【要約】Windows デバイスを Entra の パスキーにする方法 [Qiita_Trend] | Summary by TechDistill
> Source: Qiita_Trend
Execute Primary Source
// Problem
- ・未管理PCにおけるパスワードレス認証手段の不足。
- ・物理セキュリティキーの配布・管理に伴うコストと負荷。
- ・Windowsにおけるパスキー保存先(デバイスかクラウドか)による挙動の不一致。
- ・従来のWindows Helloは主にOSログオン用であり、Web認証への活用が限定的であった。
// Approach
1.Entra管理センターでFIDO2パスキーの「新しいエクスペリエンス」を有効化。
2.パスキープロファイルを作成し、Windows HelloのAAGUIDを明示的に登録。
3.対象ユーザーをセキュリティグループで指定。
4.利用者が
※ aka.ms/mysecurityinfo にアクセスし、デバイスをパスキーとして登録。dsregcmd /status で AzureAdJoined: No であることを確認する必要がある。// Result
未管理デバイスでも、Windows Helloを介したFIDO2認証が可能。物理キー不要でフィッシング耐性を実現。1台のPCで複数テナントのアカウントを使い分けられる柔軟性も獲得。管理デバイスと未管理デバイスの境界を埋める強力な手段となる。
Senior Engineer Insight
> BYODや外部委託先へのアクセス制御において、極めて実用的なソリューションだ。管理デバイスは既存のWHfBで十分だが、未管理端末へのセキュリティ強化として価値が高い。ただし、デバイスバインド型のためクラウド同期は不可。端末紛失時の再登録フローや、AAGUIDによるハードウェア制限(TPM利用の強制等)の設計が運用の肝となる。プレビュー版特有の制約(アテステーションの無効化必須など)にも注意が必要だ。