運用のヒント

YubiOn FIDO Logonは導入の方法や設定が複数あり、どのように選択するかはお客様の目的によってさまざまです。
この章では、お客様がYubiOn FIDO Logonの運用を検討する際にヒントとなる情報として、さまざまな目的に合わせて具体的にどのような設定や運用方法を選択できるかを記載します。

目次

ソフトウェアのインストールを一括で行う

YubiOn FIDO Logonを利用するためにはPCにクライアントソフトウェアをインストールする必要があります。
基本的な手順では、エンドユーザー自身がインストーラーをダウンロードし、インストールを行います。
ただし、エンドユーザーの操作をなるべく少なくしたいと考えるお客様の場合、これらの操作を管理者側で行いたい場合があります。
主に大規模な組織内でご利用のお客様に当てはまります。

ADなどのソフトウェア配布機能を使う方法

ADのソフトウェア配布機能やソフトウェア管理ツールを使用している場合はその配布機能を使用し、管理者の操作で各PCに一括インストールを行うことができます。
以下の手順を参照してください。

インストール後に行う登録コードによる有効化手順は以下を参照してください。

PCのキッティングを別途行っている場合

PCのキッティングとして、ソフトウェアのインストールを一括で行い、その設定を複数のPCにコピーする場合は、あらかじめFIDO Logonのインストーラーのインストールと登録コードによる有効化を完了した状態で、PCのコピーを行ってください。

一括インストールを行う場合の注意点

これらの手順を行う場合、次の点にご注意ください。

ソフトウェアのインストールを自動的に行った場合でも、アカウントと認証器の割り当ては別途行う必要があります。

  • サインインオプションの限定を有効に設定している場合の注意点
    YubiOn FIDO Logonのグループポリシーで、「サインインオプションの限定」を有効に設定している場合、新しくPCにFIDO Logonのクライアントソフトウェアをインストールをすると、エンドユーザーがまだ認証器の割り当てを完了していないため、PCにログオンができなくなります。
    エンドユーザーが認証器の割り当てを行うために、ソフトウェアインストール後に、少なくとも一度はPCにログオンできるようにする必要があります。
    このような問題を回避するためには、いくつかの方法が考えられます。

    パスワードログオン許可設定を利用する方法

    このシナリオではYubiOn FIDO Logonのグループポリシーで、「パスワードログオン許可設定」を有効にします。
    この設定を行うことで、まだ認証器を割り当てていないアカウントがパスワードのみでログオンができるようになります。
    エンドユーザーは一度パスワードでPCにログオンした後、YubiOn FIDO Logonの設定ツールで認証器を割り当てることができます。
    ただし、エンドユーザーが認証器を割り当てるまではパスワードでログオンができる状態になるため、管理者が期待するセキュリティのために、エンドユーザーに割り当てを完了するよう促す必要があります。

    手順

    1. グループポリシー画面で、運用で使用するポリシーを選択し、「パスワードログオン許可」設定を有効に設定します。
    1. エンドユーザーに認証器を渡します。
    2. エンドユーザーはPCにパスワードでログオンし、設定ツールで認証器を割り当てます。

      エンドユーザーが認証器の割り当てを完了しているかは、管理Webのアカウント画面で確認することができます。

    認証器割り当てを行うまで、サインインオプションの限定の設定を無効にする方法

    未登録のPCを登録すると、初期状態では自動的にデフォルトのグループポリシーが設定されます。
    登録直後は「サインインオプションの限定」設定を無効にしたデフォルトのポリシーで動作し、登録のための期間が過ぎた後、運用のために設定したポリシーを適用するシナリオです。

    手順

    1. デフォルトのグループポリシーの「サインインオプションの限定」設定を無効に設定しておきます。
    2. 通常運用するためのポリシーを新規に作成し、「サインインオプションの限定」を有効に設定します。
    • ポリシー追加
      この時、その他運用上必要な設定はこのポリシーに設定します。
    1. エンドユーザーに認証器を渡します。
    2. 管理者はエンドユーザーに対し、指定期間以内に認証器を割り当てるように促します。
    3. エンドユーザーは期間中、パスワードでPCにログオンし、設定ツールで認証器を割り当てます。
    4. 管理者は、指定した期間が過ぎた後、対象のPCのグループポリシーを、運用のためのポリシーに変更します。

      エンドユーザーが認証器の割り当てを完了していない場合、エンドユーザーがPCにログオンできなくなる点にご注意ください。
      エンドユーザーが認証器の割り当てを完了しているかは、管理Webのアカウント画面で確認することができます。

    管理者が認証器の割り当てを行う方法

    管理者がエンドユーザーの代わりにあらかじめ認証器を割り当てるシナリオです。
    このシナリオは対象となるPCが多数ある場合は管理者の負担が大きくなるため、対象のPC少数の場合のみ検討することをお勧めします。
    例えば、導入時の既存PCへの設定は別のシナリオで設定し、新規購入した少数のPCはこのシナリオで設定するなどの組み合わせが考えられます。

    管理者は、管理Webのアカウント画面で認証器の割り当てを行うことができます。
    ただし、そのためには対象アカウント情報がYubiOn FIDO Logonのサーバーにアップロードされている必要があります。
    アカウント情報のアップロードは、クライアントソフトウェアがインストールされたPCがネットワークに接続されているとき、自動的にアップロードされます。
    アカウント情報がアップロードされるタイミングは次の通りです。

    • 設定ツールを起動した時。
    • PCのスクリーンロックや再起動などを行った(FIDO Logonのログオンアプリケーションが動作した)時。

    手順

    1. 管理Webのアカウント画面で、対象のアカウントに認証器を割り当てます。
    2. 割り当てた認証器を各エンドユーザーに配布します。

全てのPCに管理者がログオンできるようにする

管理者は保守を行うために、エンドユーザーが使用するすべてのPCにログオンできるようにしておきたい場合があります。
お客様の環境ごとの解決方法について記載します。

ドメイン環境の場合

ドメイン環境の場合、ドメインの管理者アカウントが利用できます。

ドメインアカウントの認証器割り当て情報はカスタマー内で共通なため、ドメインアカウントに認証器を割り当てると、サーバーを通じてソフトウェアインストール済みのすべてのPCにその割り当て情報が反映されます。
この仕組みを使えば、一度の認証器割り当て操作を行うだけで、すべてのPCにドメインの管理者アカウントでログオンすることが出来るようになります。

1度の割り当てですべてのPCにログオン

手順

  1. PCの設定ツールまたは管理Webのアカウント画面から、ドメインの管理者アカウントに認証器を割り当てます。

ドメインアカウントの認証器割り当て状況は、アカウント画面 から確認することができます。

非ドメイン環境の場合

ローカルアカウントの場合、PCごとにアカウントが異なるため、たとえ1台のPCで認証器を割り当てても、ドメインアカウントのようにすべてのPCに反映させることはできません。
すべてのPCにログオンできるようにするためには、すべてのPCに対して、ローカル管理者アカウントと認証器の割り当てを行う必要があります。
これらの設定はPCが新しく追加されるたびに新たに割り当て操作を行う必要があるため、管理者の負担が大きくなります。

代替の方法として、パスワードログオン許可設定を有効に設定し、管理者はパスワードのみでログオンする方法が考えられます。
この設定が有効な時、認証器が割り当てられていないアカウントでログオンする際、パスワードでログオンを行うことができます。
管理者はパスワードのみでログオンし、エンドユーザーのアカウントは認証器を割り当てて二要素認証でログオンします。
ただし、二要素認証ではないため、セキュリティ強度が落ちていることにご注意ください。

手順

  1. 管理Webのグループポリシー画面を開きます。
  2. 対象のPCが含まれるポリシーを選択し、「パスワードログオン許可」設定を有効に設定します。

エンドユーザーにセキュリティキーの追加および削除操作をさせない

お客様の組織によってはエンドユーザーが利用する認証器の管理を行い、エンドユーザーが自身で準備した認証器を自由に使わせたく無い場合があります。
次の設定を行うことで、管理者がすべての認証器の割り当てを行い、エンドユーザーが認証器の追加や削除をさせないようにすることができます。

手順

  1. YubiOn FIDO Logonのグループポリシー設定で、「設定ツールでの認証情報管理モード」を変更し、「登録と削除を禁止」に設定します。

この設定を行った場合、PCの設定ツールから認証器追加または削除を禁止することができます。

管理者も設定ツールから認証器を追加することが出来なくなるため、管理者が認証器を追加または削除する場合は、管理Web画面のアカウント管理の画面から認証器の追加または削除します。
認証器の追加を行う場合は、対象の認証器を管理者の手元に用意する必要があることにご注意ください。

エンドユーザーが認証器を紛失した場合の対応

エンドユーザーが認証器を紛失した場合は、認証器を拾得した第三者に不正利用されないように、速やかに登録情報を解除する必要があります。
解除後にエンドユーザーに新しい認証器を配布し、再設定します。
新しい認証器を設定するまではエンドユーザーがPCにログオンできないため、一時的なパスワードログオンを許可します。

手順

  1. 管理Webのアカウント画面にアクセスし、対象のアカウントに割り当てられた認証器を解除します。
  1. 対象アカウントに対して「緊急ログオン」の設定を行い、一時的にパスワードのみのログオンを許可します。
  1. 予備の認証器を準備し、エンドユーザーに送付します。
  2. エンドユーザーはパスワードでPCにログオンし、設定ツールを使って新しく届いた認証器の割り当てを行います。
  3. 緊急ログオンの設定を解除します。

1台の共用PCを複数人で使用する

1台のPCを1人のエンドユーザーが使用する場合、それぞれのPCで認証器の割り当てを行いますが、共用のPCに対し複数人がログオンすることも可能です。

ドメイン環境の場合

  • ドメイン環境の場合、ドメインのアカウントが利用できます。

    ログオンするエンドユーザーの認証器割り当てが完了している場合

    共用のPCにログオンするエンドユーザーが、すでに自分のPCでアカウントと認証器の割り当てを完了している場合は、追加の設定をすることなくその共用端末にドメインアカウントでログオンすることができます。
    これはドメインアカウントの認証器割り当て情報はカスタマー内で共通で、ドメインアカウントに認証器を割り当てると、サーバーを通じてソフトウェアインストール済みのすべてのPCにその割り当て情報が反映されるためです。

    ログオンするエンドユーザーの認証器割り当てが完了していない場合

    共用のPCにログオンするエンドユーザーが、自身のアカウントに認証器の割り当てが完了していない場合は、次の手順で認証器の割り当てを行ってください。
    手順

    1. PCの設定ツールまたは管理Webのアカウント画面から、ドメインの管理者アカウントに認証器を割り当てます。

    ドメインアカウントの認証器割り当て状況は、アカウント画面 から確認することができます。

非ドメイン環境の場合

  • 共用PCがドメインに参加していない場合、共用PCのローカルアカウントに対し、認証器の割り当てを行う必要があります。
    共用PCのローカルアカウントは、ログオンを行うエンドユーザーごとに異なるローカルアカウントを作成する場合と、一つのアカウントを使いまわす場合が考えられます。

    ローカルアカウントがエンドユーザーごとに異なる場合

    エンドユーザーが対象のローカルアカウントにパスワードでログオンし、自分の認証器を割り当てるシナリオです。

    手順

    1. グループポリシー画面で、運用で使用するポリシーを選択し、「パスワードログオン許可」設定を有効に設定します。
    1. エンドユーザーに認証器を渡します。
    2. エンドユーザーはPCにパスワードでログオンし、設定ツールで認証器を割り当てます。

    ローカルアカウントがエンドユーザーで共通(一つ)の場合

    ローカルアカウントが共通の場合、「パスワードログオン許可」設定を有効にしてエンドユーザー自身が認証器を割り当てることは難しくなります。
    「パスワードログオン許可」設定は、1つでも認証器を割り当てると、次回からパスワードのみの認証器ができなくなるため、1人目のユーザーが認証器を割り当てた後、2人目のユーザーがログオンすることができません。
    つまり、1人目のユーザーがパスワードでログオンした時に、すべての認証器の割り当てを完了する必要があります。
    または、管理者が管理Webのアカウント画面からすべての認証器の割り当て登録を行ってください。

共用PCにログオンする時だけ認証器を貸し出す

お客様の環境によっては、特定の業務を行うための共用PCを準備しており、そのPCのセキュリティを強化したい場合があります。
このような場合、認証器を一人一人が持つのではなく、その共用PCを使用する時だけ認証器を貸し出し、使用が終わると返却するという運用を行うことができます。
例えば次のような運用方法です。

  1. ユーザーに認証器を貸し出し
    認証器を貸出
  2. ユーザーがその認証器を使用して共用端末にログオン
    認証器で共用端末にログオン
  3. 作業終了後に認証器を返却
    認証器を返却

認証器を使用するためにはPINまたは生体情報(指紋)が必要となります。
生体情報タイプの認証器は登録できる生体情報の数が限られるため、共用で使用する認証器としては向いていません。

また、PINタイプの認証器を使用する場合でも、ユーザーにその認証器のPINを教える必要があります。
セキュリティを維持するために、ユーザーへの貸し出しごとに管理者がPINを変更するなどの運用を検討してください。
貸し出しごとにPINを変更しない場合は、不正な利用を防止するため、認証器の物理的な管理を厳密に行う必要があることにご注意ください。

遠隔地のPCにリモートデスクトップ接続する

[Ver.3.0.0.1以降] 遠隔地のPCにリモートデスクトップ接続する際のログオンでもFIDOによる認証を行うことができます。
この機能はソフトウェアVer.3.0.0.1以降で利用することができるようになりました。

リモートデスクトップの接続時にIDとパスワードを入力する操作は通常と同じですが、接続後のログオンウィンドウでFIDOの認証が動作します。
また、接続元PCのOSがWindows10かWindows11かで表示や動作が異なります。
例えば、スマートフォンによる認証を行いたい場合は接続元PCがWindows11である必要があります。

リモートデスクトップ時のログオン操作については以下を参照してください。

リモート接続先のPCはあらかじめソフトウェアのインストールが必要です。
接続元のPCにはソフトウェアのインストールは必須ではありません。

リモートデスクトップイメージ

接続先のPCで認証器の割り当てを行う必要がありますが、割り当ては直接PCを操作して行うか、またはリモートデスクトップ接続をして行うことができます。
リモートデスクトップ接続をして割り当てを行う場合、直接PCを操作する時と比べ、設定ツールの一部の表示や操作が異なりますのでその点にご注意ください。
リモートデスクトップ接続先のPC上で認証器を登録する場合の詳細は、以下手順を参照してください。