ユーザーに表示されるパスワードの領域を減らす
パスワードの使用について、テスト ユーザーのワークフローを調査する
今こそ、対象となる作業ペルソナについてさらに学ぶときです。 使用するアプリケーションの一覧が必要ですが、何、理由、タイミング、頻度がわからない。 この情報は、段階 2 を進めていく上で重要です。 テスト ユーザーは、対象となる作業ペルソナに関連付けられたワークフローを作成します。 彼らの最初の目標は、1つの簡単なタスクを行うことです:ドキュメントパスワードの使用。 このリストは包括的なものではありませんが、必要な情報の種類がわかります。 目標は、その作業ペルソナがパスワードを検出するすべてのシナリオについて学習することです。 良いアプローチは、次の一連の質問を自問することです。
質問 | |
---|---|
🔲 | パスワードを要求したアプリケーションの名前は何ですか? |
🔲 | なぜパスワードを要求したアプリケーションを使用するのですか? 例えば、同じことを実行できるアプリケーションが複数ありますか? |
🔲 | ワークフローのどの部分でアプリケーションを使用できるようになりますか? できるだけ具体的にしてください。 たとえば、"アプリケーション x を使用して、y を超える金額のクレジット カードの払い戻しを発行します。 |
🔲 | 特定の日または週にどのくらいの頻度でアプリケーションを使用しますか? |
🔲 | アプリケーションに入力するパスワードは、Windows へのサインインに使用するパスワードと同じですか? |
一部の組織では、ユーザーがこの情報を書き込む力を与えますが、IT 部門のメンバーに影を落とす必要があると主張する組織もあります。 客観的なビューアーは、ユーザーが単に筋肉のメモリのために見落とすパスワード プロンプトに気付く場合があります。 前述のように、この情報は重要です。 パスワードレスへの移行を遅らせる可能性のある 1 つのパスワード プロンプトを見逃す可能性があります。
パスワードの使用法を特定し、パスワード軽減策を計画、開発、展開する
テスト ユーザーは、パスワードを使用する方法、内容、理由、およびタイミングを説明する情報を提供しました。 今度は、チームがこれらのパスワードのユース ケースをそれぞれ特定し、ユーザーがパスワードを使用する必要がある理由を理解するときです。
シナリオの一覧を作成します。 各シナリオには、明確な問題ステートメントが必要です。 問題ステートメントの 1 文の要約を使用してシナリオに名前を付けます。 シナリオには、ユーザーにパスワードの入力を求められる理由に関するチームの調査の結果を含めます。 関連する正確な詳細を含めます。 シナリオがポリシーまたはプロシージャドリブンの場合は、ワークフローがパスワードを使用する理由を指定するポリシーの名前とセクションを含めます。
テスト ユーザーはすべてのシナリオを見つけ出すわけではありません。そのため、一般的でないシナリオを強制的に実行する必要があります。 次の内容を必ず含めます。
- 不明なパスワードで新しいユーザーをプロビジョニングする
- PIN またはその他の修復フローを忘れたユーザーは、強力な資格情報が使用できない場合に発生します
次に、シナリオの一覧を確認します。 プロセスまたはポリシーによって規定されるワークフローから開始することも、技術的なソリューションを必要とするワークフローから開始することもできます。どちらかが簡単または迅速です。 この選択は、organizationによって異なります。
対象となるペルソナのワークフローに基づいて、パスワード使用の軽減を開始します。 シナリオのソリューションとして、軽減策を文書化します。 ソリューションの実装の詳細について心配する必要はありません。 パスワードの使用を減らすために必要な変更の概要は、必要なすべてです。 インフラストラクチャまたはコードの変更など、技術的な変更が必要な場合は、正確な詳細がプロジェクトドキュメントに含まれている可能性があります。 ただし、組織はプロジェクトを追跡し、そのシステムで新しいプロジェクトを作成します。 シナリオをそのプロジェクトに関連付け、そのプロジェクトに資金を提供するために必要なプロセスを開始します。
アプリケーションでのパスワードの使用を軽減することは、パスワードレスの旅で最も困難な障害の 1 つです。 組織がアプリケーションを開発する場合は、市販のソフトウェア (COTS) の状態が改善されます。
ユーザーにパスワードの入力を求めるアプリケーションの理想的な軽減策は、これらのアプリケーションで、Microsoft Entra IDや Active Directory などの既存の認証済み ID を使用できるようにすることです。 アプリケーション ベンダーと協力して、Microsoft Entra ID のサポートを追加します。 オンプレミス アプリケーションの場合は、アプリケーションで Windows 統合認証を使用するようにします。 ユーザーの目標は、各ユーザーが Windows にサインインするときに 1 回認証する、シームレスなシングル サインオン エクスペリエンスである必要があります。 独自の ID を独自のデータベースに格納するアプリケーションにも同じ戦略を使用します。
リストの各シナリオには、問題に関する声明、パスワードが使用された理由に関する調査、パスワードの使用を廃止する軽減計画が含まれるはずです。 このデータを 1 つずつ使用して、ユーザーに表示されるパスワードのギャップを埋めます。 必要に応じてポリシーと手順を変更し、可能な場合はインフラストラクチャを変更します。 社内アプリケーションを変換して、Microsoft Entra ID テナントに統合するか、フェデレーション ID を使用するか、Windows 統合認証を使用します。 Microsoft 以外のソフトウェア発行元と連携して、ソフトウェアを更新して、Microsoft Entra IDに統合したり、フェデレーション ID をサポートしたり、Windows 統合認証を使用したりします。
すべてのユーザー パスワードの使用が軽減されるまで繰り返す
軽減策の一部またはすべてが実施されます。 ソリューションが問題ステートメントを解決したことを検証する必要があります。 この段階は、テスト ユーザーに依存します。 最初のテスト ユーザーの適切な部分を維持する必要がありますが、この点は、いくつかを置き換えたり追加したりする良い機会です。 パスワードの使用について、テスト ユーザーのワークフローを調査します。 すべてがうまくいった場合は、ほとんどのギャップまたはすべてのギャップを閉じました。 いくつか残る可能性があります。 ソリューションと何が悪かったのかを評価し、ユーザーがパスワードを入力する必要がなくなるソリューションに到達するまで、必要に応じてソリューションを変更します。 あなたが立ち往生している場合、他のユーザーもまた立ち往生しているに違いありません。 さまざまなソースのフォーラムまたは IT 部門の同僚のネットワークを使用して、問題を説明し、他のユーザーがどのように問題を解決しているかを確認します。 該当するオプションがない場合は、Microsoft に連絡して支援を求めてください。
Windows からパスワード機能を削除する
対象となる作業ペルソナのすべてのパスワード使用量を軽減したと考えられます。 これで真のテストが始まります: Windows を構成し、ユーザーがパスワードを使用できないようにします。
Windows には、パスワードの領域を減らすか排除するための 3 つのメインオプションが用意されています。
- Windows パスワードレス エクスペリエンス
- パスワード資格情報プロバイダーを除外する
- Windows Hello for Businessまたはスマート カードを要求する
Windows パスワードレス エクスペリエンス
Windows パスワードレス エクスペリエンスは、Windows Helloまたは FIDO2 セキュリティ キーを使用してサインインするユーザー アカウントのパスワード資格情報プロバイダーを非表示にするセキュリティ ポリシーです。 Windows パスワードレス エクスペリエンスをお勧めしますが、参加しているデバイスでのみ使用Microsoft Entra。 次の図は、Windows パスワードレス エクスペリエンスが有効になっている場合の Windows ロック画面を示しています。 Windows Hello for Businessに登録されているユーザーには、サインインにパスワードを使用するオプションがありません。
詳細については、「Windows パスワードレス エクスペリエンス」を参照してください
パスワード資格情報プロバイダーを除外する
[ 資格情報プロバイダーの除外] ポリシー設定を使用して、パスワード資格情報プロバイダーを無効にすることができます。 構成すると、Windows では、ローカル アカウントを含 むすべてのアカウントでパスワードを使用する可能性が無効になります。 また、RDP と 認証として実行 のシナリオにパスワードを使用することもできません。 このポリシー設定は、ユーザーが問題のトラブルシューティングを行うためにローカル アカウントでサインインする必要がある場合など、サポート シナリオに影響する可能性があります。 このため、設定を有効にする前にすべてのシナリオを慎重に評価してください。
- GPO: コンピューター構成>管理テンプレート>システム>ログオン>資格情報プロバイダーを除外する
- CSP:
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/
ExcludedCredentialProviders
パスワード資格情報プロバイダーを非表示にするポリシーに入力する値は{60b78e88-ead8-445c-9cfd-0b87f74ea6cd}
です。
Windows Hello for Businessまたはスマート カードを要求する
対話型ログオンにWindows Hello for Businessまたはスマート カードを要求するには、[Windows Hello for Businessが必要] または [スマート カード] ポリシー設定を使用できます。 有効にすると、ユーザーはパスワードを使用してサインインまたはロック解除できなくなります。 パスワード資格情報プロバイダーは、ユーザーに表示されたままになります。 ユーザーがパスワードを使用しようとすると、Windows はユーザーに Windows Hello for Business またはスマート カードを使用する必要があることを通知します。 このポリシー設定を有効にする前に、ユーザーをWindows Hello for Businessに登録するか、スマート カードする必要があります。 そのため、このポリシーを実装するには、慎重な計画と調整が必要です。
- GPO: コンピューター構成>Windows 設定>セキュリティ設定>ローカル ポリシー>セキュリティ オプション>対話型ログオン: Windows Hello for Businessまたはスマート カードが必要
- CSP: 使用できません
どのワークフローにもパスワードが必要ないことを確認する
この段階は最も重要な時です。 パスワードの使用状況を特定し、パスワードの使用を軽減するためのソリューションを開発し、Windows からパスワードの使用を削除または無効にしました。 この構成では、ユーザーはパスワードを使用できません。 いずれかのワークフローでパスワードの入力を求められた場合、ユーザーはブロックされます。 理想的には、テスト ユーザーは、パスワードを使用せずに、対象の作業ペルソナのすべてのワークフローを完了できる必要があります。 新しいユーザーのプロビジョニング、PIN を忘れたユーザーや強力な資格情報を使用できないユーザーなど、割合の低いワークフローを忘れないでください。 それらのシナリオも検証されていることを確認してください。
次のステップ
organizationの 1 つ以上の部分をパスワードレスデプロイに移行する準備ができました。 対象の作業ペルソナが、ユーザーがパスワードを知ったり使用したりする必要がなくなった場所に移動する準備ができていることを確認しました。 もう少しで成功を宣言できます。