Windows Hello for Businessについて

WHfBに関するWiki

ハードウェア要件

  • 指紋センサー(FAR,FRR等こまかい数値あり)
  • IR(赤外線)センサー内臓デバイス
  • TPM2.0の有効化
Windows Hello for Business の概要
windows デバイスでパスワードを強力な 2 要素認証に置き換えるWindows Hello for Business方法について説明します。
learn.microsoft.com

OS要件

  • Windows Pro
  • Windows Enterprise
  • Windows Pro Education
  • Windows Pro Education/SE
Windows Hello for Business の概要
windows デバイスでパスワードを強力な 2 要素認証に置き換えるWindows Hello for Business方法について説明します。
learn.microsoft.com

認証フロー

クラウドKerberous信頼を使用したハイブリッド参加認証

1.端末からEntra IDに認証要求をして、Entra IDからnonce(適当な文字列?)を受け取る

2.生体認証をしてPC内の秘密鍵がアンロックされたら、秘密鍵でnonceを署名してEntra IDに返す。

3.Entra IDはユーザーが登録した公開鍵を使って署名の検証をする。

4.検証が完了したらPRT(Entra ID認証用)を作成し、Entra KerberousからPartical TGT(Entra ID側では認証で来たよというオンプレAD向けの引換券)と一緒に端末に返す

5.端末はドメインコントローラに対してPartical TGTを送信。

6.ドメコンはPartical TGTがEntra IDの署名付きであることを確認したらちゃんとしたTGT(AD認証用)を端末に返す

Windows Hello for Business 認証のしくみ
Windows Hello for Business認証フローについて説明します。
learn.microsoft.com

コメント