YubiOn FIDO Logonは導入の方法や設定が複数あり、どのように選択するかはお客様の目的によってさまざまです。
この章では、お客様がYubiOn FIDO Logonの運用を検討する際にヒントとなる情報として、さまざまな目的に合わせて具体的にどのような設定や運用方法を選択できるかを記載します。
YubiOn FIDO Logonを利用するためにはPCにクライアントソフトウェアをインストールする必要があります。
基本的な手順では、エンドユーザー自身がインストーラーをダウンロードし、インストールを行います。
ただし、エンドユーザーの操作をなるべく少なくしたいと考えるお客様の場合、これらの操作を管理者側で行いたい場合があります。
主に大規模な組織内でご利用のお客様に当てはまります。
ADのソフトウェア配布機能やソフトウェア管理ツールを使用している場合はその配布機能を使用し、管理者の操作で各PCに一括インストールを行うことができます。
以下の手順を参照してください。
インストール後に行う登録コードによる有効化手順は以下を参照してください。
PCのキッティングとして、ソフトウェアのインストールを一括で行い、その設定を複数のPCにコピーする場合は、あらかじめFIDO Logonのインストーラーのインストールと登録コードによる有効化を完了した状態で、PCのコピーを行ってください。
これらの手順を行う場合、次の点にご注意ください。
ソフトウェアのインストールを自動的に行った場合でも、アカウントと認証器の割り当ては別途行う必要があります。
サインインオプションの限定を有効に設定している場合の注意点
YubiOn FIDO Logonのグループポリシーで、「サインインオプションの限定」を有効に設定している場合、新しくPCにFIDO Logonのクライアントソフトウェアをインストールをすると、エンドユーザーがまだ認証器の割り当てを完了していないため、PCにログオンができなくなります。
エンドユーザーが認証器の割り当てを行うために、ソフトウェアインストール後に、少なくとも一度はPCにログオンできるようにする必要があります。
このような問題を回避するためには、いくつかの方法が考えられます。
このシナリオではYubiOn FIDO Logonのグループポリシーで、「パスワードログオン許可設定」を有効にします。
この設定を行うことで、まだ認証器を割り当てていないアカウントがパスワードのみでログオンができるようになります。
エンドユーザーは一度パスワードでPCにログオンした後、YubiOn FIDO Logonの設定ツールで認証器を割り当てることができます。
ただし、エンドユーザーが認証器を割り当てるまではパスワードでログオンができる状態になるため、管理者が期待するセキュリティのために、エンドユーザーに割り当てを完了するよう促す必要があります。
手順
未登録のPCを登録すると、初期状態では自動的にデフォルトのグループポリシーが設定されます。
登録直後は「サインインオプションの限定」設定を無効にしたデフォルトのポリシーで動作し、登録のための期間が過ぎた後、運用のために設定したポリシーを適用するシナリオです。
手順
管理者がエンドユーザーの代わりにあらかじめ認証器を割り当てるシナリオです。
このシナリオは対象となるPCが多数ある場合は管理者の負担が大きくなるため、対象のPC少数の場合のみ検討することをお勧めします。
例えば、導入時の既存PCへの設定は別のシナリオで設定し、新規購入した少数のPCはこのシナリオで設定するなどの組み合わせが考えられます。
管理者は、管理Webのアカウント画面で認証器の割り当てを行うことができます。
ただし、そのためには対象アカウント情報がYubiOn FIDO Logonのサーバーにアップロードされている必要があります。
アカウント情報のアップロードは、クライアントソフトウェアがインストールされたPCがネットワークに接続されているとき、自動的にアップロードされます。
アカウント情報がアップロードされるタイミングは次の通りです。
手順
管理者は保守を行うために、エンドユーザーが使用するすべてのPCにログオンできるようにしておきたい場合があります。
お客様の環境ごとの解決方法について記載します。
ドメイン環境の場合、ドメインの管理者アカウントが利用できます。
ドメインアカウントの認証器割り当て情報はカスタマー内で共通なため、ドメインアカウントに認証器を割り当てると、サーバーを通じてソフトウェアインストール済みのすべてのPCにその割り当て情報が反映されます。
この仕組みを使えば、一度の認証器割り当て操作を行うだけで、すべてのPCにドメインの管理者アカウントでログオンすることが出来るようになります。
手順
ドメインアカウントの認証器割り当て状況は、アカウント画面 から確認することができます。
ローカルアカウントの場合、PCごとにアカウントが異なるため、たとえ1台のPCで認証器を割り当てても、ドメインアカウントのようにすべてのPCに反映させることはできません。
すべてのPCにログオンできるようにするためには、すべてのPCに対して、ローカル管理者アカウントと認証器の割り当てを行う必要があります。
これらの設定はPCが新しく追加されるたびに新たに割り当て操作を行う必要があるため、管理者の負担が大きくなります。
代替の方法として、パスワードログオン許可設定を有効に設定し、管理者はパスワードのみでログオンする方法が考えられます。
この設定が有効な時、認証器が割り当てられていないアカウントでログオンする際、パスワードでログオンを行うことができます。
管理者はパスワードのみでログオンし、エンドユーザーのアカウントは認証器を割り当てて二要素認証でログオンします。
ただし、二要素認証ではないため、セキュリティ強度が落ちていることにご注意ください。
手順
お客様の組織によってはエンドユーザーが利用する認証器の管理を行い、エンドユーザーが自身で準備した認証器を自由に使わせたく無い場合があります。
次の設定を行うことで、管理者がすべての認証器の割り当てを行い、エンドユーザーが認証器の追加や削除をさせないようにすることができます。
手順
この設定を行った場合、PCの設定ツールから認証器追加または削除を禁止することができます。
管理者も設定ツールから認証器を追加することが出来なくなるため、管理者が認証器を追加または削除する場合は、管理Web画面のアカウント管理の画面から認証器の追加または削除します。
認証器の追加を行う場合は、対象の認証器を管理者の手元に用意する必要があることにご注意ください。
エンドユーザーが認証器を紛失した場合は、認証器を拾得した第三者に不正利用されないように、速やかに登録情報を解除する必要があります。
解除後にエンドユーザーに新しい認証器を配布し、再設定します。
新しい認証器を設定するまではエンドユーザーがPCにログオンできないため、一時的なパスワードログオンを許可します。
手順
1台のPCを1人のエンドユーザーが使用する場合、それぞれのPCで認証器の割り当てを行いますが、共用のPCに対し複数人がログオンすることも可能です。
ドメイン環境の場合、ドメインのアカウントが利用できます。
共用のPCにログオンするエンドユーザーが、すでに自分のPCでアカウントと認証器の割り当てを完了している場合は、追加の設定をすることなくその共用端末にドメインアカウントでログオンすることができます。
これはドメインアカウントの認証器割り当て情報はカスタマー内で共通で、ドメインアカウントに認証器を割り当てると、サーバーを通じてソフトウェアインストール済みのすべてのPCにその割り当て情報が反映されるためです。
共用のPCにログオンするエンドユーザーが、自身のアカウントに認証器の割り当てが完了していない場合は、次の手順で認証器の割り当てを行ってください。
手順
ドメインアカウントの認証器割り当て状況は、アカウント画面 から確認することができます。
共用PCがドメインに参加していない場合、共用PCのローカルアカウントに対し、認証器の割り当てを行う必要があります。
共用PCのローカルアカウントは、ログオンを行うエンドユーザーごとに異なるローカルアカウントを作成する場合と、一つのアカウントを使いまわす場合が考えられます。
エンドユーザーが対象のローカルアカウントにパスワードでログオンし、自分の認証器を割り当てるシナリオです。
手順
ローカルアカウントが共通の場合、「パスワードログオン許可」設定を有効にしてエンドユーザー自身が認証器を割り当てることは難しくなります。
「パスワードログオン許可」設定は、1つでも認証器を割り当てると、次回からパスワードのみの認証器ができなくなるため、1人目のユーザーが認証器を割り当てた後、2人目のユーザーがログオンすることができません。
つまり、1人目のユーザーがパスワードでログオンした時に、すべての認証器の割り当てを完了する必要があります。
または、管理者が管理Webのアカウント画面からすべての認証器の割り当て登録を行ってください。
お客様の環境によっては、特定の業務を行うための共用PCを準備しており、そのPCのセキュリティを強化したい場合があります。
このような場合、認証器を一人一人が持つのではなく、その共用PCを使用する時だけ認証器を貸し出し、使用が終わると返却するという運用を行うことができます。
例えば次のような運用方法です。
認証器を使用するためにはPINまたは生体情報(指紋)が必要となります。
生体情報タイプの認証器は登録できる生体情報の数が限られるため、共用で使用する認証器としては向いていません。
また、PINタイプの認証器を使用する場合でも、ユーザーにその認証器のPINを教える必要があります。
セキュリティを維持するために、ユーザーへの貸し出しごとに管理者がPINを変更するなどの運用を検討してください。
貸し出しごとにPINを変更しない場合は、不正な利用を防止するため、認証器の物理的な管理を厳密に行う必要があることにご注意ください。
[Ver.3.0.0.1以降]
遠隔地のPCにリモートデスクトップ接続する際のログオンでもFIDOによる認証を行うことができます。
この機能はソフトウェアVer.3.0.0.1以降で利用することができるようになりました。
リモートデスクトップの接続時にIDとパスワードを入力する操作は通常と同じですが、接続後のログオンウィンドウでFIDOの認証が動作します。
また、接続元PCのOSがWindows10かWindows11かで表示や動作が異なります。
例えば、スマートフォンによる認証を行いたい場合は接続元PCがWindows11である必要があります。
リモートデスクトップ時のログオン操作については以下を参照してください。
リモート接続先のPCはあらかじめソフトウェアのインストールが必要です。
接続元のPCにはソフトウェアのインストールは必須ではありません。
接続先のPCで認証器の割り当てを行う必要がありますが、割り当ては直接PCを操作して行うか、またはリモートデスクトップ接続をして行うことができます。
リモートデスクトップ接続をして割り当てを行う場合、直接PCを操作する時と比べ、設定ツールの一部の表示や操作が異なりますのでその点にご注意ください。
リモートデスクトップ接続先のPC上で認証器を登録する場合の詳細は、以下手順を参照してください。