質問: Microsoft のパスワードなしアカウントに関連付けられた Windows 11 ログインで Windows Hello (PIN) をバイパスすることは可能ですか? 理由は何ですか? 認証にハードウェア セキュリティ キーの使用を強制したいのです。
- Windows 11 プロファイルに Microsoft のパスワードなしアカウントがあります
- Windows Hello (PIN) をバイパスし、ハードウェア セキュリティ キーを認証に使用したい
- https://www.yubico.com/products/computer-login-tools/
- Yubico によると、「YubiKey は、Microsoft アカウントを使用しているコンピューターでは併用できません。」
答え1
すでにご指摘のとおり、
Yubico Login for Windows は、以下のいずれもサポートしていません。
- Active Directory (AD) 管理アカウント
- Azure Active Directory (AAD) 管理アカウント
Microsoft Accounts (MSA)
ローカルアカウントを使用する必要があります。
答え2
(このスレッドは数か月間更新されていませんが、関連する質問を Google で検索しているときに何度か見つけたので、ここに解決策を示します。誰かの役に立つことを願っています。)
コンピューターが AzureAD に参加している場合、MS パスワードレス アカウントに Windows 用 Yubico ログインは必要ありません (ハイブリッド参加でも機能する可能性がありますが、AzureAD に参加しているマシンでのみ試しました)。
私はこれを Windows 11 マシンと Windows 10 VM で実行しました (VirtualBox では SecurityKey パススルーが許可されますが、Hyper-V では許可されません)。
Azure AD で FIDO キーを有効にするための MS 手順:
- https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-security-key
- 「すべてのユーザー」を選択するか、アカウントが許可されたグループのいずれかに含まれていることを確認してください。
MS アカウントにセキュリティ キーを追加する手順:
- https://support.microsoft.com/en-us/account-billing/set-up-a-security-key-as-your-verification-method-2911cacd-efa5-4593-ae22-e09ae14c6698
- 明記されていませんが、この手順によりAzureAD/MS資格情報がキーに追加されます
これらの手順を実行した後、システムを再起動して AzureAD の変更を適用します。(私の限られた経験では、変更が適用されるまで 10 ~ 15 分待つ必要がある場合があります。)
この手順は必要な場合とそうでない場合がありますが、この手順なしで試したことはありません。
- 再起動後、「スタート」>「設定」>「アカウント」>「サインイン オプション」>「セキュリティ キー」の順に移動し、「管理」をクリックします。
- キーを挿入して PIN を入力するように求められます。読み込まれたウィンドウを閉じます (このインターフェイスからキーまたは PIN をリセットすると、キーから資格情報が削除される可能性があります)。
--
テストするにはログオフしてください。標準のパスワード/PIN プロンプトが表示されますが、キーを挿入すると (および/またはその他のオプションを選択して、セキュリティ キーの USB のようなアイコンを選択すると)、PIN が要求されます。これを初めて実行すると、デフォルトのログイン方法はセキュリティ キーになります。
Windows のキーを必須とする唯一の方法は次のとおりです。
https://swjm.blog/three-ways-of-enforcing-security-key-sign-in-on-windows-10-windows-11-4f0f27227372
それ言う3 つの方法がありますが、実際には同じことを実行する 3 つの異なる方法にすぎません。つまり、セキュリティ キーとスマート カードを除くすべての Windows 資格情報プロバイダーを無効にします。
重要な考慮事項:
- キーに複数のユーザー アカウントを追加できますが、Windows ログオンではキーに最後に追加された資格情報のみが認識されます。
- セキュリティ キーとスマート カードを除くすべての資格情報プロバイダーを無効にする場合は、キーを紛失した場合に再度有効にする方法があることを確認してください。私のマシンは Intune で管理されているため、PowerShell スクリプトをプッシュして他のプロバイダーを再度有効にすることができますが、キーを紛失した場合に MDM なしでどうすればよいかはわかりません。
- セキュリティ キーとスマート カードを除くすべての資格情報プロバイダーを無効にすると、標準ユーザーとしてログインしているときに「管理者として実行」を使用できなくなります。StandardKey を使用してログインし、AdminKey を使用して管理者資格情報を提供しようとしましたが、Windows は新しいキーの資格情報が異なることを認識しません。(私はこれを Windows 10 Pro でのみ試しました - Windows 11 では新しい資格情報を認識できる可能性があります。)
答え3
結論: Windows Hello の PIN をバイパスし、Windows プロファイルの Microsoft アカウントにリンクされたハードウェア セキュリティ キーを強制的に使用することが可能。ソフトウェアや特別な構成は必要ありません。
最も重要な部分は次のとおりです。
- HWセキュリティキーをMSパスワードレスアカウントにリンクする
- ログインにはこのアカウントを使用してください
- Win Helloピンを手動で削除し、コンピュータを再起動します
- その後、HWキーの入力を求められます
- Windowsでは、Helloピンをリセットする必要があります
- これを無視すると、Hello Pinを使用せずにログインが完了します。
- ソフトウェア、特別な設定、資格情報管理の変更などは必要ありません
- エレガントな解決策ではありませんが、HWキーの使用を強制し、ログインのためにPINをハッキングする潜在的な脆弱性を排除することで完璧に機能します。
注意:
- Windowsのピンを削除する必要があります
- 次回のログインでは「PINの設定」をクリックしてください。
- 「セキュリティキーでサインイン」をクリックし、
- 最後に「キャンセル」をクリックします
これにより、Microsoft アカウントに関連付けられたハードウェア セキュリティ キーが強制的に使用されるようになります。