Windows Hello for Business
概要
Windows Helloは、ユーザーが従来のパスワードではなく生体認証データまたは PIN を使用して Windows デバイスにサインインできるようにする認証テクノロジです。 これは、フィッシング耐性の 2 要素認証と組み込みのブルート フォース保護によって強化されたセキュリティを提供します。 FIDO/WebAuthn を使用すると、Windows Helloを使用してサポートされている Web サイトにサインインすることもできます。これにより、複数の複雑なパスワードを記憶する必要が減っています。
Windows Hello for Businessは、デバイス構成証明、証明書ベースの認証、条件付きアクセス ポリシーなど、エンタープライズ レベルのセキュリティと管理機能を提供するWindows Helloの拡張機能です。 ポリシー設定をデバイスに展開して、セキュリティで保護され、組織の要件に準拠していることを確認できます。
次の表に、Windows Helloとビジネス向けWindows Helloのメイン認証とセキュリティの違いを示します。
Windows Hello | Windows Hello for Business | |
---|---|---|
認証 | ユーザーは次のユーザーに対して認証できます。 - Microsoft アカウント (MSA) - 高速 ID Online (FIDO) v2.0 認証をサポートする ID プロバイダー (IdP) |
ユーザーは次のユーザーに対して認証できます。 - Microsoft Entra ID アカウント - Active Directory アカウント - 高速 ID Online (FIDO) v2.0 認証をサポートする ID プロバイダー (IdP) または証明書利用者 (RP) サービス |
セキュリティ |
キーベースの認証を使用します。 サーバーから盗まれたり、ユーザーからフィッシングされ、リモートで使用されたりする対称シークレット (パスワード) はありません。 |
キーベースまたは証明書ベースの認証を使用します。 サーバーから盗まれたり、ユーザーからフィッシングされ、リモートで使用されたりする対称シークレット (パスワード) はありません。 |
Windows Helloは、パスワードを入力する代わりに、便利なサインインのためにローカル アカウントで使用することもできます。 この構成は非対称 (公開/秘密) キーによってサポートされていないため、MSA またはMicrosoft Entra アカウントで使用できるキーベースまたは証明書ベースの認証と同じレベルのセキュリティは提供されません。 その他のすべての側面では、ローカル アカウントでWindows Helloを使用することは、MSA または Entra ID で使用する場合と同じです。 セキュリティを強化するには、FIDO2 認証をサポートする Microsoft アカウント (MSA) または ID プロバイダー (IdP) でWindows Helloを使用することをお勧めします。
注
FIDO2 (Fast Identity Online) 認証は、パスワードレス認証のオープン標準です。 これにより、ユーザーは、従来のパスワードを必要とせずに、生体認証または物理セキュリティ キーを使用してデバイスやアプリにサインインできます。 Windows HelloとWindows Hello for Businessの FIDO2 サポートにより、ユーザーのセキュリティと利便性が向上すると同時に、パスワード関連の攻撃のリスクも軽減されます。
メリット
Windows Hello for Businessには、次のような多くの利点があります。
- 資格情報の盗難に対する保護を強化するのに役立ちます。 攻撃者はデバイスと生体認証または PIN の両方を持っている必要があるため、ユーザーの知識がないとアクセスがはるかに困難になります
- パスワードは使用されないので、フィッシング攻撃やブルート フォース攻撃を回避します。 最も重要なのは、資格情報が非対称であり、TPM の分離された環境内で生成されるため、サーバー侵害を防ぎ、攻撃を再生することです。
- ユーザーは、常に使用されるシンプルで便利な認証方法 (PIN でバックアップ) を取得するため、失うものはありません。 WINDOWS HELLOにはブルート フォース保護が組み込まれており、PIN がデバイスから離れることがないため、PIN を使用してもセキュリティは損なわれません
- 必要に応じて、調整されたロールアウトの一部として、または特定のユーザーに生体認証デバイスを追加できます
次のビデオは、ユーザーが指紋を使用してサインインWindows Hello for Business動作のデモを示しています。
Windows Helloと 2 要素認証
Windows Hello for Businessは、デバイス固有の資格情報と生体認証または PIN ジェスチャを組み合わせた 2 要素認証方法を使用します。 この資格情報は、Microsoft Entra IDや Active Directory などの ID プロバイダーに関連付けられており、organizationアプリ、Web サイト、サービスにアクセスするために使用できます。
プロビジョニング中のユーザーの最初の 2 段階認証の後、Windows Helloはユーザーのデバイスに設定され、Windows はユーザーにジェスチャ (生体認証と PIN) の設定を求めます。 ユーザーは、自分の身元を確認するためのジェスチャを設定します。 Windows はこれにより、Windows Hello を使用してユーザーを認証します。
Windows Hello for Businessは、自分が持っているもの、知っていること、および自分の一部であるという、観察された認証要素に基づいて、2 要素認証と見なされます。 Windows Hello for Business は、これらの認証要素のうち、ユーザーが所有しているもの (デバイスのセキュリティ モジュールによって保護されるユーザーの秘密キー) とユーザーが知っていること (ユーザーの PIN) の 2 つを実装しています。 適切なハードウェアがあれば、生体認証を導入して、ユーザー エクスペリエンスを向上できます。 生体認証を使用すると、認証係数がわかっている ものを 、自分 の要素の一部であるもの に置き換えることができます。ユーザーが既知の 要素にフォールバックできることを保証します。
生体認証サインイン
Windows Hello は、顔認識または指紋認証に基づいて、優れた信頼性の完全統合型生体認証を提供します。 Windows Hello では、特別な赤外線 (IR) カメラとソフトウェアを組み合わせて精度を向上し、スプーフィングから保護します。 主要なハードウェア ベンダーは、Windows Hello対応のカメラと指紋リーダーを統合した出荷デバイスです。
Windows Helloをサポートするデバイスでは、簡単な生体認証ジェスチャによってユーザーの資格情報がロック解除されます。
- 顔認識: この種の生体認証は、IR 光で見る特別なカメラを使用します。これにより、写真やスキャンと生きている人の違いを確実に伝えることができます。 いくつかのベンダーは、この技術を組み込む外部カメラを提供し、多くのラップトップメーカーは、彼らのデバイスにそれを組み込みます
- 指紋認識: この種類の生体認証では、容量性指紋センサーを使用して指紋をスキャンします。 ほとんどの既存の指紋リーダーは、ノート PC や USB キーボードに外部または統合されているかどうかに関係なく、Windows で動作します
- 虹彩認識: この種類の生体認証では、カメラを使用して虹彩のスキャンを実行します
Windows Hello の実装に使われる生体認証データは、ローカル デバイスのみに安全に保存されます。 生体認証データはローミングを行わないので、外部デバイスやサーバーに送信されません。 Windows Helloは生体認証識別データのみをデバイスに保存するため、攻撃者が生体認証データを盗むために侵害できる単一の収集ポイントはありません。
Windows エディションとライセンスに関する要件
次の表に、Windows Hello for Businessをサポートする Windows エディションを示します。
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
はい | はい | はい | はい |
Windows Hello for Businessライセンスの権利は、次のライセンスによって付与されます。
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
○ | ○ | ○ | ○ | はい |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
注
Windows Hello for BusinessはMicrosoft Entra Domain Servicesでは機能しません。
ハードウェアの要件
Microsoft は製造元と協力して、次の要件に基づいて、各センサーとデバイスが高レベルのパフォーマンスと保護を確実に満たしていることを確認します。
- False Accept Rate (FAR): 生体認証識別ソリューションが未承認のユーザーを検証するインスタンスを表します。 これは通常、特定の母集団サイズのインスタンス数の比率として表されます(たとえば、100,000 個のインスタンス数の比率)。 また、発生の割合 (0.001% など) として表すこともできます。 この測定は、生体認証アルゴリズムのセキュリティに関して最も重要と考えられています
- False Reject Rate (FRR): 生体認証識別ソリューションが承認されたユーザーを正しく検証できないインスタンスを表します。 パーセンテージで表される True Accept Rate と False Reject Rate の合計は 1 です。 なりすまし対策またはライブネス検出の有無に関係なく使用できます
指紋センサーの要件
指紋照合を許可するには、デバイスに指紋センサーとソフトウェアが必要です。 指紋センサーは、タッチ センサー (大きな領域または小さな領域) またはスワイプ センサーです。 各種類のセンサーには、製造元が実装する必要がある独自の詳細な要件のセットがありますが、すべてのセンサーになりすまし対策が含まれている必要があります。
小型から大型のタッチ センサーに適したパフォーマンス範囲:
- False Accept Rate (FAR): <0.001 - 0.002%
- 実際の有効な FRR (スプーフィング対策や生体検知機能がある場合): < 10%
スワイプ センサーの許容されるパフォーマンス範囲:
- 他人受入率 (FAR): < 0.002%
- 実際の有効な FRR (スプーフィング対策や生体検知機能がある場合): < 10%
顔認識センサー
顔認識に対応するには、特殊な赤外線 (IR) センサーを内蔵したデバイスとソフトウェアが必要です。 顔認識センサーは、IR光で見える特殊なカメラを使用し、従業員の顔の特徴をスキャンしながら、写真と生きている人の違いを伝えることができます。 これらのセンサーには、指紋センサーと同様に、スプーフィング対策の手段 (必須) とその設定方法 (オプション) を搭載する必要があります。
- False Accept Rate (FAR): <0.001%
- 本人拒否率 (FRR) (スプーフィング対策や生体検知機能がない場合): < 5%
- 実際の有効な FRR (スプーフィング対策や生体検知機能がある場合): < 10%
注
Windows Hello顔認証では、登録中または認証中のマスクの着用はサポートされていません。 作業環境でマスクを一時的に削除できない場合は、PIN または指紋の使用を検討してください。
虹彩認識センサーの要件
Iris 認証を使用するには、HoloLens 2 デバイスが必要です。 すべてのHoloLens 2エディションには、同じセンサーが装備されています。 Iris は他のWindows Hello テクノロジと同じように実装され、1/100K の生体認証セキュリティ FAR を実現します。
Windows Helloのハードウェア要件の詳細については、「生体認証要件のWindows Hello」を参照してください。