運用手順

YubiOn FIDO Logonを組織内で使用するための一般的な手順です。

導入シナリオ

  • 管理者が登録と設定を行い、組織内の複数のエンドユーザーの端末PCにYubiOn FIDO Logonを導入し、セキュリティ強化を行います。 導入シナリオ

導入の流れ

  • カスタマー登録
  • グループポリシー設定
  • ソフトウェアインストール
  • 認証器登録

導入シナリオについてのご注意

  • エンドユーザーの操作について
    本手順では全体的な設定は管理者が行い、ソフトウェアインストールや認証器登録などの一部操作はエンドユーザーが行うことを想定しています。
    導入規模が大きくなると、管理者がすべての設定を行うことが難しくなるためです。
    エンドユーザーに設定をさせず、管理者が設定を行うことを想定する場合は、設定の際に物理的な制約があることにご注意ください。
    お客様の導入規模や運用ポリシーに合わせて、どの操作を誰が行うかを検討していただき、最適な導入シナリオを決定してください。

    ソフトウェアインストールおよび登録コードの登録操作は、ActiveDirectoryの機能やその他ソフトウェア管理サービスなどで一括導入を行うことも可能です。
    詳しくは高度な設定を参照ください。

    エンドユーザーに確実に認証器を登録させたい場合
    グループポリシーの「認証器未登録アカウントへのログオン」において、「初回のみパスワードでログオンし、認証器の登録を強制する」を適用することにより、Windowsログオン時の認証器登録を必須にさせることができます。
    エンドユーザーに確実に認証器を登録させたい場合は、当ポリシーの利用をぜひご検討ください。


    手順 管理者 エンドユーザー 備考
    カスタマー登録 - 管理者のみ
    グループポリシー設定 - 管理者のみ
    ソフトウェアインストール ※操作は手元に端末PCが必要
    認証器登録
    Web管理画面で登録
    生体認証デバイスは不可
    端末PCの設定ツール
    /ログオン画面で登録    		 ※操作は手元に認証器が必要

  • 認証器について
    認証器は種類により仕様や操作方法が異なります。
    認証器の操作方法につきましてはベンダーのマニュアルをご用意ください。

    FIDO2対応の認証器については登録時にPINや生体登録(指紋など)設定が必要です。
    なお、PINの登録は認証器の登録時にFIDO Logonのソフト上で設定することも可能です。
    ただし、指紋の登録につきましては、PINの登録後に別途行う必要があります。

    PINの設定や生体登録設定はその認証器を使うエンドユーザー自身が行う必要があります。
    管理者が登録を行うシナリオを想定する場合でも、PINや生体登録設定をエンドユーザーが再設定することをあらかじめご考慮ください。

    • FIDO Logonで利用可能な認証器(セキュリティキーまたはスマートフォン)は、こちらを参照してください。
    • Windowsの機能による認証器(セキュリティキー)のPINや生体のセットアップ方法につきましては、こちらを参照してください。