読者です 読者をやめる 読者になる 読者になる

LTN Blog 〜 Lenovo Technology Network 〜

レノボのソリューション・サーバー製品に関する技術情報、お役立ち情報をお届けします

パスワードのない世界を実現するWindows Hello for BusinessをThinkPadで活用しよう!

  Windows Hello for Business使ってる?

  Windows 10で追加された目玉機能のWindows Helloは、昨年Windows Hello for Businessと拡張されました。

 もともと、Windows Helloは多要素な認証を行う事でセキュリティを高めることが出来るのですが、Active Directoryとの連携や、グループポリシーなどの集中管理といった企業で使用される機能を実装しておりませんでした。

f:id:hal2017:20170321142909p:plain

 Windows Hello | Windows 10 | Microsoft

 Windows Hello for Businessでは、Active Directoryとの連携や、グループポリシーで集中管理できるようになっているので、企業でも使えるものとなっています。

 一般的なユーザーIDとパスワードのみに認証を頼ると、標的型攻撃などで侵入され、認証情報を盗まれたりすることがありますよね。生体認証を加えることで、認証プロセスをよりセキュアにすることができます。

 えっ、指紋認証情報や顔認証情報が企業に収集されるのはやだなーというように思われるかもしれませんが、Windows Hello for Businessでは、ユーザー個人の認証情報はローカルに保存されます。そのため、ネットワーク上を指紋情報のようなプライバシーにかかわる情報は流れませんので、ご安心を。 

ThinkPadの生体認証モジュール

  ThinkPadの2017年版モデルが1月に発表されております。ThinkPad X1ファミリーはいままでより軽く、小ささを追求しています。バッテリーの充電時間なども大きく改善されており、LTEモジュールの搭載もあり、企業向けモバイルPCとして使用されることが今後も増えてくると考えています。

 さらに、新しいThinkPad X1シリーズには、今まで搭載していた指紋スキャナーに加えて、赤外線カメラを搭載してWindows Helloの機能を使うことができるようになります。

ThinkPad X1 Cabon (2017)

http://shopap.lenovo.com/jp/notebooks/thinkpad/x-series/x1-carbon/

ThinkPad X1 Yoga(2017)

http://shopap.lenovo.com/jp/notebooks/thinkpad/x-series/x1-yoga/

に記載がありますが、指紋スキャナーは標準で添付されるようです。

f:id:hal2017:20170321122957j:plain

  赤外線カメラは、オプショナルで搭載となると思われます。赤外線を使うことで暗いところでも顔認証がやりやすくなるのでしょうかね。モバイルな環境であれば飛行機でお仕事という状況もあると思いますので、暗いところという状況はあり得るのでしょう。

(下記画像はマイクロソフトのサイトから引用しています)

https://winblogs.azureedge.net/win/2017/01/24_X1_Carbon_Data_Security_Exploded_Camera_Biometric_FPR_Black-1024x577.png

  いずれにしろ、現時点でWindows Helloで使えるのは、指紋認証か顔認証のいづれかです。ThinkPadであればどちらも対応可能となります。 企業向けのモバイルPC環境にはWindows Hello for Businessを検討の場合には、生体認証モジュールのWindows Hello対応をぜひご確認くださいね。

  Active DirectoryはWindows Server 2016が必要

 さて、Windows Hello for Businessを使うためには、Active DirectoryをWindows Server 2016ベースにする必要があります。

 すでにWindow Hello for Businessの検証結果を下記のサイトでレポートしておりますので、構築手順については、下記のリンクから参照ください。

www.lenovojp.com

 Windows Hello for Businessの展開では、ドメインコントローラだけではなく、複数のサーバーを展開する必要があるので、注意してください。また、Azure Active Directoryサービスと連携させるには、さらにActive Directory Federation Serviceが必要となります。

 模式図にすると、下図のような形となります。かなり簡略化されていますが。タワーサーバーが書かれているところがオンプレミスに置くActive Directoryサービスが稼働するサーバーとなります。

f:id:hal2017:20170321141659p:plain

 Active Directoryについては、複数のサービスを起動することになりますので、Hyper-Vの上で複数の仮想サーバーを起動して構築を行うことをお勧めいたします。

 

それでは~