2017年2月7日火曜日

[Windows Hello]Yubikeyを使ってWindows 10 PCにサインインする

こんにちは、富士榮です。

そう言えば昨年秋にYubikeyがWindows Helloに対応した、という話がアナウンスされましたが試していなかったので、やってみました。

 Yubicoからのアナウンス
  Yubikey Works With Windows Hello
  https://www.yubico.com/2016/09/yubikey-works-windows-hello/


流石にネイティブでは対応していないので、ストアから専用アプリ「Yubikey for Windows Hello」をダウンロードしてセットアップしてあげる必要があります。

中身はWindows Helloコンパニオン・デバイス・フレームワークを使っているみたいです。昨年のCIS(Cloud Identity Summit)Alex SimonsがデモしていたMicrosoft Band(死語)でのWindows 10へサインインするのに使うヤツです。

 Windows Helloコンパニオン・デバイス・フレームワーク
 https://msdn.microsoft.com/ja-jp/windows/uwp/security/companion-device-unlock


◆必要な物

とりあえず以下のものが必要です。

  • Windows 10 ver. 1607 / Build 14393.321以降
  • Yubikey 4 or Yubikey 4 nano, Yubikey NEO or Yubikey NEO-n

左がYubikey NEO、右がYubikey 4です。


ちなみに、私はYubikey 4とYubikey NEOの両方で試してみましたが、Yubikey NEOを使う場合はCCIDモードを有効にする必要があります。

CCIDモードを有効化するには、Yubikey NEO Managerを使ってYubikeyの設定する必要があります。

これがCCIDモードが無効な状態なので、「Change connection mode」をクリックして設定を変更します。

真ん中のCCIDにチェックを入れてOKをクリックします。
一旦Yubikeyを抜くように言われるので、抜いて指し直すとCCIDモードが有効になり、以下のような画面になります。


これでYubikey側の設定はおしまいです。ちなみにYubikey 4の方はこの操作は不要です。


◆Yubikey for Windows Helloを使ってYubikeyを登録する

先にも書いた通り、Yubikeyを使ってサインインするには、ストアから専用アプリをダウンロードしてYubikeyを登録する必要があります。

ストアで「Yubikey for Windows Hello」を検索し、インストールします。


インストールが完了したら早速アプリを開き、Yubikeyの登録を進めます。

「Register」をクリックし、登録開始です。

Yubikeyを差すように求められるので、USBポートにYubikeyを差します。

こんな感じです。
Yubikeyが正常に認識されると名前を付けるように言われるので適当に名前を付けます。

「Continue」をクリックすると認証を求められます。

これで完了です。



ちなみに、CCIDモードが無効なYubikeyを差すと、以下のエラーが出るので先にCCIDモードを有効にしておいてください。


◆サインインしてみる

一旦Windowsをロック(もしくはサインアウト)するとサインイン・オプションに「コンパニオン・デバイス」が出てくるようになります。



これを選択してYubikeyを差し込むと一瞬でサインインされます。
(ちなみにYubikeyをOTPデバイスとして使うわけではないので、タッチしてOTPを生成する必要はなく、差し込んだだけで認証されます)

こんな感じです。



指紋や虹彩など色々な認証デバイスもありますが、Yubikeyは比較的安価で手に入りますし、手軽に使うには良いかも知れませんね。

0 件のコメント:

コメントを投稿