小町 紘之 日本マイクロソフト株式会社 Windows Server 2016 からはこれまで課題とされてきた Windows Hello のオンプレミス Active Directory ドメインでの認証が実現されています。多要素認証のニーズが高まるなか、なぜ今オンプレミスの生体認証なのか? クラウド Azure Active Directory との Hybrid 構成における生体認証の構成についても解説します。 受講対象: 企業内での生体認証の活用について興味のあるエンジニア 製品/テクノロジ: セキュリティ/アイデンティティ (AD/Azure AD)/Windows Server

2. 盗難
安易
記録
忘れ

5. Windows 10 で標準サポートされる
3 種類の生体認証
・顔
・指紋
・虹彩

6. TPM による
ハードウェア保護
USER
CREDENTIAL
PIN/Windows Hello +
公開鍵暗号
デバイスが「要素」

7. Private keys
secured in TPM
First Factor
PIN
Windows Hello
生体認証
or
Second Factor

8. 銀行のキャッシュカードと同じ
カード
Windows
Hello

9. • オンプレミス AD ログイン に利用できず
• 手段としては、オンプレ AD にライトバック
• オンプレAD にデバイス登録ができないため、AAD から書き戻す必要あり

11. AD FS
(WS 2016 + Update)
Domain Controller
(at least 1 WS 2016)
AD CS
(WS 2012 or lator)
MFA
① デバイスの
登録要求
② デバイスを
AD に登録
Windows 10
(Creators Update or later)
③ デバイス登録証明書発行

13. © 2017 Microsoft Corporation. All rights reserved.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

14. AD FS
(WS 2016 + Update)
Domain Controller
(at least 1 WS 2016)
AD CS
(WS 2012 or lator)
MFA
④公開鍵登録
Windows 10
(Creators Update or later)
①
② 公開鍵
登録要求
③ 多要素認証 ⓪KDC証明書発行

15. © 2017 Microsoft Corporation. All rights reserved.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

16. © 2017 Microsoft Corporation. All rights reserved.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

17. Demo

18. 基本的にはKerberos 認証
• 資格情報としてNGC利用
• ADとしてはスマートカード ログオンを同じ仕組み
• 社内リソースにはWindows 統合認証
• NTLM 認証 互換性として Hash 値をDCから取得 ( )

19. クライアントによってパターンが異なる
• オンプレドメイン クライアントの場合
• 社内はKerberos認証
• Azure/Office 365 へはADFS 経由 Passport 認証
• Azrue AD Join クライアントの場合
• Azure/Office 365 へは AAD での Passport 認証
• 社内 フェデレーション対応アプリへは ADFS 経由 Passport 認証

20. ①オンプレのリソース
使用時は AD との
Kerberos 認証
② Azure/O365 へ
アクセス
③ オンプレADFSへ
リダイレクト
④ Passport 認証で
トークン取得
⑤ トークンを提示して
クラウド側のトークンを取得
そのトークンを使用して
リソースにアクセス
AD FSDomain
Controller
Azure
Active Directory
クラウド リソース

21. Demo

22. 生体認証= 万能セキュリティではない
• Path the Hash対策にはならない
• NTLM 認証 互換性のため、ログオン後に NTLM Hash を取得（ ）
• パスワードの定期変更は推奨
• パスワードがなくなるわけではない

23. • Windows Hello＋Microsoft Passport =
Windows Hello For Business
• World without Password
• パスワードとの住み分け

24. ユーザー名 パスワード
厳重管理
流れる
流れない
デバイス固有
デバイス問わず
公開鍵
つかいまわし
固有の鍵
Windows Hello Microsoft Passport
生体認証/Pin

25. AzureAD
デバイスユーザー
アプリケーション
サービス

26. • Dynamic Lock

27. セッションアンケートにご協力ください
 専用アプリからご回答いただけます。
decode 2017
 スケジュールビルダーで受講セッションを
登録後、アンケート画面からご回答ください。
 アンケートの回答時間はたったの 15 秒です!

28. Ask the Speaker のご案内
本セッションの詳細は『Ask the Speaker Room』各コーナーカウンタにて
ご説明させていただきます。是非、お立ち寄りください。

29. © 2017 Microsoft Corporation. All rights reserved.
本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。