 ID を入力するときに行われます。つまり、デバイスを盗んだ攻撃者は、PIN を持っていない限り、デバイスにログオンできません。 Windows の安全な資格情報ストアは、デバイス上の生体認証データを保護します。 TechNet によると、Windows Hello を使用してデバイスのロックを解除すると、承認されたユーザーは Windows エクスペリエンス、アプリ、データ、Web サイト、サービスのすべてにアクセスできるようになります。
現在の携帯電話の中には、ロック画面に特定の種類のジェスチャを採用しているものがあります。 Windows Hello が現在のロック画面とどのように異なるかはまだわかりませんが、Microsoft は、Windows Hello がロック画面での現在のジェスチャよりも優れており、セキュリティが強化されると言っています。 TechNet によると、ジェスチャは 2 要素認証の最初のステップ、つまり Windows がユーザーに割り当てた証明書と照合されます。
初回は証明書を取得してから PIN または Windows Hello を設定する必要があるため、時間がかかります。全体のセットアップが完了すると、今後は PIN または選択したジェスチャーを入力するだけで Microsoft 製品にアクセスできるようになります。したがって、SMS で PIN が届くのを待つ必要はありません。ジェスチャーを描くだけで完了です。
Microsoft パスポートの前提条件
企業で Microsoft Passport を使用するには、前提条件を満たしていることを確認する必要があります。
| Microsoftパスポートモード | Azure AD | オンプレミスの Active Directory (AD) | Azure AD/AD ハイブリッド |
|---|---|---|---|
| キーベースの認証 | Azure AD サブスクリプション | Active Directory フェデレーション サービス (AD FS) (Windows 10)オンサイトのいくつかの Windows 10 ドメイン コントローラーMicrosoft System Center 2012 R2 Configuration Manager SP2 | Azure AD サブスクリプションAzure AD Connectオンサイトのいくつかの Windows 10 ドメイン コントローラー構成マネージャー SP2 |
| 証明書ベースの認証 | Azure AD サブスクリプションIntune または Microsoft 以外のモバイル デバイス管理 (MDM) ソリューションPKI インフラストラクチャ | ADFS (Windows 10)Active Directory ドメイン サービス (AD DS) Windows 10 スキーマPKI インフラストラクチャConfiguration Manager SP2、Intune、または Microsoft 以外の MDM ソリューション | Azure AD サブスクリプションPKI インフラストラクチャConfiguration Manager SP2、Intune、または Microsoft 以外の MDM ソリューション |
Windows 10 での Microsoft Passport の仕組み
前述したように、Microsoft Passport はユーザー データを安全に保つための証明書 (非対称キー ペア) に基づいています。 ID プロバイダー (Microsoft アカウント) は、登録プロセス中に公開キーを作成し、ユーザーがログインしようとするたびにそれを識別します。 ファームウェアが証明書の代わりに使用される場合は、証明書が一致する必要があります。そのようなファームウェアが存在する必要があります。また、ファームウェアに暗号化して保存されたキーは、登録プロセス中に生成されたキーと一致する必要があります。
ここが難しい部分です。証明書は、特にハードウェアベースの証明書の場合、デバイス上にローカルに保存されるため、デバイス間で機能しません。サーバーにも送信されません。したがって、ユーザーは各デバイスで個別に登録プロセスを実行する必要がある可能性があります。ただし、公開キー (PIN またはジェスチャ) はさまざまなデバイスで使用できるため、ユーザーはさまざまな PIN やジェスチャを覚える必要がなくなり、作業が容易になります。
Windows 10 のこの新機能は、ユーザーの利便性とセキュリティの向上に確実につながると全員が述べています。
