FIDO2 セキュリティ キーを利用して気になった点をまとめてみた
前回の記事で緊急アクセス用管理者アカウントへの FIDO2 セキュリティ キーの設定方法をまとめてみましたが、実際に導入する場合はデバイスの紛失時の対応や暗証番号のリセット方法など、運用に関わることを把握しておく必要があります。
今回は FIDO2 セキュリティ キーを緊急アクセス用管理者アカウント用として利用してみて気になった点や管理者が理解しておいた方が良いと思うことを Q&A 形式でまとめてみました。
なお検証で利用した FIDO2 セキュリティ キーは 「Security Key NFC by Yubico」 です。FIDO2 セキュリティ キーのメーカーや種類、デバイスの OS によっては画面や挙動が異なる場合があります。
Q1 : FIDO2 セキュリティ キーの暗証番号の変更やリセットはできる?
Yubico Manager アプリケーション、もしくは Windows の 「設定」 から行えます
Windows の設定画面で行う場合は [アカウント] – [サインイン オプション] – [セキュリティ キー] – [管理] を開きます。
暗証番号の変更とリセットを行う画面が表示され、ここから設定を行います。
Q2 : FIDO2 セキュリティ キーの暗証番号の変更やリセットは誰ができるのか?
Security Key NFC by Yubico の場合、Windows の設定、Yubico Manager アプリケーションのどちらからでも本人確認や暗証番号の確認なしでリセットが行えました。他人が勝手にリセットや暗証番号の変更ができてしまうので、セキュリティ キー自体の保管&管理には注意が必要です。
Q3 : 複数の FIDO2 セキュリティ キーが混ざったときに見分ける方法は?
見た目では区別できないため、ラベルテープを貼るなどの対策が必要です。
Yubico Manager アプリケーションを利用すればシリアルナンバーが確認できるようですが、今回利用した Security Key NFC by Yubico はシリアルナンバーを持たない仕様のため、確認することはできませんでした。
もし FIDO2 セキュリティ キーが混ざってしまい、自分のものが分からなくなった場合は、実際に自分の暗証番号を入力して、認証されるか、エラーになるかで判別するのが一番はやいと思います。
Q4 : FIDO2 セキュリティ キーの紛失時の対応はどうすればいい?
Microsoft Entra 管理センターで FIDO2 セキュリティ キー情報を削除します。情報の削除後に FIDO2 セキュリティ キーが見つかっても Microsoft 365 の認証で利用できません。FIDO2 セキュリティ キーをリセットして、再登録してください。
削除方法は Microsoft Entra管理センターでユーザーの認証方法画面を開き、パスキーの [・・・] – [削除] をクリックします。
Q5 : 1つの FIDO2 セキュリティ キーを複数ユーザーの認証で利用できるか?
可能ですが、同じ暗証番号で認証することになります。(暗証番号を共有することになる)
どのアカウントでサインインするかは認証時に選択できます。
Q6 : 組織で購入した FIDO2 セキュリティ キーのみを利用したい
Microsoft Entra 管理センターでは FIDO2 セキュリティ キーを個別に管理することができないため、組織で購入したものだけを利用するような制限はできません。なお、AAGUID は識別できるため、AAGUID 単位で利用を制限することが可能です。
※AAGUID : Authenticator Attestation Global Unique Identifier. 製造元やモデルなどのキーの種類を表す識別子
※Yubico 製品群の AAGUID はこちらで確認できます。
Q7 : デバイス マネージャーに表示される FIDO2 セキュリティ キーの名前は?
ヒューマン インターフェース デバイス の 「HID-compliant fido」 です。
Q8 : USB ポートへの挿入ではなく NFC として利用したい
Security Key NFC by Yubico は NFC の機能を搭載しているため、NFC リーダーを利用して非接触認証が可能です。
NFC として利用するには、ユーザーが FIDO2 セキュリティ キーを登録する際に USB デバイスではなく、[NFC デバイス] を選択します。登録の詳細は前回の記事をご覧ください。
操作を進めると NFC リーダーに FIDO2 セキュリティ キーを近づけるように指示されます。
NFC カードリーダーで認識されたあとは暗証番号を登録して作業完了となります。
以降、Microsoft 365 の認証は、FIDO2 セキュリティ キーをカードリーダーにタップし、暗証番号の入力で行うことができます。
Q9 : Microsoft Intune のデバイスの制限で 「リムーバブル記憶域」 を無効にしているが、FIDO2 セキュリティ キーは利用できるのか?
FIDO2 セキュリティ キーは USB メモリのようなリムーバブル記憶域ではないので、USB ポートに挿入して利用できました。
Q10 : 仮想マシンで FIDO2 セキュリティ キーは認識するのか
Windows 11 Hyper-V の仮想マシンで確認したところ、FIDO2 セキュリティ キーは認識しませんでした。
Q11 : FIDO2 セキュリティ キーのデバイスに名前を登録できますか
できません。
最後に
FIDO2 セキュリティ キーを利用するにあたって、さまざまな利用制限等がありますが、利用シナリオによっては非常に便利なデバイスだと考えます。さまざまな種類の FIDO2 セキュリティ キーが発売されていますので、皆様のニーズに合うデバイスを探してみてはいかがでしょうか。
Microsoft 365 運用 関連コース
-
CI505-H Microsoft 365 運用管理
Microsoft 365 の運用管理に必要な知識と設定すべき項目を理解いただけます。アカウントやデバイス管理に不可欠な Entra ID の基礎知識をはじめ、Exchange Online、Microsoft Teams、SharePoint Online、OneDrive for Business など各サービスにおいて実施すべき設定と推奨設定、理解しておきたい仕組みなど、運用管理に必要な内容を基本から実務レベルまで解説。
-
CI509-H Microsoft 365 デバイス運用管理
Microsoft Defender、Microsoft Purview、Microsoft Entra ID を活用したセキュリティおよびコンプライアンス対策に加え、注目を集める Microsoft 365 Copilot の運用管理など、Microsoft 365 全体の情報保護に関する機能・利用シーン・運用のポイントを具体的に解説。
-
CI506-H Microsoft 365 運用管理 – 情報保護編
Microsoft Defender、Microsoft Purview、Microsoft Entra ID を活用したセキュリティおよびコンプライアンス対策に加え、注目を集める Microsoft 365 Copilot の運用管理など、Microsoft 365 全体の情報保護に関する機能・利用シーン・運用のポイントを具体的に解説。
-
CI508-H Microsoft 365 PowerShell による管理効率化
Microsoft 365 に対する運用管理で PowerShell を利用するための基本や Exchange Online、SharePoint Online、Microsoft Teams を設定するための便利なコマンドライン、設定を自動化するためのスクリプトの作成方法など、PowerShell による Microsoft 365 管理の基本から必須スキルまでを、運用管理に活用できるサンプルを用いて解説。