Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

[SC15] Windows Hello で実現するハイブリッド 生体認証

5,241 views

Published on

小町 紘之
日本マイクロソフト株式会社

Windows Server 2016 からはこれまで課題とされてきた Windows Hello のオンプレミス Active Directory ドメインでの認証が実現されています。多要素認証のニーズが高まるなか、なぜ今オンプレミスの生体認証なのか? クラウド Azure Active Directory との Hybrid 構成における生体認証の構成についても解説します。

受講対象: 企業内での生体認証の活用について興味のあるエンジニア

製品/テクノロジ: セキュリティ/アイデンティティ (AD/Azure AD)/Windows Server

Published in: Technology
  • Hi, good presnetaion, images speak a thousand words. Is there a an English vesion of this presentation so i can get a deeper understanding?
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

[SC15] Windows Hello で実現するハイブリッド 生体認証

  1. 1. 盗難 安易 記録 忘れ
  2. 2. Windows 10 で標準サポートされる 3 種類の生体認証 ・顔 ・指紋 ・虹彩
  3. 3. TPM による ハードウェア保護 USER CREDENTIAL PIN/Windows Hello + 公開鍵暗号 デバイスが「要素」
  4. 4. Private keys secured in TPM First Factor PIN Windows Hello 生体認証 or Second Factor
  5. 5. 銀行のキャッシュカードと同じ カード Windows Hello
  6. 6. • オンプレミス AD ログイン に利用できず • 手段としては、オンプレ AD にライトバック • オンプレAD にデバイス登録ができないため、AAD から書き戻す必要あり
  7. 7. AD FS (WS 2016 + Update) Domain Controller (at least 1 WS 2016) AD CS (WS 2012 or lator) MFA ① デバイスの 登録要求 ② デバイスを AD に登録 Windows 10 (Creators Update or later) ③ デバイス登録証明書発行
  8. 8. © 2017 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
  9. 9. AD FS (WS 2016 + Update) Domain Controller (at least 1 WS 2016) AD CS (WS 2012 or lator) MFA ④公開鍵登録 Windows 10 (Creators Update or later) ① ② 公開鍵 登録要求 ③ 多要素認証 ⓪KDC証明書発行
  10. 10. © 2017 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
  11. 11. © 2017 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
  12. 12. Demo
  13. 13. 基本的にはKerberos 認証 • 資格情報としてNGC利用 • ADとしてはスマートカード ログオンを同じ仕組み • 社内リソースにはWindows 統合認証 • NTLM 認証 互換性として Hash 値をDCから取得 ( )
  14. 14. クライアントによってパターンが異なる • オンプレドメイン クライアントの場合 • 社内はKerberos認証 • Azure/Office 365 へはADFS 経由 Passport 認証 • Azrue AD Join クライアントの場合 • Azure/Office 365 へは AAD での Passport 認証 • 社内 フェデレーション対応アプリへは ADFS 経由 Passport 認証
  15. 15. ①オンプレのリソース 使用時は AD との Kerberos 認証 ② Azure/O365 へ アクセス ③ オンプレADFSへ リダイレクト ④ Passport 認証で トークン取得 ⑤ トークンを提示して クラウド側のトークンを取得 そのトークンを使用して リソースにアクセス AD FSDomain Controller Azure Active Directory クラウド リソース
  16. 16. Demo
  17. 17. 生体認証= 万能セキュリティではない • Path the Hash対策にはならない • NTLM 認証 互換性のため、ログオン後に NTLM Hash を取得( ) • パスワードの定期変更は推奨 • パスワードがなくなるわけではない
  18. 18. • Windows Hello+Microsoft Passport = Windows Hello For Business • World without Password • パスワードとの住み分け
  19. 19. ユーザー名 パスワード 厳重管理 流れる 流れない デバイス固有 デバイス問わず 公開鍵 つかいまわし 固有の鍵 Windows Hello Microsoft Passport 生体認証/Pin
  20. 20. AzureAD デバイスユーザー アプリケーション サービス
  21. 21. • Dynamic Lock
  22. 22. セッションアンケートにご協力ください  専用アプリからご回答いただけます。 decode 2017  スケジュールビルダーで受講セッションを 登録後、アンケート画面からご回答ください。  アンケートの回答時間はたったの 15 秒です!
  23. 23. Ask the Speaker のご案内 本セッションの詳細は『Ask the Speaker Room』各コーナーカウンタにて ご説明させていただきます。是非、お立ち寄りください。
  24. 24. © 2017 Microsoft Corporation. All rights reserved. 本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

×