YubiKey を買っってみたので、認証に使えるか試してみた回。
買ったのはこれ。Amazon で 3800 円ほど。上位モデル の YubiKey 5 は 6000 円ちょっとする。
あくまで Web での Microsoft 認証をセキュリティーキーで行うことができるだけで、Windows のログインなどには使えない。この辺は FIDO2 の仕様っぽい?
さっそく Azure AD に設定していく。デフォルトだと無効化されているようなので、まず有効化する。
Azure AD の画面に入り、「セキュリティ > 認証方法」を選択。
「FIDO2 セキュリティキー」を選択。
「有効にする」で「はい」を選択し、保存。
次にユーザーアカウント側でセキュリティキーの登録する。
https://myaccount.microsoft.com/ にアクセスし、ログイン。
「セキュリティ情報」を開く。
「方法の追加」を選択。
あとはガイダンスに沿って登録を行う。キーの種類を選択。
キーの挿入と認証画面が出るので、指示通り操作する。Yubikey を初めて使用する場合は、PIN コードの設定も必要。
名前を付けて登録完了。
次回ログインから Windows Hello の認証が使えるようになる。
キーを挿入して PIN コードを入れれば認証できる。
雑感
Azure AD の設定箇所がプレビューの時と変わっているようで、ググって出てくる情報と違うことがあった。公式ドキュメントを読もう。
Azure AD Join している端末だと、元から Windows Hello の指紋認証 / 顔認証を使っていたりするので、あんまり利便性は向上しなかった。Windows Hello で十分、どうしても物理キーがいいのであれば PIN もめんどくさいので指紋認証付きのキーのほうがいいかもしれない。
新しい端末や個人端末から O365 などにログインするときはくそ長いパスワードと 2FA を入れなくてもよくなるので、少し楽になるかもしれない(/・ω・)/
コメント