背景
- WHfBを導入している環境での導入検討。
- 良質な記事があるが自分向けに要点のみ記載
参考記事
Windows Hello for Business の 動的ロック と 多要素ロック解除 を試す - Qiita
はじめに 動的ロック と 多要素ロック解除は、Windows Hello for Business(以後 WHfB と表記)を構成することで利用可能になる機能です。 動的ロック と 多要素ロック解除 は、動作が目に見えて判る機能なので、効果...
qiita.com
上記がめちゃくちゃわかりやすい。
多要素ロック解除
信頼されたシグナルを使用して Windows Hello を拡張して、Windows Hello for Business の多要素ロック解除を構成する方法について説明します。
learn.microsoft.com
このユーザーエクスペリエンスの動画をまず見ると、最終的な効果が直感的にわかりやすい。
結論
- 多要素ロック解除
- WHfBでさらに認証を強化するもの(顔+指紋+信頼された信号とか)
- 信頼された信号、が聞き覚えないが、PCースマホのBluetoothペアリング状態とかが使える。
- WiFiとの接続状態も使える。
- 顔で認証OKでもその人のスマホがPCの近くにない=ロックされたままとできる。
- Bluetooth・WiFi以外にもクライアントのIP設定なども使えるので、クライアントの環境にあわせて適切なものを選ぶ(逆に言うといくつかから選ぶことができる)
- 信頼された信号、が聞き覚えないが、PCースマホのBluetoothペアリング状態とかが使える。
- ActiveDirectoryやIntuneで設定はクライアント端末に配布できる。
- WHfBでさらに認証を強化するもの(顔+指紋+信頼された信号とか)
- 動的ロック
- Windowsのロック機能。
- Windowsの設定画面に存在。
- 参考
- ActiveDirectoryやIntuneで設定はクライアント端末に配布できる。
- かけ合わせで利用することで、WHfBをよりセキュアに使える。
- セキュリティ要件がシビアなお客様向け。
信頼されたシグナル (特にTrustedRootCA)
- 信頼されたシグナルは上記に記載したが、いくつかの手段を選択できる。
- Wifiを選ぶことができ、WiFiの接続状態で多要素ロック解除の1手段とすることができる。
- 会社の用意したWiFiに接続しているという条件を加えることができ、よりセキュアになる。
- 多要素ロック解除の構成で上記を構成できるが、WiFiの項目でTrustedRootCAを指定できる。
- これはサムプリントの値になる。
- どこで設定がなされるかいろいろ見てみたが、クライアントに証明書をインポートしたときに、同時に設定されるものだと思われる。
- 具体的には下記手順で確認できるもの。
- Windowsでファイル名を指定して実行 certmgr.msc を実行。
- 個人>証明書を選択
- いくつか証明書が出てくるので一つ選んでクリック。
- 証明書の詳細タブを開く。拇印にハッシュ値が設定されている。
- 上記がその正体だと思われる。
- 具体的には下記手順で確認できるもの。
コメント