年忘れはFIDOで！指紋認証付きのeWBM Goldengateを試す

こんにちは、富士榮です。

世の中は大晦日ですが、今日になってeWBMさんよりGoldengate G310が届いたので軽く試してみます。

届いたのは、G310というFIDO2対応のキーです。
https://www.ewbm.com/security-keys/goldengate-g310/

韓国から直送で送られてきたっぽいです。
まだ日本のAmazonでは買えないので、直販サイトか米国Amazonで買うのがいいみたいです。
　直販サイト
　　https://www.ewbm.com/store/products/goldengate-g310/
　米国Amazon
　　https://www.amazon.com/s?k=ewbm+g310&ref=nb_sb_noss_2

定価は60ドルですが、直販サイトだと初回は45ドルで買えるみたいです。
（私はMVPのサードパーティ特典で頂きました）


なんだかキーばっかり増えちゃって微妙な感じですが、Yubikeyとの大きな違いは指紋認証機能があることですね。

キーだらけ・・・

やれることは正直他のFIDO2対応のキーと変わらないので、今更動きについて解説する必要もないと思いますので、先日のAXIES（大学ICT推進協議会）の年次大会でお見せしたG SuiteへAzure AD B2C+FIDO実装を使ってパスワードレスでログインするデモを張っておきます。

最大の特徴の指紋登録ですが、以下の2通りの方法で設定できます。
１．公式のツール「Goldengate BioManager」を使う
２．Windowsのアカウント設定を使う

それぞれ簡単に。
まずは公式ツール「Goldengate BioManager」を使う方式から。

ツールはこの辺りからダウンロードできます。
　https://www.ewbm.com/support/BioManager/

ちなみにダウンロードしてセットアップしようとするとWindowsに実行をブロックされますが無視して進めます・・・

セットアップが終わりツールを起動するとこんな画面が出てきます。
言語の切り替えもできて、日本語も選べます。

次は指紋の登録です。

指紋追加を選ぶとタッチする様に促されるのでベタベタ触ります。

登録が終わると、登録済みの指紋以外でタッチしてもキーが反応しなくなります。
あと、PINが聞かれなくなります。

※指紋登録していない状態だと単純にタッチ＋PINだけでサインインできる（Yubikeyと同じ挙動）が、指紋登録をすると登録していない指だとサインインできない。


ちなみに、2つ目の登録手段であるWindowsの標準の設定です。
設定⇒アカウントのセットアップから登録できます。

ちなみにWindows Helloの設定も同じ設定メニュー内にありますが、あくまでセキュリティキーの設定なのでここでセットアップしてもセキュリティキーでWindowsログインが出来るようになるわけではありません。もしOSログインにも使いたければ使うアカウントの設定をMicrosoftアカウントなりAzure ADアカウントなりで設定する必要があります。

指紋の追加は先ほどのBioManagerとほぼ同じです。

セキュリティキー＋PINだけでは不安な方は指紋認証機能も付いているGoldengateも一つの選択肢となりえますね！

[Azure AD/Intune]ログイン画面からPINをリセットする

こんにちは、富士榮です。

前回はAzure AD JoinしているWindows 10 PCのパスワードをログイン画面からリセットする方法を紹介しましたが、今回はPINをリセットする方法です。

まぁ、パスワードでログインすればいいじゃないか、という話もあるにはあるのですが、PINを忘れてしまうとログイン後、PINの削除＝Windows Hello関連の設定のクリアをしてからPINの再設定、Windows Hello関連（顔とか指紋）の再登録という手順になるので、確かにPINだけでリセット出来るととても便利です。

こちらもパスワードリセットとほぼ同じ方法で設定をすることになるので、今回は差分となる部分を紹介します。

◆必要な物、準備事項

• デバイス
• Azure AD参加したWindows 10 Creator Updateが動作しているPC（パスワードと違ってCreator Update/1703からこの機能は使えるとドキュメント上は書いてあります。が、私の環境ではFall Creator Updateでないと動きませんでした）
• ライセンス
• 該当ユーザにIntuneのライセンスが割り当たっていること（GPOやPowerShellで対象PCのレジストリを直接操作してもOKですが、Intuneがあると便利です。本ポストではIntuneを使ってポリシーを配布する方法を紹介します）
• 設定
• IntuneでPINリセット用のプロファイルを構成していること

早速やってみます。

◆Intuneでデバイス構成プロファイルを作成する

前回同様、Azure PortalからIntune、Device ConfigurationからProfilesを開き、Create profileをより新規プロファイルを作成します。

ほぼパスワードリセットの時と作成するプロファイルは同じなのですが、設定するOMA-URIだけが以下のものとなります。

./Device/Vendor/MSFT/PassportForWork/[Tenand Id]/Policies/EnablePinRecovery

このTenant IdはAzure ADのプロパティから取得できるテナントIDです。

これで完了です。パスワードリセットよりも簡単です。

◆リセットする

構成が上手くいくとWindows 10 PCのログイン画面にPINリセットのリンクが表示されます。（もちろんAzure AD参加、Intuneへのデバイス登録がされていることが前提です）

このリンクから以下の様にPINリセットを進めることが出来ます。

パスワードでログインし、多要素認証を行います。

警告が表示されます。PINはデバイス単位なので、当然リセットはデバイス毎に行う必要があります。（忘れた奴だけやればOKですが）

新しいPINを登録します。

完了すると新しいPINでログインできるようになります。

前回のパスワードリセットを含め、ログイン画面から出来ることが増えているので、ヘルプデスクの負荷を下げるには、Windows 10+Azure AD/Intuneの組み合わせは良いと思います。

疑似指紋とWindows Helloを対決させてみた ～パート２

こんにちは、富士榮です。

先日、疑似指紋でWindows Helloの指紋認証を突破できるか？を試してみて結果惨敗したんですが、別の指紋認証デバイスを入手したので、再度対決させてみました。

結果、「突破できました！！！」

今回試したのは、PQI JapanのMy Lockeyです。FIDOのUAFにも対応している優れモノです。以下の画像をクリックするとAmazonの商品ページへ飛びます。

Amazonで4290円で売っています。

大きさなどはMouse Computerのヤツより若干大きいくらいですが、仕上げはMy Lockeyの方が高級感があります。

感度はMy Lockeyの方が格段にいいです。

Macbook Airに挿すとこんな感じです。指紋認証するときにMagsafeがかなりの確率で外れます。

まぁ、良し悪しはおいておいて、指紋がない人とかには有効なんじゃないでしょうか。

疑似指紋とWindows Helloを対決させてみた

こんにちは、富士榮です。

まもなく冬がやってくる、ということで疑似指紋が話題ですね。

これからの季節にピッタリ！手袋をしたままiPhoneで指紋認証ができる「疑似指紋 Diper ID」が便利 - Engadget日本語版

http://japanese.engadget.com/2017/11/24/iphone-diper-id/ 

話題になるのと同時に当然ですが、なんだか香ばしい感じもしますが・・・。ポイントは3万パターン（も？しか？）あることと、あくまで疑似指紋なので自分の指紋のコピーを作るわけじゃない、というあたりらしいです。

ということでとりあえず近所のロフトで買ってきました。

1パッケージに3枚入っていて1580円（税別）という微妙な値付けです。

Touch IDに特化した、とありますが今回はWindows Helloを対決してみたいと思います。

試してみたのは、

• Surface Pro4の指紋センサー付きType Coverキーボード
• マウスコンピュータのUSB指紋リーダー

の2つです。

マウスコンピュータのやつはこれですね。

結論から言うと、ダメでした。

2017/12/16続報。別の指紋センサーで試したら突破できました。
http://idmlab.eidentity.jp/2017/12/windows-hello_16.html

指紋センサー付きType CoverではWindows Helloへの指紋登録までは何とか出来るのですが、いざログインしてみようとすると上手く認識をしてくれませんし、マウスコンピュータの方は指紋登録の段階でうまく認識してくれませんでした。
もしかして単純に向きが悪かっただけなのかも知れませんが、iPhoneのTouch IDでは全然問題なく使えるので、やはり「Touch IDに特化」というのはあながち嘘ではないのかも知れません。


とりあえず対決の記録を残しておきます。

まずは開封の儀です。
開封すると台紙に3枚の疑似指紋シールが入っています。

でっぱりがある方を先端にして手袋などに張り付けます。

まずは、Surface Pro4＋Type Coverです。
Windows Helloの設定で指紋を登録していきます。認識率はあまり良くないものの何度もリトライしつつ指紋登録を完了することが出来ました。

登録が出来たので、早速ログインをしてみます。

うーむ。全然認識してくれずリトライ回数オーバーです。

次にマウスコンピュータの指紋センサーです。
こちらはUSBタイプでPCの横に飛び出る感じになりますので、ここをタッチしてみます。

全く反応しません・・・・

素手だとちゃんと反応するので、センサーが悪いわけじゃなさそうです。

と、言うことで疑似指紋 vs Windows Helloの対決結果は「Windows Helloの圧勝！」ということでした。残念。

[Windows Hello]Yubikeyを使ってWindows 10 PCにサインインする

こんにちは、富士榮です。

そう言えば昨年秋にYubikeyがWindows Helloに対応した、という話がアナウンスされましたが試していなかったので、やってみました。

　Yubicoからのアナウンス
　　Yubikey Works With Windows Hello
　　https://www.yubico.com/2016/09/yubikey-works-windows-hello/


流石にネイティブでは対応していないので、ストアから専用アプリ「Yubikey for Windows Hello」をダウンロードしてセットアップしてあげる必要があります。

中身はWindows Helloコンパニオン・デバイス・フレームワークを使っているみたいです。昨年のCIS（Cloud Identity Summiｔ）でAlex SimonsがデモしていたMicrosoft Band（死語）でのWindows 10へサインインするのに使うヤツです。

　Windows Helloコンパニオン・デバイス・フレームワーク
　https://msdn.microsoft.com/ja-jp/windows/uwp/security/companion-device-unlock

◆必要な物

とりあえず以下のものが必要です。

• Windows 10 ver. 1607 / Build 14393.321以降
• Yubikey 4 or Yubikey 4 nano, Yubikey NEO or Yubikey NEO-n

左がYubikey NEO、右がYubikey 4です。

ちなみに、私はYubikey 4とYubikey NEOの両方で試してみましたが、Yubikey NEOを使う場合はCCIDモードを有効にする必要があります。

CCIDモードを有効化するには、Yubikey NEO Managerを使ってYubikeyの設定する必要があります。

これがCCIDモードが無効な状態なので、「Change connection mode」をクリックして設定を変更します。

真ん中のCCIDにチェックを入れてOKをクリックします。

一旦Yubikeyを抜くように言われるので、抜いて指し直すとCCIDモードが有効になり、以下のような画面になります。

これでYubikey側の設定はおしまいです。ちなみにYubikey 4の方はこの操作は不要です。

◆Yubikey for Windows Helloを使ってYubikeyを登録する

先にも書いた通り、Yubikeyを使ってサインインするには、ストアから専用アプリをダウンロードしてYubikeyを登録する必要があります。

ストアで「Yubikey for Windows Hello」を検索し、インストールします。

インストールが完了したら早速アプリを開き、Yubikeyの登録を進めます。

「Register」をクリックし、登録開始です。

Yubikeyを差すように求められるので、USBポートにYubikeyを差します。

こんな感じです。

Yubikeyが正常に認識されると名前を付けるように言われるので適当に名前を付けます。

「Continue」をクリックすると認証を求められます。

これで完了です。

ちなみに、CCIDモードが無効なYubikeyを差すと、以下のエラーが出るので先にCCIDモードを有効にしておいてください。

◆サインインしてみる

一旦Windowsをロック（もしくはサインアウト）するとサインイン・オプションに「コンパニオン・デバイス」が出てくるようになります。

これを選択してYubikeyを差し込むと一瞬でサインインされます。

（ちなみにYubikeyをOTPデバイスとして使うわけではないので、タッチしてOTPを生成する必要はなく、差し込んだだけで認証されます）

こんな感じです。

指紋や虹彩など色々な認証デバイスもありますが、Yubikeyは比較的安価で手に入りますし、手軽に使うには良いかも知れませんね。

[Windows 10]Microsoft Passport for Work 2Goが来たか？

こんにちは、富士榮です。

Windows 10のデバイスへのサインイン方法は従来のID/パスワードに加えてPINやWindows Helloの生態認証など大幅に拡張されています。

また、追加でWindows 10 Mobileのスマートフォンを使ったサインイン方法が用意される予定で、ついにベータ版のアプリケーションがストアに登場しました。

が、結論まだまだマイクロソフト社内のテスト用に特化しているようで、まともに動きません。残念。

ということで、概要の紹介と試行錯誤の結果だけ書いておきます。

◆スマートフォンを使ったサインイン

機能の名称は「Microsoft Passport for Work 2Go」になるのかな？という気がしていますが、ようするに、Bluetoothで接続されたスマートフォン上で対象のコンピュータ名をタップすることによってサインインできる、という動きになります。

AndroidとChromebookにおけるSmart Lock for Chromebookと同じですね。
※Smart Lock for Chromebookに関する過去のポストはこちら

◆動作に必要な要件

まだ私の環境では動いていないので動作に必要な要件というのもナンセンスなのですが、色々と資料を見ていると、
・Windows 10 mobile（10.0.14283.1000以降？）のスマートフォン
・スマートフォンにはPhone Sign-inアプリがインストールされていること
・Azure ADに登録されたPC（つまりMicrosoft Passport for Workが動いている環境）
　※必然的にTH2以降のWindows 10 Pro以上
・スマートフォンとPCがBluetoothでペアリングされていること
が条件になってきそうです。

◆現状の動き

とりあえず、どんな動きになるのか確認してみます。

＜PC＞
先の条件を満たしたPCにAzure ADのアカウントでサインインすると、サインイン画面にスマートフォンでサインインというメニューが出てきます。

これをクリックするとこんな画面が出てきます。

＜スマートフォン＞
本来はここでスマートフォン側のアプリ（Phone Sign-in）でコンピュータ名を選んでログインするんでしょうが、現状はアプリケーションにアカウントを追加するところでエラーが出て、うまく動きません。

とりあえずできているところまで紹介します。
①ストアからPhone Sign-inをインストールする
　現状ストアアプリで検索しても出てこないので以下のリンクから直接ストアへ移動してダウンロード・インストールを行います。
　https://www.microsoft.com/en-us/store/apps/phone-sign-in-beta/9nblggh5lb73

　ここで問題となるのが、最新のWindows 10 mobileのビルドが要求されてしまうところです。手元にあったWindows 10 mobileは10.0.10586.164だったのですが、このビルドではインストールできませんでした。

仕方がないので、Fast Ringより10.0.14283.1000へあげてみます。ちなみに現状このビルドへあげられるのはかなり限定されたデバイスだけみたいです。（手元のLumia 430はNG、Lumia 950はOKでした）

ビルドを上げた後、再度ストアへアクセスすると今度はちゃんとインストールできました。

②アプリにアカウントを登録する
どうやらサインインに使うアカウントをアプリにも登録しておくようです。
断定できないのは、ここでエラーが発生して先に進めていないからです。。。

まずは、スマートフォン自体にサインインしているアカウント（Azure ADアカウントでサインインしています）が表示されるので、選択してみます。

選択して先に進むと、エラーがでてしまいます。

こうなるとにっちもさっちもいきません。
アプリを再起動してもこの状態のままで何もできなくなります。
仕方がないので、アプリを削除して再インストールします。

今度は別のアカウント（スマートフォンへログインしているユーザではないAzure ADユーザ）を追加してみます。
すると、別のエラーが出ます。

Azure ADにセットされているReply URLがCloud eXperience Hostと同じくAAD Broker Pluginとなっており、Azure ADテナントに登録されているアプリケーションのReply URLと異なっているようです。このあたりからまだまだインターナル用なのかな？という推測をしています。おそらくインターナルテスト用のAzure ADにはこの仕組みに対応したアプリケーションが登録されていて、うまく動くんだと思います。



とりあえず今後の更新に期待ですね。
アプリの解説ページにも今後はマイクロソフトアカウントでも使えるような拡張なども予定されているようですし。