🐡
多要素ロック解除・動的ロックについて要点のみ
背景
- WHfBを導入している環境での導入検討。
- 良質な記事があるが自分向けに要点のみ記載
参考記事
上記がめちゃくちゃわかりやすい。
このユーザーエクスペリエンスの動画をまず見ると、最終的な効果が直感的にわかりやすい。
結論
-
多要素ロック解除
- WHfBでさらに認証を強化するもの(顔+指紋+信頼された信号とか)
- 信頼された信号、が聞き覚えないが、PCースマホのBluetoothペアリング状態とかが使える。
- WiFiとの接続状態も使える。
- 顔で認証OKでもその人のスマホがPCの近くにない=ロックされたままとできる。
- Bluetooth・WiFi以外にもクライアントのIP設定なども使えるので、クライアントの環境にあわせて適切なものを選ぶ(逆に言うといくつかから選ぶことができる)
- 信頼された信号、が聞き覚えないが、PCースマホのBluetoothペアリング状態とかが使える。
- ActiveDirectoryやIntuneで設定はクライアント端末に配布できる。
- WHfBでさらに認証を強化するもの(顔+指紋+信頼された信号とか)
-
動的ロック
-
Windowsのロック機能。
-
Windowsの設定画面に存在。
-
参考
-
ActiveDirectoryやIntuneで設定はクライアント端末に配布できる。
-
-
かけ合わせで利用することで、WHfBをよりセキュアに使える。
- セキュリティ要件がシビアなお客様向け。
信頼されたシグナル (特にTrustedRootCA)
- 信頼されたシグナルは上記に記載したが、いくつかの手段を選択できる。
- Wifiを選ぶことができ、WiFiの接続状態で多要素ロック解除の1手段とすることができる。
- 会社の用意したWiFiに接続しているという条件を加えることができ、よりセキュアになる。
- 多要素ロック解除の構成で上記を構成できるが、WiFiの項目でTrustedRootCAを指定できる。
- これはサムプリントの値になる。
- どこで設定がなされるかいろいろ見てみたが、クライアントに証明書をインポートしたときに、同時に設定されるものだと思われる。
- 具体的には下記手順で確認できるもの。
- Windowsでファイル名を指定して実行 certmgr.msc を実行。
- 個人>証明書を選択
- いくつか証明書が出てくるので一つ選んでクリック。
- 証明書の詳細タブを開く。拇印にハッシュ値が設定されている。
- 上記がその正体だと思われる。
- 具体的には下記手順で確認できるもの。
Discussion