FIDO2 セキュリティ キーを利用して気になった点をまとめてみた
前回の記事で緊急アクセス用管理者アカウントへの FIDO2 セキュリティ キーの設定方法をまとめてみましたが、実際に導入する場合はデバイスの紛失時の対応や暗証番号のリセット方法など、運用に関わることを把握しておく必要があります。
今回は FIDO2 セキュリティ キーを緊急アクセス用管理者アカウント用として利用してみて気になった点や管理者が理解しておいた方が良いと思うことを Q&A 形式でまとめてみました。
なお検証で利用した FIDO2 セキュリティ キーは 「Security Key NFC by Yubico」 です。FIDO2 セキュリティ キーのメーカーや種類、デバイスの OS によっては画面や挙動が異なる場合があります。
Q1 : FIDO2 セキュリティ キーの暗証番号の変更やリセットはできる?
Yubico Manager アプリケーション、もしくは Windows の 「設定」 から行えます
Windows の設定画面で行う場合は [アカウント] – [サインイン オプション] – [セキュリティ キー] – [管理] を開きます。
暗証番号の変更とリセットを行う画面が表示され、ここから設定を行います。
Q2 : FIDO2 セキュリティ キーの暗証番号の変更やリセットは誰ができるのか?
Security Key NFC by Yubico の場合、Windows の設定、Yubico Manager アプリケーションのどちらからでも本人確認や暗証番号の確認なしでリセットが行えました。他人が勝手にリセットや暗証番号の変更ができてしまうので、セキュリティ キー自体の保管&管理には注意が必要です。
Q3 : 複数の FIDO2 セキュリティ キーが混ざったときに見分ける方法は?
見た目では区別できないため、ラベルテープを貼るなどの対策が必要です。
Yubico Manager アプリケーションを利用すればシリアルナンバーが確認できるようですが、今回利用した Security Key NFC by Yubico はシリアルナンバーを持たない仕様のため、確認することはできませんでした。
もし FIDO2 セキュリティ キーが混ざってしまい、自分のものが分からなくなった場合は、実際に自分の暗証番号を入力して、認証されるか、エラーになるかで判別するのが一番はやいと思います。
Q4 : FIDO2 セキュリティ キーの紛失時の対応はどうすればいい?
Microsoft Entra 管理センターで FIDO2 セキュリティ キー情報を削除します。情報の削除後に FIDO2 セキュリティ キーが見つかっても Microsoft 365 の認証で利用できません。FIDO2 セキュリティ キーをリセットして、再登録してください。
削除方法は Microsoft Entra管理センターでユーザーの認証方法画面を開き、パスキーの [・・・] – [削除] をクリックします。
Q5 : 1つの FIDO2 セキュリティ キーを複数ユーザーの認証で利用できるか?
可能ですが、同じ暗証番号で認証することになります。(暗証番号を共有することになる)
どのアカウントでサインインするかは認証時に選択できます。
Q6 : 組織で購入した FIDO2 セキュリティ キーのみを利用したい
Microsoft Entra 管理センターでは FIDO2 セキュリティ キーを個別に管理することができないため、組織で購入したものだけを利用するような制限はできません。なお、AAGUID は識別できるため、AAGUID 単位で利用を制限することが可能です。
※AAGUID : Authenticator Attestation Global Unique Identifier. 製造元やモデルなどのキーの種類を表す識別子
※Yubico 製品群の AAGUID はこちらで確認できます。
Q7 : デバイス マネージャーに表示される FIDO2 セキュリティ キーの名前は?
ヒューマン インターフェース デバイス の 「HID-compliant fido」 です。
Q8 : USB ポートへの挿入ではなく NFC として利用したい
Security Key NFC by Yubico は NFC の機能を搭載しているため、NFC リーダーを利用して非接触認証が可能です。
NFC として利用するには、ユーザーが FIDO2 セキュリティ キーを登録する際に USB デバイスではなく、[NFC デバイス] を選択します。登録の詳細は前回の記事をご覧ください。
操作を進めると NFC リーダーに FIDO2 セキュリティ キーを近づけるように指示されます。
NFC カードリーダーで認識されたあとは暗証番号を登録して作業完了となります。
以降、Microsoft 365 の認証は、FIDO2 セキュリティ キーをカードリーダーにタップし、暗証番号の入力で行うことができます。
Q9 : Microsoft Intune のデバイスの制限で 「リムーバブル記憶域」 を無効にしているが、FIDO2 セキュリティ キーは利用できるのか?
FIDO2 セキュリティ キーは USB メモリのようなリムーバブル記憶域ではないので、USB ポートに挿入して利用できました。
Q10 : 仮想マシンで FIDO2 セキュリティ キーは認識するのか
Windows 11 Hyper-V の仮想マシンで確認したところ、FIDO2 セキュリティ キーは認識しませんでした。
Q11 : FIDO2 セキュリティ キーのデバイスに名前を登録できますか
できません。
最後に
FIDO2 セキュリティ キーを利用するにあたって、さまざまな利用制限等がありますが、利用シナリオによっては非常に便利なデバイスだと考えます。さまざまな種類の FIDO2 セキュリティ キーが発売されていますので、皆様のニーズに合うデバイスを探してみてはいかがでしょうか。
Microsoft 365 管理者向けコース
- CI505-H Microsoft 365 運用管理
Microsoft 365 の運用管理において必要となる知識を習得し、行うべき設定項目を理解いただけます。アカウントやデバイス管理の必須となる Azure AD に対する必須知識から、Exchange Online、Microsoft Teams、SharePoint Online、OneDrive for Business などの各サービスに対して行うべき設定、推奨される設定、理解しておきたいしくみなど、運用管理に必要となる内容を基本から、運用にもとめられるレベルまで解説します。また入退社や人事異動への対応方法、監査ログや検疫といったセキュリティ・コンプライアンス対策のために行うべきこともあわせてご紹介します。 - CI509-H Microsoft 365 デバイス運用管理
IT 担当者を対象に、安全なモバイルワークを実現する第一歩である Microsoft 365 でのデバイスの管理や運用手法について解説します。デバイスの安全性を高めるために Microsoft Entra ID や Microsoft Intune により、OS のバージョン管理、利用可能とするアプリの許可、接続するネットワークの制限、デバイスの盗難や紛失、退職者のデバイスを正しく管理する方法などを解説します。本コースでは iPhone を使用した実習を行うため、モバイルデバイスの管理方法について、動作を確認しながらさまざまな機能をご理解いただけます。 - CI507-H Microsoft 365 情報保護とコンプライアンス
Microsoft 365 の管理者を対象に、ファイルやメール、チームといった Microsoft 365 内の情報を保護するために必要な基本知識や利用すべき機能、および利用方法を解説します。 - CI508-H Microsoft 365 PowerShell による管理効率化
Microsoft 365 に対する運用管理で PowerShell を利用するための基本や Exchange Online、SharePoint Online、Microsoft Teams を設定するための便利なコマンドライン、設定を自動化するためのスクリプトの作成方法など、PowerShell による Microsoft 365 管理の基本から必須スキルを運用管理で利用できるサンプルをもちいて解説します。また、今後利用が推奨される Microsoft Graph PowerShell SDK の利用方法もあわせて解説します。