検索
特集/連載

「Windows Hello」による“脱パスワード”はもう常識? その認証機能とは企業向けWindows Hello活用ガイド【前編】

パスワードに依存しない認証を実現する機能としてMicrosoftの「Windows Hello」がある。企業が利用する場合に、インフラやライセンス面で準備すべき点を押さえておこう。

Share
Tweet
LINE
Hatena

 マルウェア感染や不正アクセスといった脅威から企業が情報資産を守るには、ユーザー認証を軸とした強固なセキュリティ対策が欠かせない。従来のIDとパスワードによる認証だけでは不十分となりつつある。

 Microsoftが提供する「Windows Hello for Business」は、生体情報やPIN(Personal Identification Number)を使って、パスワードに依存しないユーザー認証を実現する認証サービスだ。Windows Hello for Businessを利用するための必要な条件や、Windows Hello for Businessによってどのような認証が可能になるのかをまとめた。

「Windows Hello for Business」の利用要件と認証機能

 マルウェア感染や不正アクセスといったサイバー脅威に備えるには、どのような組織も認証機能を中核とする強固なセキュリティ対策を取り入れることが欠かせない。多くの組織はWindows Hello for Businessなど、OSレベルのセキュリティを確保する手段を活用している。Windows Hello for Businessを導入すればセキュリティ対策が万全になるわけではないが、他のセキュリティ機能と組み合わせ、認証部分の強化を図るには重要な存在となる。

 組織がこのサービスを導入するに当たっては、まず自社がWindows Hello for Business導入の要件を満たしていることを確認する必要がある。

Windows Hello for Businessの要件

 Windows Hello for Businessは、Windows 11の場合は以下のエディションで利用できる。

  • Windows 11 Pro
  • Windows 11 Enterprise E3
  • Windows 11 Enterprise E5
  • Windows 11 Education A3
  • Windows 11 Education A5

 これに加え、構成によってはID・アクセス管理サービス「Microsoft Entra ID」(旧Azure Active Directory)やデバイス管理ツール「Microsoft Intune」なども必要になる。MicrosoftのOSやアプリケーションをサブスクリプションで利用できる「Microsoft 365 E3」または「Microsoft 365 E5」には、Windows Hello for Businessに必要な要素が全て含まれるので、追加でライセンスを購入する必要はない。

 一方、個人ユーザー向けの認証機能である「Windows Hello」は、「Windows 10」と「Windows 11」に標準搭載されている。

Windows Hello for Businessの機能

 Windows Hello for Businessは、企業における認証基盤として以下を提供する。

  • パスワードレス認証の実現
    • 顔認証や指紋認証、PINといった認証方式を用いることで、パスワードに依存せずにWindows搭載デバイスにサインインできる。
  • TPMと連携した鍵ベースの認証
    • セキュリティ専用ハードウェアモジュール「TPM」(Trusted Platform Module)に格納された秘密鍵と公開鍵ペアを用いて認証を実施する。
  • ユーザーごとのデバイス固有の認証情報
    • PINなどの認証情報は、特定ユーザーと特定デバイスにひも付くため、盗難や再利用のリスクを軽減できる。
  • 多要素認証(MFA)の一要素としての活用
    • Windows Hello for Businessは本人のみが知っている情報や、生体情報、本人のみが持っているデバイスを組み合わせた「2要素認証」の一要素として機能する。

Windows Helloの設定方法

 各デバイスでWindows Helloを設定するには、Windows 11で「設定」>「アカウント」>「サインインオプション」と進む。サインインオプションの画面で以下のようなサインインの方法を設定できる。顔認識と指紋認識は、対応するハードウェアを備えたデバイスでのみ使用できる。

  • 顔認識
  • 指紋認識
  • PIN

 Windows Hello for Businessは、Microsoft Entra IDやMicrosoft Intuneと連携することで、組織内のWindows搭載デバイスを一元的に管理できる。

 次回はデプロイモデルの違いなど、Windows Hello for Businessを導入するに当たって押さえておくべき基本事項を解説する。

関連キーワード

Windows 10 | Windows 11 | Active Directory | 認証


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る