次の方法で共有

生体認証フレームワークの概要

  • [アーティクル]

すべての個人には、識別に使用できる固有の特性があります。 通常、これらの特性は物理的であり、指紋などの特徴が含まれますが、歩行や入力のリズムなどの行動特性を含めることもできます。 生体認証という用語には、両方の意味が含まれます。 生体認証情報は、ユーザーを識別して検証するためにパスワードを置き換える傾向にあります。 セキュリティが強化され、多くの場合、ユーザーと管理者の両方にとって便利です。

センサーは生体認証情報をキャプチャするために使用されます。 情報は、生体認証サンプルとしてセンサーによってキャプチャされます。 1 つのサンプルには、1 人の個人の 1 つの生体認証特性を表すデータが含まれています。 生体認証テンプレートを作成するために複数のサンプルが平均化され、テンプレートが安全に格納されます。 その後、不明なユーザーのサンプルが保存されているテンプレートと比較され、ユーザー ID を確立して確認します。 Windows 生体認証フレームワーク (WBF) の一部である Windows 生体認証サービスには、次の機能が用意されています。 Windows 生体認証フレームワーク API を使用して、この機能を利用できます。

  • 生体認証サンプルをキャプチャし、それらを使用してテンプレートを作成します。
  • 生体認証テンプレートを安全に保存して取得します。
  • 各テンプレートを GUID や SID などの一意の識別子にマップします。

この API を使用して、フレームワークを拡張し、生体認証センサー アダプター、一致するエンジン、ストレージ コンポーネントを作成することもできます。 センサー アダプター、一致するエンジン、および記憶域コンポーネントの作成の詳細については、「アダプター プラグインの作成」を参照してください。

コア プラットフォーム コンポーネント

Windows 生体認証ドライバー インターフェイス (WBDI)

WBDI は、生体認証ドライバーが Windows 生体認証サービス (WBS) を介して生体認証デバイスを公開するために使用できるプログラミング インターフェイスです。 WBDI ドライバーは、サポートされているドライバー テクノロジ (以下を含む) を使用して実装できます。 ただし、ドライバーの品質とシステムの安定性を向上させるには、可能な場合は UMDF を使用することをお勧めします。

  • ユーザー モード ドライバー フレームワーク (UMDF)
  • カーネル モード ドライバー フレームワーク (KMDF)
  • Windows ドライバー モデル (WDM)

WBDI 生体認証ドライバーは、WBDI ドライバー インターフェイス GUID とすべての必須 I/O コントロール (IOCTL) もサポートする必要があります。 ドライバー開発者は、Windows Driver Kit (WDK) のドキュメントとサンプル コードを確認する必要があります。

Windows 生体認証サービス (WBS)

Windows 生体認証サービスは、インストールされている生体認証ドライバーを管理し、Windows 生体認証フレームワーク API をサポートして、クライアント アプリケーションへのデバイス アクセスを提供します。 WBS では、次の機能が実行されます。

  • クライアント アプリケーションを生体認証データから分離することで、ユーザーの機密性を保護します。
  • アプリケーションが一意の識別子を使用してデータにアクセスすることを要求することで、特権のないクライアント アプリケーションから生体認証データを保護します。
  • 生体認証ユニット と呼ばれるソフトウェア コンポーネントを使用して、標準化されたインターフェイスを介して特定の生体認証デバイスの機能を公開します。
  • 生体認証ユニットは、システム、プライベート、または未割り当ての Sensor Poolsにグループ化することで管理されます。
  • オンボード処理またはストレージ機能がない物理デバイス用の生体認証ユニット アダプター の使用をサポートしています。

Windows 生体認証フレームワーク API

Windows 生体認証フレームワーク API を使用すると、Windows 生体認証サービスと対話して次のアクションを実行できるクライアント アプリケーションを作成できます。

  • ユーザーを識別して確認します。
  • 生体認証デバイスを検索し、その機能に対してクエリを実行します。
  • セッションを管理し、イベントを監視します。

ユーザー エクスペリエンス コンポーネント

探索ポイント

エンド ユーザーは、次のいずれかの方法で生体認証デバイスを見つけることができます。

  • 生体認証デバイスのコントロール パネルを起動するには、[検索の開始] テキスト ボックスに生体認証、指紋、顔、またはその他の関連語句を入力します。 生体認証の結果一覧には、Windows 10 イメージで次のような項目を含めることができます。
    • 指紋によるサインインのセットアップ
    • 顔サインインのセットアップ

サポートされているシナリオ

次のシナリオがサポートされています。

  • ユーザーは、指紋リーダーまたは顔に焦点を当てた IR カメラを使用して、ローカル コンピューター、ワークグループ、またはドメインにログオンできます。
  • 管理者特権を持つユーザーは、指紋または顔を使用して、ユーザー アカウント制御 (UAC) を使用してアプリケーションを昇格できます。

管理コンポーネント

生体認証システムは、グループ ポリシーまたはモバイル デバイス管理 (MDM) を使用して管理できます。

生体認証システム管理

グループ ポリシーまたは MDM を使用して生体認証機能を管理できます。 グループ ポリシーをさらに使用して、次のアクションを実行できます。

  • ISV によって実装されている場合は、高速ユーザー切り替えのタイムアウト期間を指定します。
  • 生体認証デバイスのインストールを防止します。
  • 生体認証デバイスのドライバーを強制的に削除します。
  • 生体認証サービスを無効にします。