みなさんこんにちは。

Windowsにサインインする際はパスワードの入力が基本ですが、Windows Helloの生体認証やPINを利用することもできます。

セキュリティ意識の高まりに伴い、パスワードレス環境を模索している組織も増えていると思います。
その中で、Windows Helloの活用を検討されている方もいらっしゃるでしょう。

今回はWindows Hello for Business（以下、WHfB）に焦点を当てて、WHfBを実装する上で考慮すべきポイントなどをまとめたいと思います。

Windows Hello for Businessとは

単にWindows Helloと記載するとき、通常はコンシューマー向け機能としてのWindows Helloを指します。
主にMicrosoftアカウントやローカルアカウントで利用する場合となります。
ADユーザーもこの観点ではローカルアカウントです。

一方、Microsoft365のEntraアカウントや、ADとEntra IDのハイブリッド展開（Microsoft Entra Connectを利用したアカウント同期）のアカウントを利用する場合もあります。
この時、Windows Helloの機能に加えてWHfBの機能を活用することができます。

ユーザー目線の使い勝手は基本的に両者同じですが、WHfBではオンプレミスのKerberos認証※やEntra IDへの認証に対応する点が特徴です。
また、GPOやIntuneを利用して設定をカスタマイズすることができます。

つまり標準搭載のWindows Hello機能に上乗せして、ビジネスシーン向け機能を付加したものがWHfBであると言えます。

※オンプレミスの認証に利用する場合は追加の構成が必要になります。

Microsoft Entra参加とWHfB

最近はWindows PCをAD参加させるのではなく、Entra IDに参加させる使い方も増えています。以前はAzure AD参加という名前だったものです。

Entra参加させるとEntra IDのアカウントを利用してPCにサインインする事になりますが、この時既定でWHfBのプロビジョニングが起動する動きとなります。
サインイン後にこのような画面が表示され、生体情報やPINの登録を促されます。

この時の注意点として、WHfBの登録を行う場合には他の認証要素を用意する必要があります。

後述しますが、WHfBはEntra IDに対する多要素認証の機能を含んでいます。
そのため、WHfBの登録時にも多要素認証が必要になるのです。

一般的にはMicrosoft Authenticatorやモバイル端末のSMSなどを用意する必要があります。
スマートフォンを利用する場合は、組織で配布するか、私用端末を使ってもらうかなど、あらかじめ方針を決めておく必要があります。

多要素認証の準備が整っていない場合は、WHfBのプロビジョニングをスキップさせることもできます。
詳細については以下のブログで説明されています。

WHfBは多要素認証として認識される

Entra IDでは多要素認証を利用することができます。
Freeの場合はセキュリティの既定値群か、ユーザー個別のMFA設定を利用します。
Premiumライセンスがある場合は条件付きアクセスというアクセス制御機能を利用することができます。
条件付きアクセスについては以前こちらでもご紹介しています。

多要素認証を要求した場合、パスワードに加え、何らかの追加の認証を行う必要があります。

ところが、WHfBを利用してPCにサインインした場合、Entra IDの多要素認証は要求されません。

ここを理解するためには、まずPrimary Refresh Token（PRT）の存在を知っておく必要があります。

PRTは、Entra登録またはEntra参加（Hybrid含む）した端末にEntra IDから発行されるトークンのことです。
PRTはデバイス上に保持され、サインインするたびに更新されます。

Entra IDの認証ではOAuthを利用するため、アクセス時にはトークンを提示する事になります。
PRTがある場合は自動的にPRTが提示され、Entra IDやM365各サービスへのアクセスが可能となります。

要するにEntra登録またはEntra参加した時点で、基本的に以後Entraへの明示的な認証は発生しなくなるわけです。

多要素認証の話に戻ります。

単にPRTを取得しただけでは、ID・パスワードの入力が不要となるだけで多要素認証の要求は行われます。

しかしながら、ここがポイントですが、WHfBでPCにサインインした場合、PRTには多要素認証をクリアしたとみなすための情報が書き込まれます。

そのPRTをEntraに提示するため、結果的に多要素認証が要求されずにアクセス可能となる、というわけです。

正直、WHfBを使用しただけでEntraの多要素認証をパスしてしまう点は賛否の分かれるところかと思います。

WHfBではPINコード入力によるサインインも可能であるため、テキスト情報のみでアクセス可能となる点においてはパスワード認証と同等ではないか、と考えることもできると思います。

この点についてMSはPINはローカルにしか保存されないものだからパスワードとは異なる、という見解ではあります。
しかし、WindowsにはiOSのように一定回数試行後に端末初期化するような機能はありませんし、総当たり攻撃はリスクとして考える必要があるかと思われます。

このあたりの多要素認証に関する点もブログに詳細が記載されています。（なぜか煽り気味）

まとめ

WHfBはパスワードレスを実現する上で重要な機能であることは間違いありませんが、何かと癖の強い機能であるとも思います（主にMSの思想に依存する部分）。

WHfBのポイントをまとめますと、

• Entra IDやオンプレミスへのシームレスなアクセスを可能とする

• Microsoft Entra参加すると自動的にプロビジョニングされる

• Entra IDの多要素認証をクリアする

といったところになります。

みなさんの参考になれば幸いです。