ビジネスに最適なIT環境の
構築をサポートするサイト

特集

Windows Hello for Businessレポート

「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート

この記事はアイティメディア株式会社の許諾を得て「@IT」(2016年11月4日から掲載)の記事を抜粋したものです。

Windows Hello for Businessのオンプレミス展開を実践・検証

本稿では、最新版のWindows Server 2016とWindows 10を使用して「Windows Hello for Business」(旧称、Microsoft Passport for Work)のオンプレミス展開を実装し、その機能を検証していきます。

Windows Hello for Businessをオンプレミスに展開するには、関連するさまざまなサーバの役割を展開し、目的(Windows Hello for Businessはその1つ)のために適切に構成する必要があります。

その全ての手順を説明すると大変な文量になるので、本稿では特に注意すべきポイントや、構築手順におけるWindows Server 2016での改善点、新機能を中心に説明していきます。参照するべき公式ドキュメントや公式ブログへのリンクは可能な限り紹介しますが、公式ドキュメントの内容はたびたび更新されることに留意してください。

また、日本語の公式ドキュメントが用意されている場合でも、最新情報は英語版の方なので、英語版ドキュメントのURLを掲載していきます。日本語版のドキュメントを確認したい場合は、「/en-us」の部分を「/ja-jp」に置き換えてください。

Windows Hello for Businessの検証に必要なソフトウェアおよびサービスは以下の通りです。

クラウドサービス

  • Azure Active Directory Premium P1(旧称、Azure Active Directory Premium)、またはEnterprise Mobility+Security E3(Azure Active Directory Premium、Azure Rights Management、Microsoft Intuneなどを含むスイート、旧称、Enterprise Mobility Suite)。Windows Hello for Businessのオンプレミス展開には、「ディレクトリの書き戻し(デバイスライトバック)」機能を含むAzure AD Premium P1ライセンスが必要

  • Office 365との連携には、Office 365 Enterprise E3またはE5ライセンスが必要

Windows Server 2016 StandardまたはDatacenterエディション

  • Active Directoryドメインサービス(AD DS)のドメインコントローラー

  • Active Directory証明書サービス(AD CS)の証明機関(エンタープライズPKI)

  • Active Directoryフェデレーションサービス(AD FS)

  • Webアプリケーションプロキシ(リモートアクセスの役割サービスの1つ)

Windows 10 バージョン1511以降

  • TPM 1.2以降(TPM非搭載でも利用可能)

  • コンパニオンデバイスによるWindows Hello(電話によるサインイン)には、Windows 10 バージョン1607が必要

  • ドメイン参加にはWindows 10 Pro/Enterprise/Educationエディションが必要

Windows Hello for Businessの展開方法は、「キーベース(Key-based)」と「証明書ベース(Certificate-based)」の2種類があります。本稿では、「キーベース」の展開方法を検証します。
なお、「証明書ベース」の展開には、この他に証明書登録のための「ネットワークデバイス登録サービス(NDES)」「Microsoft Intune」「System Center Configuration Manager」、または他社MDM(Mobile Device Management)管理ソリューションが必要になります。システム要件については、以下のドキュメントで確認してください。
Microsoft Passport guide[英語](Windows IT Center)

また、本稿ではレノボ・ジャパンの協力を得て、以下のサーバ、ノートPC、タブレットを使用して検証を行いました(写真1)。

写真1:Windows Hello for Businessの検証に使用したサーバ「Lenovo System x3100 M5」、ノートPC「Lenovo ThinkPad X260」、タブレット「Lenovo ThinkPad X1 Tablet」

Windows Hello for Businessのオンプレミス展開では、複数のサーバを展開、構成する必要があります。本稿では「Lenovo System x3100 M5」をWindows Server 2016のHyper-Vホストとして構成し、以下の図1のように各種サーバをHyper-V仮想マシンとして展開しました(画面1)。

図1:評価環境のハードウェア、仮想マシンおよびクラウドサービスの構成

画面1:Windows Hello for Businessのオンプレミス展開に必要なサーバは、Hyper-V仮想マシンとして展開、実行した

クライアントとしては、Microsoft Azure Active Directory(Azure AD)参加用のタブレットと、ドメイン参加用のノートPCの2台を使用しました。いずれも、Microsoft Passportの秘密鍵を格納するためのTPM(Trusted Platform Module)2.0と、Windows Helloの指紋認証に対応した指紋リーダーを備えています(写真2、写真3)。

  • 写真2:Lenovo ThinkPad X260の指紋リーダー。指をスワイプするタイプ

  • 写真3:Lenovo ThinkPad X1 Tabletの指紋リーダー。指をタッチするタイプ

PIN(暗証番号)によるWindows Hello for Businessであれば(生体認証やスマートフォンサインインを使用しない)、Hyper-V仮想マシンにインストールしたWindows 10で評価することも可能です。Windows Server 2016のHyper-Vは、新機能として「仮想TPMデバイス」を第2世代仮想マシン上で有効化できます。ゲストOSからはTPM 2.0デバイスとして、Microsoft Passportだけでなく「BitLockerドライブ暗号化」や「資格情報ガード」など、Windows 10のセキュリティ機能として使用できます(画面2)。

画面2:第2世代仮想マシンでの仮想TPMデバイスの有効化は、Windows Server 2016のHyper-Vの新機能