Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
盗難
安易
記録
忘れ
Windows 10 で標準サポートされる
3 種類の生体認証
・顔
・指紋
・虹彩
TPM による
ハードウェア保護
USER
CREDENTIAL
PIN/Windows Hello +
公開鍵暗号
デバイスが「要素」
Private keys
secured in TPM
First Factor
PIN
Windows Hello
生体認証
or
Second Factor
銀行のキャッシュカードと同じ
カード
Windows
Hello
• オンプレミス AD ログイン に利用できず
• 手段としては、オンプレ AD にライトバック
• オンプレAD にデバイス登録ができないため、AAD から書き戻す必要あり
AD FS
(WS 2016 + Update)
Domain Controller
(at least 1 WS 2016)
AD CS
(WS 2012 or lator)
MFA
① デバイスの
登録要求
② デバイスを
AD に登録
W...
© 2017 Microsoft Corporation. All rights reserved.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE...
AD FS
(WS 2016 + Update)
Domain Controller
(at least 1 WS 2016)
AD CS
(WS 2012 or lator)
MFA
④公開鍵登録
Windows 10
(Creators U...
© 2017 Microsoft Corporation. All rights reserved.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE...
© 2017 Microsoft Corporation. All rights reserved.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE...
Demo
基本的にはKerberos 認証
• 資格情報としてNGC利用
• ADとしてはスマートカード ログオンを同じ仕組み
• 社内リソースにはWindows 統合認証
• NTLM 認証 互換性として Hash 値をDCから取得 ( )
クライアントによってパターンが異なる
• オンプレドメイン クライアントの場合
• 社内はKerberos認証
• Azure/Office 365 へはADFS 経由 Passport 認証
• Azrue AD Join クライアントの場合...
①オンプレのリソース
使用時は AD との
Kerberos 認証
② Azure/O365 へ
アクセス
③ オンプレADFSへ
リダイレクト
④ Passport 認証で
トークン取得
⑤ トークンを提示して
クラウド側のトークンを取得
そ...
Demo
生体認証= 万能セキュリティではない
• Path the Hash対策にはならない
• NTLM 認証 互換性のため、ログオン後に NTLM Hash を取得( )
• パスワードの定期変更は推奨
• パスワードがなくなるわけではない
• Windows Hello+Microsoft Passport =
Windows Hello For Business
• World without Password
• パスワードとの住み分け
ユーザー名 パスワード
厳重管理
流れる
流れない
デバイス固有
デバイス問わず
公開鍵
つかいまわし
固有の鍵
Windows Hello Microsoft Passport
生体認証/Pin
AzureAD
デバイスユーザー
アプリケーション
サービス
• Dynamic Lock
セッションアンケートにご協力ください
 専用アプリからご回答いただけます。
decode 2017
 スケジュールビルダーで受講セッションを
登録後、アンケート画面からご回答ください。
 アンケートの回答時間はたったの 15 秒です!
Ask the Speaker のご案内
本セッションの詳細は『Ask the Speaker Room』各コーナーカウンタにて
ご説明させていただきます。是非、お立ち寄りください。
© 2017 Microsoft Corporation. All rights reserved.
本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。
[SC15] Windows Hello で実現するハイブリッド 生体認証
[SC15] Windows Hello で実現するハイブリッド 生体認証
[SC15] Windows Hello で実現するハイブリッド 生体認証
[SC15] Windows Hello で実現するハイブリッド 生体認証
[SC15] Windows Hello で実現するハイブリッド 生体認証
Upcoming SlideShare
Loading in …5
×

of

[SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 1 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 2 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 3 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 4 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 5 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 6 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 7 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 8 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 9 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 10 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 11 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 12 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 13 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 14 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 15 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 16 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 17 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 18 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 19 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 20 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 21 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 22 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 23 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 24 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 25 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 26 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 27 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 28 [SC15] Windows Hello で実現するハイブリッド 生体認証 Slide 29
Upcoming SlideShare
Microsoftの認証システムの歴史と 過渡期におけるWAPの活用 +Next Generation Credentials
Next
Download to read offline and view in fullscreen.

5 Likes

Share

Download to read offline

[SC15] Windows Hello で実現するハイブリッド 生体認証

Download to read offline

小町 紘之
日本マイクロソフト株式会社

Windows Server 2016 からはこれまで課題とされてきた Windows Hello のオンプレミス Active Directory ドメインでの認証が実現されています。多要素認証のニーズが高まるなか、なぜ今オンプレミスの生体認証なのか? クラウド Azure Active Directory との Hybrid 構成における生体認証の構成についても解説します。

受講対象: 企業内での生体認証の活用について興味のあるエンジニア

製品/テクノロジ: セキュリティ/アイデンティティ (AD/Azure AD)/Windows Server

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

[SC15] Windows Hello で実現するハイブリッド 生体認証

  1. 1. 盗難 安易 記録 忘れ
  2. 2. Windows 10 で標準サポートされる 3 種類の生体認証 ・顔 ・指紋 ・虹彩
  3. 3. TPM による ハードウェア保護 USER CREDENTIAL PIN/Windows Hello + 公開鍵暗号 デバイスが「要素」
  4. 4. Private keys secured in TPM First Factor PIN Windows Hello 生体認証 or Second Factor
  5. 5. 銀行のキャッシュカードと同じ カード Windows Hello
  6. 6. • オンプレミス AD ログイン に利用できず • 手段としては、オンプレ AD にライトバック • オンプレAD にデバイス登録ができないため、AAD から書き戻す必要あり
  7. 7. AD FS (WS 2016 + Update) Domain Controller (at least 1 WS 2016) AD CS (WS 2012 or lator) MFA ① デバイスの 登録要求 ② デバイスを AD に登録 Windows 10 (Creators Update or later) ③ デバイス登録証明書発行
  8. 8. © 2017 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
  9. 9. AD FS (WS 2016 + Update) Domain Controller (at least 1 WS 2016) AD CS (WS 2012 or lator) MFA ④公開鍵登録 Windows 10 (Creators Update or later) ① ② 公開鍵 登録要求 ③ 多要素認証 ⓪KDC証明書発行
  10. 10. © 2017 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
  11. 11. © 2017 Microsoft Corporation. All rights reserved. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
  12. 12. Demo
  13. 13. 基本的にはKerberos 認証 • 資格情報としてNGC利用 • ADとしてはスマートカード ログオンを同じ仕組み • 社内リソースにはWindows 統合認証 • NTLM 認証 互換性として Hash 値をDCから取得 ( )
  14. 14. クライアントによってパターンが異なる • オンプレドメイン クライアントの場合 • 社内はKerberos認証 • Azure/Office 365 へはADFS 経由 Passport 認証 • Azrue AD Join クライアントの場合 • Azure/Office 365 へは AAD での Passport 認証 • 社内 フェデレーション対応アプリへは ADFS 経由 Passport 認証
  15. 15. ①オンプレのリソース 使用時は AD との Kerberos 認証 ② Azure/O365 へ アクセス ③ オンプレADFSへ リダイレクト ④ Passport 認証で トークン取得 ⑤ トークンを提示して クラウド側のトークンを取得 そのトークンを使用して リソースにアクセス AD FSDomain Controller Azure Active Directory クラウド リソース
  16. 16. Demo
  17. 17. 生体認証= 万能セキュリティではない • Path the Hash対策にはならない • NTLM 認証 互換性のため、ログオン後に NTLM Hash を取得( ) • パスワードの定期変更は推奨 • パスワードがなくなるわけではない
  18. 18. • Windows Hello+Microsoft Passport = Windows Hello For Business • World without Password • パスワードとの住み分け
  19. 19. ユーザー名 パスワード 厳重管理 流れる 流れない デバイス固有 デバイス問わず 公開鍵 つかいまわし 固有の鍵 Windows Hello Microsoft Passport 生体認証/Pin
  20. 20. AzureAD デバイスユーザー アプリケーション サービス
  21. 21. • Dynamic Lock
  22. 22. セッションアンケートにご協力ください  専用アプリからご回答いただけます。 decode 2017  スケジュールビルダーで受講セッションを 登録後、アンケート画面からご回答ください。  アンケートの回答時間はたったの 15 秒です!
  23. 23. Ask the Speaker のご案内 本セッションの詳細は『Ask the Speaker Room』各コーナーカウンタにて ご説明させていただきます。是非、お立ち寄りください。
  24. 24. © 2017 Microsoft Corporation. All rights reserved. 本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。
  • ssuser832eeb

    Jul. 30, 2021
  • vmz30go7ok301s

    Jan. 24, 2019
  • MasatoWakayama

    Aug. 27, 2017
  • DharamVeer8

    Jul. 28, 2017
  • kazta-415

    Jun. 28, 2017

小町 紘之 日本マイクロソフト株式会社 Windows Server 2016 からはこれまで課題とされてきた Windows Hello のオンプレミス Active Directory ドメインでの認証が実現されています。多要素認証のニーズが高まるなか、なぜ今オンプレミスの生体認証なのか? クラウド Azure Active Directory との Hybrid 構成における生体認証の構成についても解説します。 受講対象: 企業内での生体認証の活用について興味のあるエンジニア 製品/テクノロジ: セキュリティ/アイデンティティ (AD/Azure AD)/Windows Server

Views

Total views

8,336

On Slideshare

0

From embeds

0

Number of embeds

4,088

Actions

Downloads

109

Shares

0

Comments

0

Likes

5

×