YubiKey で Azure AD 認証

Windows

YubiKey を買っってみたので、認証に使えるか試してみた回。

買ったのはこれ。Amazon で 3800 円ほど。上位モデル の YubiKey 5 は 6000 円ちょっとする。

あくまで Web での Microsoft 認証をセキュリティーキーで行うことができるだけで、Windows のログインなどには使えない。この辺は FIDO2 の仕様っぽい?

さっそく Azure AD に設定していく。デフォルトだと無効化されているようなので、まず有効化する。

Azure AD の画面に入り、「セキュリティ > 認証方法」を選択。

「FIDO2 セキュリティキー」を選択。

「有効にする」で「はい」を選択し、保存。

次にユーザーアカウント側でセキュリティキーの登録する。

https://myaccount.microsoft.com/ にアクセスし、ログイン。

「セキュリティ情報」を開く。

「方法の追加」を選択。

あとはガイダンスに沿って登録を行う。キーの種類を選択。
キーの挿入と認証画面が出るので、指示通り操作する。Yubikey を初めて使用する場合は、PIN コードの設定も必要。

名前を付けて登録完了。

次回ログインから Windows Hello の認証が使えるようになる。

キーを挿入して PIN コードを入れれば認証できる。

雑感

Azure AD の設定箇所がプレビューの時と変わっているようで、ググって出てくる情報と違うことがあった。公式ドキュメントを読もう。

Azure AD Join している端末だと、元から Windows Hello の指紋認証 / 顔認証を使っていたりするので、あんまり利便性は向上しなかった。Windows Hello で十分、どうしても物理キーがいいのであれば PIN もめんどくさいので指紋認証付きのキーのほうがいいかもしれない。

新しい端末や個人端末から O365 などにログインするときはくそ長いパスワードと 2FA を入れなくてもよくなるので、少し楽になるかもしれない(/・ω・)/

コメント

タイトルとURLをコピーしました