Windows ID 保護
Windows の ID 保護テクノロジの詳細については、こちらをご覧ください。
Warning
Windows Hello for Businessおよび FIDO2 セキュリティ キーは、Windows 用の最新の 2 要素認証方法です。 仮想スマート カードを使用しているお客様は、Windows Hello for Businessまたは FIDO2 に移行することをお勧めします。 新しい Windows インストールの場合は、Windows Hello for Businessまたは FIDO2 セキュリティ キーをお勧めします。
パスワードレス サインイン
| 機能名 | 説明 |
|---|---|
| Windows Hello for Business | Windows 11デバイスは、1 日目からパスワードを使用する必要を取り除くことによって、ユーザー ID を保護できます。 organizationに適したメソッドを使い始めるのは簡単です。 パスワードはプロビジョニング プロセス中に 1 回だけ使用する必要があります。その後、ユーザーは PIN、顔、指紋を使用して資格情報のロックを解除し、デバイスにサインインします。 Windows Hello for Businessは、セキュリティ キーまたは証明書を PIN または生体認証データと組み合わせてユーザー名とパスワードを置き換え、セットアップ中に資格情報をユーザー アカウントにマッピングします。 organizationのニーズに応じて、Windows Hello for Businessをデプロイする方法は複数あります。 証明書に依存する組織では、通常、証明書信頼を介した認証をサポートするために、オンプレミスの公開キー インフラストラクチャ (PKI) を使用します。 キー信頼の展開を使用する組織では、ドメイン コントローラー上の証明書によって提供される信頼のルートが必要です。 |
| Windows プレゼンス センシング | Windows プレゼンス センシングは、ハイブリッド ワーカーに対して別のレイヤーのデータ セキュリティ保護を提供します。 Windows 11デバイスは、自宅、オフィス、公共環境など、セキュリティと生産性を維持するために、プレゼンスにインテリジェントに適応できます。 Windows プレゼンス センシングは、プレゼンス検出センサーとWindows Hello顔認識を組み合わせて、退出時にデバイスを自動的にロックしてから、デバイスのロックを解除し、戻ったときにWindows Hello顔認識を使用してサインインします。 OEM サポート ハードウェアが必要です。 |
| セキュリティ強化サインイン (ESS) のWindows Hello for Business | Windows Hello生体認証では、特殊なハードウェアおよびソフトウェア コンポーネントを使用して生体認証サインインのセキュリティ バーをさらに高める、強化されたサインイン セキュリティもサポートされています。 強化されたサインイン セキュリティ生体認証では、VBS と TPM を使用して、ユーザー認証プロセスとデータを分離し、情報が伝達される経路をセキュリティで保護します。 これらの特殊なコンポーネントは、生体認証サンプルの挿入、再生、改ざんなどを含む一種の攻撃から保護します。 たとえば、指紋リーダーは、キー ネゴシエーションと Microsoft が発行した証明書を使用してユーザー認証データを保護し、安全に格納するセキュア デバイス接続プロトコルを実装する必要があります。 顔認識の場合、セキュア デバイス (SDEV) テーブルやトラストレットを使用したプロセス分離などのコンポーネントは、追加のクラスの攻撃を防ぐのに役立ちます。 |
| Windows パスワードレス エクスペリエンス | Windows パスワードレス エクスペリエンスは、特定の認証シナリオでパスワードを不要にすることで、Microsoft Entra参加しているデバイスに対して、より使いやすいエクスペリエンスを作成することを目的とするセキュリティ ポリシーです。 このポリシーを有効にすると、これらのシナリオでパスワードを使用するオプションがユーザーに与えられなくなります。これにより、組織は時間の経過と同時にパスワードから移行するのに役立ちます。 |
| パスキー | パスキーは、パスワードと比較して、Web サイトやアプリケーションにログインするためのより安全で便利な方法を提供します。 ユーザーが記憶して入力する必要があるパスワードとは異なり、パスキーはデバイスにシークレットとして格納され、デバイスのロック解除メカニズム (生体認証や PIN など) を使用できます。 パスキーは、他のサインインの課題を必要とせずに使用できるため、認証プロセスの高速化、セキュリティ保護、および利便性が向上します。 |
| FIDO2 セキュリティ キー | Fast Identity Online (FIDO) で定義された CTAP と WebAuthN の仕様は、主要なプラットフォーム プロバイダーや証明書利用者からの実装に対して、フィッシング対応、ユーザー フレンドリ、プライバシーに配慮した強力な認証を提供するためのオープンな標準となっています。 FIDO の標準と認定は、企業、政府、消費者市場全体でセキュリティで保護された認証ソリューションを作成するための主要な標準として認識されつつある。 Windows 11は、認証に外部 FIDO2 セキュリティ キーを使用することも、FIDO2 認定パスワードレス ソリューションでもあるWindows Helloに加えて使用することもできます。 Windows 11は、多くの一般的な ID 管理サービスの FIDO 認証システムとして使用できます。 |
| Windows サービス用のスマート カード | 組織には、生体認証サインインを事前に行う認証方法であるスマート カードを使用するオプションもあります。 スマート カードは、クライアントの認証、コードの署名、電子メールのセキュリティ保護、Windows ドメイン アカウントでのサインイン時に Windows セキュリティを強化できる、改ざん防止型のポータブル ストレージ デバイスです。 スマート カードは、ローカル アカウントではなく、ドメイン アカウントへのサインインにのみ使用できます。 パスワードを使用してドメイン アカウントにサインインする場合、Windows は認証に Kerberos バージョン 5 (v5) プロトコルを使用します。 スマート カードを使用する場合、オペレーティング システムは X.509 v3 証明書で Kerberos v5 認証を使用します。 |
高度な資格情報保護
| 機能名 | 説明 |
|---|---|
| Web サインイン | Web サインインは、一時アクセス パス (TAP) のみをサポートするWindows 10で最初に導入された資格情報プロバイダーです。 Windows 11のリリースにより、Web サインインのサポートされるシナリオと機能が拡張されました。 たとえば、ユーザーは Microsoft Authenticator アプリまたはフェデレーション ID を使用して Windows にサインインできます。 |
| フェデレーション サインイン | Windows 11 Education エディションでは、Microsoft 以外の ID プロバイダーとのフェデレーション サインインがサポートされています。 フェデレーション サインインを使用すると、QR コードや画像などの方法でセキュリティで保護されたサインインが可能になります。 |
| Windows LAPS | Windows ローカル管理者パスワード ソリューション (Windows LAPS) は、Microsoft Entra参加済みデバイスまたはWindows Server Active Directory参加済みデバイス上のローカル管理者アカウントのパスワードを自動的に管理およびバックアップする Windows 機能です。 また、Windows LAPS を使用して、Windows Server Active Directory ドメイン コントローラーのディレクトリ サービス復元モード (DSRM) アカウント パスワードを自動的に管理およびバックアップすることもできます。 承認された管理者は、DSRM パスワードを取得して使用できます。 |
| アカウント ロックアウト ポリシー | アカウント ロックアウト ポリシー設定は、失敗したログオン試行の応答しきい値と、しきい値に達した後に実行されるアクションを制御します。 |
| SmartScreen による強化されたフィッシング保護 | パスワードを引き続き使用しているユーザーは、強力な資格情報保護の恩恵を受けることができます。 Microsoft Defender SmartScreen には、ユーザーが Microsoft パスワードを任意のアプリまたは Web サイトに入力したときに自動的に検出する強化されたフィッシング保護が含まれています。 その後、Windows は、アプリまたはサイトが Microsoft に対して安全に認証されているかどうかを識別し、資格情報が危険にさらされているかどうかを警告します。 ユーザーは資格情報の盗難の可能性がある時点でアラートを受け取るので、パスワードを使用する前に、またはorganizationに対して先制的なアクションを実行できます。 |
| Access Control (ACL/SACL) | Windows のアクセス制御により、リソースの所有者以外のユーザーやグループが共有リソースを使用できるようになり、未承認の使用から保護されます。 IT 管理者は、ネットワークまたはコンピューター上のオブジェクトと資産へのユーザー、グループ、およびコンピューターのアクセスを管理できます。 ユーザーが認証されると、Windows オペレーティング システムは、組み込みの承認とアクセス制御テクノロジを使用して、認証されたユーザーが正しいアクセス許可を持っているかどうかを判断することで、リソースを保護する 2 番目のフェーズを実装します。 Access Control Lists (ACL) は、特定のオブジェクトのアクセス許可を記述し、System Access Control Lists (SACL) を含めることもできます。 SACL は、ユーザーがファイル システム オブジェクトにアクセスしようとしたときなど、特定のシステム レベルのイベントを監査する方法を提供します。 これらのイベントは、機密性の高いオブジェクトや貴重なオブジェクトの追跡アクティビティに不可欠であり、追加の監視が必要です。 リソースがオペレーティング システムの一部の読み取りまたは書き込みを試みたときに監査できることは、潜在的な攻撃を理解するうえで重要です。 |
| Credential Guard | Windows 11 Enterpriseで既定で有効になっている Credential Guard は、ハードウェアによってサポートされる仮想化ベースのセキュリティ (VBS) を使用して、資格情報の盗難から保護します。 Credential Guard を使用すると、ローカル セキュリティ機関 (LSA) は、オペレーティング システムの残りの部分からアクセスできない分離された環境でシークレットを格納および保護します。 LSA は、リモート プロシージャ コールを使って分離 LSA プロセスと通信します。 仮想化ベースのセキュリティを使用して LSA プロセスを保護することで、Credential Guard は、パス ザ ハッシュやパス ザ チケットなどの資格情報の盗難攻撃手法からシステムを保護します。 また、管理者特権でプロセスが実行されている場合でも、マルウェアがシステム シークレットにアクセスするのを防ぐのに役立ちます。 |
| Remote Credential Guard | リモート資格情報ガードは、Kerberos 要求を接続を要求しているデバイスにリダイレクトすることで、リモート デスクトップ接続経由で資格情報を保護するのに役立ちます。 また、リモート デスクトップ セッションのシングル サインオン エクスペリエンスも提供します。 管理者の資格情報は高い特権を持ち、保護する必要があります。 リモート デスクトップ セッション中にリモート資格情報ガードを使用して接続する場合、資格情報と資格情報の派生物がネットワーク経由でターゲット デバイスに渡されることはありません。 ターゲット デバイスが侵害された場合、資格情報は公開されません。 |