パスワードレス サインイン
パスワードはデジタル セキュリティの基本的な部分ですが、多くの場合、不便でサイバー攻撃に対して脆弱です。 Windows 11を使用すると、ユーザーはより安全で使いやすい代替手段を提供するパスワードレス保護を利用できます。 セキュリティで保護された承認プロセスの後、資格情報はハードウェアとソフトウェアのセキュリティの複数のレイヤーによって保護され、ユーザーはアプリやクラウド サービスにシームレスでパスワードレスでアクセスできます。
Windows Hello
パスワードが弱い、盗まれた、忘れられることがよくあります。 組織は、パスワードレス サインインに向けて移行し、侵害のリスクを軽減し、パスワード管理のコストを削減し、ユーザーと顧客の生産性と満足度を向上させます。 Microsoft は、Windows のセキュリティと ID 保護の基礎となるWindows Helloを使用して、組織が安全でパスワードレスの未来に向けて移行できるように取り組んでいます。
Windows Helloは、生体認証または PIN 検証を使用してパスワードレス サインインを有効にでき、FIDO2 パスワードレス業界標準の組み込みサポートを提供します。 その結果、認証用のセキュリティ キーのような外部ハードウェアを持ち歩く必要がなくなりました。
安全で便利なサインイン エクスペリエンスでは、信頼されたプラットフォーム モジュール (TPM) によってセキュリティで保護された顔認識や指紋認識などの PIN または生体認証データに基づいて、パスワードをより強力な認証モデルに拡張または置き換えることができます。 ステップ バイ ステップ ガイダンスを使用すると、セットアップが簡単になります。
TPM でプロビジョニングされた非対称キーを使用Windows Hello、ユーザーの資格情報をデバイスにバインドすることで認証を保護します。 Windows Helloは、PIN または生体認証の一致に基づいてユーザーを検証し、TPM でそのユーザーにバインドされた暗号化キーの使用のみを許可します。
PIN と生体認証データはデバイス上に残り、外部に保存またはアクセスすることはできません。 デバイスに物理的にアクセスしないとデータにアクセスできないため、資格情報は再生攻撃、フィッシング、なりすまし、パスワードの再利用や漏洩から保護されます。
Windows Helloは、FIDO2 または WebAuthn 標準を実装する Microsoft アカウント (MSA)、ID プロバイダー サービス、または証明書利用者に対してユーザーを認証できます。
詳細情報
Windows Hello PIN
デバイスへの物理的なアクセス権を持つユーザーのみが入力できるWindows Hello PIN は、強力な多要素認証に使用できます。 PIN は TPM によって保護され、生体認証データと同様にデバイスから離れることはありません。 ユーザーが PIN を入力すると、認証キーがロック解除され、認証サーバーに送信された要求に署名するために使用されます。
TPM は、紛失または盗難にあったデバイスに対する PIN ブルートフォース攻撃などの脅威から保護します。 誤った推測が多すぎると、デバイスがロックされます。 IT 管理者は、複雑さ、長さ、有効期限の要件など、PIN のセキュリティ ポリシーを設定できます。
Windows 11 バージョン 24H2 の新機能
デバイスに組み込みの生体認証がない場合、Windows Helloは既定で仮想化ベースのセキュリティ (VBS) を使用して資格情報を分離するように強化されています。 この追加された保護レイヤーは、管理者レベルの攻撃から保護するのに役立ちます。 PIN を使用してサインインする場合でも、資格情報はセキュリティで保護されたコンテナーに格納されるため、生体認証センサーが組み込まれているか、または組み込まれているデバイスの保護が確保されます。
Windows Hello生体認証
Windows Hello生体認証サインインにより、迅速かつ便利なサインイン エクスペリエンスにより、セキュリティと生産性の両方が向上します。 PIN を入力する必要はありません。簡単で楽しいサインインのために生体認証データを使用するだけです。
指紋や顔認識カメラなどの生体認証ハードウェアをサポートする Windows デバイスは、Windows Helloと直接統合され、Windows クライアント リソースやサービスにアクセスできるようになります。 顔と指紋の両方の生体認証リーダーは、Windows Hello生体認証の要件に準拠している必要があります。 Windows Hello顔認識は、登録時に使用される信頼できるカメラからのみ認証するように設計されています。
登録後に周辺機器カメラがデバイスに接続されている場合は、内部カメラでサインインすることで検証された顔認証に使用できます。 セキュリティを強化するために、外部カメラを無効にして、顔認識Windows Hello使用できます。
詳細情報
Windows プレゼンス センシング
Windows プレゼンス センシング[9] は 、ハイブリッド ワーカーに対するデータ セキュリティ保護の別の層を提供します。 Windows 11デバイスは、ユーザーのプレゼンスにインテリジェントに適応して、自宅、オフィス、パブリック環境のいずれで作業している場合でも、セキュリティで保護され、生産性を維持するのに役立ちます。
Windows プレゼンス センシングは、プレゼンス検出センサーとWindows Hello顔認識を組み合わせて、ハンズフリーでユーザーに署名し、ユーザーが離れたときにデバイスを自動的にロックします。 アダプティブ調光では、ユーザーがプレゼンス センサーを備えた互換性のあるデバイスを離れると、PC は画面を暗くします。 また、すぐに使えるエクスペリエンスを簡単に有効にし、[設定] の新しいリンクを使用して、プレゼンス センサーをデバイスで簡単に構成し、プレゼンス センサー機能を見つけるのに役立ちます。 デバイスの製造元は、プレゼンス センサーの拡張機能をカスタマイズして構築できます。
プライバシーは常に重要であり、これまで以上に重要です。 お客様は、より透明性を高め、情報の使用を制御したいと考えています。 新しいアプリのプライバシー設定を使用すると、ユーザーはプレゼンス センサー情報へのアクセスを許可またはブロックできます。 ユーザーは、初期Windows 11セットアップ中にこれらの設定を決定できます。
ユーザーは、より詳細な設定を利用して、ウェイクオンアプローチ、ロックオン休暇、アダプティブ調光などの差別化されたプレゼンスセンシング機能を簡単に有効または無効にすることもできます。 また、サード パーティ製アプリケーションのプレゼンス センシング用の新しい API を使用して開発者をサポートしています。 サード パーティ製アプリケーションは、プレゼンス センサーを持つデバイス上のユーザー プレゼンス情報にアクセスできるようになりました。
詳細情報
Windows Hello for Business
Windows Hello for Business Windows Helloを拡張して、organizationの Active Directory アカウントとMicrosoft Entra ID アカウントを操作できるようにします。 OneDrive、職場のメール、その他のビジネス アプリなどの職場または学校のリソースへのシングル サインオン アクセスを提供します。 Windows Hello for Businessでは、IT 管理者は、職場または学校のリソースに接続するデバイスの PIN やその他のサインイン要件を管理することもできます。
Windows Hello for Businessがプロビジョニングされた後、ユーザーは PIN、顔、指紋を使用して資格情報のロックを解除し、Windows デバイスにサインインできます。
プロビジョニング方法は次のとおりです。
- ユーザー名またはパスワードを入力せずにユーザーがMicrosoft Entra IDを認証するためのシームレスな方法を提供するパスキー (プレビュー)
- 一時的なアクセス パス (TAP)、Microsoft Entra IDを通じて発行された強力な認証要件を持つ時間制限付きパスコード
- Microsoft Authenticator アプリを含む、Microsoft Entra IDを使用した既存の多要素認証
Windows Hello for Businessは、従来のユーザー名とパスワードをセキュリティ キーまたは証明書と PIN または生体認証データの組み合わせに置き換えることで、セキュリティを強化します。 このセットアップにより、資格情報がユーザー アカウントに安全にマップされます。
Windows Hello for Businessにはさまざまなデプロイ モデルが用意されており、さまざまな組織の多様なニーズを柔軟に満たすことができます。 これらの中で、 ハイブリッド クラウド Kerberos 信頼 モデルが推奨され、ハイブリッド環境で動作する組織にとって最も簡単と見なされます。
詳細情報
暗証番号 (PIN) のリセット
Microsoft PIN リセット サービスを使用すると、ユーザーは再登録を必要とせずに、忘れたWindows Hello PIN をリセットできます。 Microsoft Entra ID テナントにサービスを登録した後、グループ ポリシーまたは Microsoft Intune[4]のようなデバイス管理ソリューションを使用して、Windows デバイスで機能を有効にする必要があります。
ユーザーは、Windows ロック画面または [設定] のサインイン オプションから PIN のリセットを開始できます。 このプロセスには、PIN をリセットするための多要素認証の認証と完了が含まれます。
詳細情報
多要素ロック解除
追加のサインイン セキュリティ層が必要な組織の場合、多要素ロック解除を使用すると、IT 管理者は、サインインに 2 つの一意の信頼されたシグナルの組み合わせを必要とするように Windows を構成できます。 信頼できる信号の例には、PIN、Bluetooth、IP 構成、または Wi-Fi と組み合わせた PIN または生体認証データ (顔または指紋) が含まれます。
多要素ロック解除は、インフォメーション ワーカーが資格情報を共有できないようにする必要がある組織や、2 要素認証ポリシーの規制要件に準拠する必要がある組織に役立ちます。
詳細情報
Windows パスワードレス エクスペリエンス
Windows Hello for Business完全なパスワードレス エクスペリエンスがサポートされるようになりました。
IT 管理者は、参加しているコンピューター Microsoft Entra IDポリシーを構成できるため、ユーザーは会社のリソースにアクセスするときにパスワードを入力するオプションが表示されなくなります。 ポリシーが構成されると、デバイスのロック解除とセッション内認証の両方のシナリオで、Windows ユーザー エクスペリエンスからパスワードが削除されます。 ただし、パスワードは ID ディレクトリから削除されていません。 ユーザーは、Windows Hello for Businessや FIDO2 セキュリティ キーなどの強力でフィッシングに耐性のある所有ベースの資格情報を使用して、主要な認証シナリオを進める必要があります。 必要に応じて、ユーザーは Microsoft PIN リセット サービスや Web サインインなどのパスワードレス回復メカニズムを使用できます。
ユーザーはMicrosoft Entra IDで直接認証を行い、オンプレミスアプリケーションやその他のリソースへのアクセスを高速化します。
詳細情報
拡張サインイン セキュリティ (ESS)
Windows Helloでは、特殊なハードウェアおよびソフトウェア コンポーネントを使用して生体認証サインインのセキュリティ バーをさらに高める拡張サインイン セキュリティがサポートされています。
拡張サインイン セキュリティ生体認証では、仮想化ベースのセキュリティ (VBS) と TPM を使用して、ユーザー認証プロセスとデータを分離し、情報の伝達経路をセキュリティで保護します。
これらの特殊なコンポーネントは、生体認証サンプルの挿入、再生、改ざんを含む一種の攻撃から保護します。 たとえば、指紋リーダーは、キー ネゴシエーションと Microsoft が発行した証明書を使用してユーザー認証データを保護し、安全に格納するセキュア デバイス接続プロトコルを実装する必要があります。 顔認識の場合、セキュア デバイス (SDEV) テーブルやトラストレットを使用したプロセス分離などのコンポーネントは、より多くの攻撃クラスを防ぐのに役立ちます。
強化されたサインイン セキュリティは、製造プロセス中にデバイスの製造元によって構成され、セキュリティで保護されたコア PC で最も一般的にサポートされます。 顔認識の場合、拡張サインイン セキュリティは、特定のシリコンとカメラの組み合わせ (特定のデバイス製造元とチェック) によってサポートされます。 指紋認証は、すべてのプロセッサの種類で使用できます。 サポートの詳細については、特定の OEM にお問い合わせください。
詳細情報
FIDO2
FAST Identity Online の業界標準である FIDO Alliance は、パスワードへの依存を減らす認証テクノロジと標準を促進するために設立されました。 FIDO Alliance と World Wide Web Consortium (W3C) は連携して、クライアントから Authenticator Protocol (CTAP2) と Web Authentication (WebAuthn) 仕様を定義しました。 これらの仕様は、強力でフィッシングに強く、ユーザー フレンドリで、プライバシーを維持する認証を Web とアプリ全体で提供するための業界標準です。 FIDO の標準と認定は、企業、政府、消費者市場全体でセキュリティで保護された認証ソリューションを作成するための主要な標準として認識されつつある。
Windows 11は、認証に外部 FIDO2 セキュリティ キーを使用することもできます。また、WINDOWS HELLOとWindows Hello for Businessに加えて、FIDO2 認定のパスワードレス ソリューションでもあります。 その結果、Windows 11は、多くの一般的な ID 管理サービスの FIDO 認証システムとして使用できます。
パスキー
Windows 11は、ユーザーがパスワードをパスキーに置き換える権限を与えることで、フィッシング攻撃によって盗まれたパスワードを悪用するハッカーにとってはるかに困難になります。 パスキーは、セキュリティで保護されたサインインのクロスプラットフォームの未来です。 Microsoft やその他のテクノロジ リーダーは、プラットフォームとサービス全体でパスキーをサポートしています。
パスキーは、デバイスに安全に格納される、一意の、取り消し可能な暗号化シークレットです。 ユーザー名とパスワードを使用して Web サイトまたはアプリケーションにサインインする代わりに、Windows 11ユーザーは、Windows Hello、サードパーティのパスキー プロバイダー、外部 FIDO2 セキュリティ キー、またはモバイル デバイスでパスキーを作成して使用できます。 Windows 上のパスキーは、サインインをサポートするすべてのブラウザーまたはアプリで動作します。
Windows Helloで作成および保存されたパスキーは、Windows HelloまたはWindows Hello for Businessによって保護されます。 ユーザーは、顔、指紋、またはデバイス PIN を使用してサイトまたはアプリにサインインできます。 ユーザーは 、Settings>Accounts>Passkeys からパスキーを管理できます。
近日公開予定[7]
サード パーティのパスキー プロバイダー用のプラグイン モデルを使用すると、ユーザーはサード パーティのパスキー マネージャーでパスキーを管理できます。 このモデルは、パスキーが Windows によって直接管理されているか、サードパーティの認証システムによって管理されているかに関係なく、シームレスなプラットフォーム エクスペリエンスを保証します。 サード パーティのパスキー プロバイダーを使用する場合、パスキーはサード パーティのプロバイダーによって安全に保護され、管理されます。
![サード パーティのプロバイダーを示す [パスキーの保存] ダイアログ ボックスのスクリーンショット。](images/passkey-save-3p.png#lightbox)
詳細情報
Microsoft Authenticator
iOS および Android デバイスで実行される Microsoft Authenticator アプリは、ユーザーのセキュリティと生産性Windows 11維持するのに役立ちます。 Microsoft Entraパスキーを持つ Microsoft Authenticator は、Windows Hello for Businessをブートストラップするためのフィッシングに対する耐性のある方法として使用できます。
Microsoft Authenticator を使用すると、多要素認証、パスワードレス電話サインイン、フィッシング耐性認証 (パスキー)、またはパスワードオートフィルを使用して、すべてのオンライン アカウントに対して簡単で安全なサインインが可能になります。 Authenticator アプリのアカウントは、iOS のキーチェーンや Android のキーストアなど、ハードウェアでサポートされるストレージ内の公開キーと秘密キーのペアで保護されます。 IT 管理者は、さまざまなツールを使用して、ユーザーを微調整して Authenticator アプリを設定し、認証のソースに関する追加のコンテキストを提供し、アクティブに使用していることを確認できます。
個々のユーザーは、設定で暗号化されたバックアップ オプションを有効にすることで、資格情報をクラウドにバックアップできます。 また、Microsoft の個人アカウント、職場アカウント、または学校アカウントのサインイン履歴とセキュリティ設定を確認することもできます。
認証と承認にこのセキュリティで保護されたアプリを使用すると、ユーザーは資格情報を使用する方法、場所、およびタイミングを制御できます。 絶えず変化するセキュリティ環境に対応するために、アプリは常に更新され、新たな脅威ベクトルを先取りするために新機能が追加されます。
詳細情報
Web サインイン
Web サインインをサポートすることで、ユーザーは Microsoft Authenticator アプリまたは一時アクセス パス (TAP) を使用して、パスワードなしでサインインできます。 Web サインインでは、SAML-P ID プロバイダーを使用したフェデレーション サインインも有効になります。
詳細情報
フェデレーション サインイン
Windows 11では、外部教育 ID 管理サービスとのフェデレーション サインインがサポートされます。 学生が簡単に入力したり、複雑なパスワードを覚えたりすることができない場合、この機能により、QR コードや画像などの方法で安全なサインインが可能になります。
詳細情報
スマート カード
組織は、生体認証の前に存在していた認証方法であるスマート カードを選択することもできます。 これらの改ざん防止型のポータブル ストレージ デバイスは、ユーザーの認証、コードの署名、電子メールのセキュリティ保護、Windows ドメイン アカウントでのサインインによって、Windows のセキュリティを強化します。
スマート カードには次の機能があります。
- ユーザーが手を使わずにすばやくサインインしたり、ワークステーションを共有したりする必要がある、医療などのシナリオでの使いやすさ
- 認証、デジタル署名、およびコンピューターの他の部分からのキー交換を含むセキュリティクリティカルな計算の分離。 これらの計算は、スマート カードで実行されます
- 職場、自宅、または道路上のコンピューター間の資格情報やその他の個人情報の移植性
スマート カードは、ドメイン アカウントまたはMicrosoft Entra ID アカウントへのサインインにのみ使用できます。
パスワードを使用してドメイン アカウントにサインインする場合、Windows は認証に Kerberos バージョン 5 (V5) プロトコルを使用します。 スマート カードを使用する場合、オペレーティング システムは X.509 V3 証明書で Kerberos V5 認証を使用します。 Microsoft Entra ID参加済みデバイスでは、スマート カードを証明書ベースの認証Microsoft Entra ID使用できます。 スマート カードはローカル アカウントでは使用できません。
Windows Hello for Businessおよび FIDO2 セキュリティ キーは、Windows 用の最新の 2 要素認証方法です。 仮想スマート カードを使用しているお客様は、Windows Hello for Businessまたは FIDO2 に移行することをお勧めします。 新しい Windows インストールの場合は、Windows Hello for Businessまたは FIDO2 セキュリティ キーをお勧めします。
詳細情報
Microsoft Defender SmartScreen での強化されたフィッシング保護
マルウェア保護やその他のセーフガードが進化するにつれて、サイバー犯罪者はセキュリティ対策を回避する新しい方法を探します。 フィッシングは主要な脅威であり、アプリや Web サイトは、ユーザーをだまして自発的にパスワードを入力することで資格情報を盗むよう設計されています。 その結果、多くの組織は、Windows HelloまたはWindows Hello for Businessを使用したパスワードレス サインインの容易さとセキュリティに移行しています。
私たちは、人々がパスワードレスの旅のさまざまな部分にあることを知っています。 パスワードを引き続き使用するユーザーのその体験を支援するために、Windows 11は強力な資格情報保護を提供します。 Microsoft Defender SmartScreen には、ユーザーの Microsoft パスワードがアプリまたは Web サイトに入力されたときに自動的に検出する強化されたフィッシング保護が含まれるようになりました。 その後、Windows は、アプリまたはサイトが Microsoft に対して安全に認証されているかどうかを識別し、資格情報が危険にさらされているかどうかを警告します。 ユーザーは資格情報の盗難の可能性がある時点でアラートを受け取るため、ユーザーまたはユーザーのorganizationに対してパスワードを使用する前に、プリエンプティブ アクションを実行できます。
詳細情報