Windows Hello for Business は、指定された自分用の Windows PC を持っているインフォメーション ワーカーに最適です。 生体認証と PIN 資格情報はユーザーの PC に直接関連付けられており、所有者以外のユーザーからのアクセスを禁止します。 公開キー 基盤 (PKI) 統合とシングル サインオン (SSO) の組み込みサポートにより、Windows Hello for Business は、オンプレミスおよびクラウド内の企業リソースにシームレスにアクセスするための便利な方法を提供します。
Microsoft Entra ID での Windows Hello for Business でのサインインのしくみ
以下の手順で、Microsoft Entra ID を使用したサインイン プロセスがどのように機能するかを示します。
- ユーザーは、生体認証または PIN のジェスチャを使用して Windows にサインインします。 このジェスチャは、Windows Hello for Business の秘密キーのロックを解除し、クラウド認証プロバイダー (CloudAP) というクラウド認証セキュリティ サポート プロバイダーに送信されます。 CloudAP の詳細については、「プライマリ更新トークンとは」をご覧ください。
- CloudAP により、Microsoft Entra ID に nonce (1 回使用できるランダムな任意の数) が要求されます。
- Microsoft Entra ID からは 5 分間有効な nonce が返されます。
- CloudAP では、ユーザーの秘密キーを使用して nonce に署名され、署名済みの nonce が Microsoft Entra ID に返されます。
- Microsoft Entra ID では、ユーザーの安全に登録された公開キーを使用して、署名済みの nonce が nonce の署名に対して検証されます。 Microsoft Entra ID によってその署名が検証された後、返された署名済み nonce が検証されます。 nonce が検証されると、Microsoft Entra ID ではデバイスのトランスポート キーに暗号化されたセッション キーを使用してプライマリ更新トークン (PRT) が作成され、それが CloudAP に返されます。
- CloudAP は、セッション キーと共に暗号化された PRT を受け取ります。 CloudAP は、デバイスの秘密トランスポート キーを使用してセッション キーの暗号化を解除し、デバイスのトラステッド プラットフォーム モジュール (TPM) を使用してセッション キーを保護します。
- CloudAP から Windows に成功した認証応答が返されます。 そして、ユーザーはシームレス サインオン (SSO) を使用して、Windows、クラウド、オンプレミスのアプリケーションにアクセスできます。
Windows Hello for Business の計画ガイドを使用すると、Windows Hello for Business の展開の種類と、検討する必要がある選択肢を決定することができます。