最近 Microsoft アカウントでパスワードを削除できるようになったと言ことで話題として浮上してきているパスワードレスですが、どのように進めたらよいのかわかりにくく、パスワードをなくして入れなくならないのかといった未知なるものに対する生理的な怖さがあるため、利用に踏み出すのには勇気が必要だと思います。
組織で利用しているアカウントについてはなおさらですよね。
ただ、フィッシングなどで狙われやすいのも組織なので、踏み出さないわけにもいかないというジレンマが。
そこで、パスワード管理を統合して案内している以下のサイトの出番になるのですが、
ここからリンクの張られているパスワードレスウィザードの作りが素晴らしいので、それを案内していきたいと思います。
これがそのサイトです。
利用するには管理者権限を持った組織アカウントが必要となります。
早速アクセスしどのようになるのか見ていきましょう。
https://aka.ms/passwordlesswizard
最初はパスワードレスを知っていますか?
知らないとして No を選択してみます。
パスワードレスとしたいユーザーの種類を選択します。上から以下のケースを想定している感じですね。
経営層、IT管理者
ホワイトカラー
経営層、IT管理者が利用できる端末を選択します。
ここではモバイルデバイスを使えるとしてみましょう。
ホワイトカラーの利用可能なデバイスです。
先ほどよりも増えていますね。
ここでは先ほどと差を出すために専用の Windows 端末とキオスク、タブレットを選択してみました。
専用の Windows 端末とキオスクでは、サブカテゴリが現れ 1809 以降の Windows かどうかを確認されます。
最後にブルーカラーですね。これはホワイトカラーと選択肢が一緒です。
選択に差をつけてみましょう。
環境によって利用可能な認証方式が表示されました。
Phone authentication は Microsoft Authenticator アプリを指しています。
そのほか、以下の種類が推奨とされています。
Security keys : FIDO キー
One-time password sign in :ワンタイムパスワード(これは推奨というかその端選択肢として出ていますね。)
ここからは Windows Hello for Business の展開シナリオが!
これ、パターンが数多くあるのでわかりにくいのですよね。
こうしてウィザードとなっているとかなり良いです。
今回は Active Directory がハイブリッド環境で Hybrid AD Join しているケースとしてみてみましょう。
さらに質問が続きます。
ADFS が構築済みか。
フェデレーションに別のサービスを使っているか。
レガシーな証明書認証システムがのこっているか。
ここも実情に沿って選択すればよいと思いますが、ADFSなし、別サービスなし、レガシーありで選択してみました。
Windows Hello for Business の導入法へのリンクが表示されました。
選択した中ではこれが最良という流れですね。確かに Windows Hello for Business にたどり着けると、パスワード管理に比べ大きくセキュリティレベルが向上し、パスワードレス状態を作り出せますね。
というわけでパスワードレスウィザードでした。
ぜひご自身の環境に沿って確認をしてみてください!
音楽:限りなき旅路