Windowsのパスワードレス化

www.microsoft.com
internet.watch.impress.co.jp
pc.watch.impress.co.jp

  • Windowsのパスワードレス運用は発表当時から興味あったけど、いきなり実践するのも怖かったので暫し様子見と思いつつ早くも一年経ってしまったようです。先日のBIOSアップデートに伴うTPMリセットのついでに思い出したので、これを機に適用してみたい。
  • Impressの記事が詳しかったので具体的に理解できました。おそらく、PCへのログオンがWindows Hello認証(PIN、指紋認証、顔認証など)限定になり、M365やOneDrive等のSaaSへのログオンにMicrosoft Authenticatorを使うことになるのだろう。イメージとしては、AzureAD環境での2要素認証(2FA)がパスワード無し(Microsoft Authenticatorのみ)になった感じ。
  • ローカルPCに着目すると、クレデンシャルの扱いはこんな感じだろうか。PCについては実質的にパスワードレス運用しているようなものだし、2FAを有効化しているのでSaaS側もMicrosoft Authentcatorが必須な点は変わらない。むしろ、パスワード入力する手間が省けるので楽になる気がする。
  • 懸念される状況は、スマートフォン紛失などでMicrosoft Authenticatorが利用できなくなる場合と、機器故障やTPMリセット等でWindows Hello認証が機能しなくなる場合のリカバリーですが、両方ともImpressの記事で解決方法が明記されていたので大丈夫な模様。最悪、Bitlockerの回復キーさえ死守すれば一から再構築すればどうにかなるでしょう。

  • さて、実行しようと思ったら予想外のところで躓いてしまった。回復用に追加の認証方法を要求される。しかし、諸般の事情でメールアドレスは追加登録したくない。そうなるとSMS認証を用いることになるが、既存の電話番号も使い回せない。想定外のところで難易度が上がってしまったので、一旦ここまでとしよう。まあ、2FAが有効になっているのでパスワードだけ判明してもなにもできない点は変わらないからよしとしますか。うーん。
  • 当初のイメージだと、Microsoft Authenticatorを使ってPCにログオンする運用になるのかと思っていたのでちょっとイメージが違いました。PINを作成せずに、マイクロソフトアカウントで直接ログオンする場合がそれですが、セキュリティ的に脆弱になるのでアウトですね。