2025年2月6日にYubiOn FIDO Logonは「企業向け認証器」の新機能のアップデートを行いました。
どのような機能なのか、何ができるようになったのかについて、実際の動作を踏まえてご紹介いたします。
新機能ってどんな機能?
今回追加された機能は、FIDOのEnterprise Attestationという仕組みに対応したものです。
通常、パスキー(FIDO認証)はエンドユーザーが使用する認証器を識別することができません。
そのため、管理者はエンドユーザーがどの認証器を所有し、登録しているかを把握することができません。
しかし、企業によってはエンドユーザーがパスキーで保護されているだけでは十分ではなく、
使用されているパスキーが自社で準備した認証器のみを利用していることを保証したい場合があります。
Enterprise Attestationは、認証器を一意に識別する機能を提供します。
この機能に対応することで、YubiOn FIDO Logonで使用されている認証器を特定することができるようになりました。
つまり、個人で所有している認証器やスマホを登録できないようにしたり、あらかじめ管理者が指定した認証器だけしか登録できないようにできるため、企業内で使用する認証器が管理できるようになりました。
今回の新機能はかなり管理寄りですので、より厳しいセキュリティやデバイスの管理を行いたい企業に向けた機能であることがわかると思います。
企業向け認証器とは
YubiOn FIDO LogonではEnterprise Attestationに対応した認証器のことを企業向け認証器と呼んでいます。
この記事を書いている2025年2月現在、Enterprise Attestationに対応した認証器は世界的にも少なく、弊社でお取り扱いしている中ではYubico社のYubiKeyのみが対応しています。
また、企業向け認証器はベンダー出荷時にEnterprise Attestationに対応するための情報を書き込む必要があるため、通常の方法で入手することはできません。
入手するためにはYubico社に直接連絡を取る必要がありますので、導入を検討される場合は弊社にご連絡いただき、Yubico社と協議を行ったのちに出荷という流れとなります。
本記事でもYubico社から入手したEnterprise Attestation対応のYubiKeyを使用して試していきたいと思います。
使用したのはYubiKey 5Cです。裏面にはモザイクで隠していますがシリアル番号の他に、「EA」と書かれているのが確認できます。
通常のYubiKey 5Cにはこの記述がないので、目視でEnterprise Attestationに対応したキーであることが区別できるようです。
実際に試してみる
では実際に企業向け認証器を使ってどんなことができるのか試していきたいと思います。
今回試すこと
今回試す内容は次の通りです。
管理者として管理Webサイトの操作
エンドユーザーに対して企業向け認証器の制限をします。
企業向け認証器は入手済みの状態とします。
PCログオン時に使用するYubiKeyを、あらかじめ管理者が決めたYubiKeyのみ登録できるようにします。
エンドユーザーとしてPCの操作
企業向け認証器でのみPCログオンができることを確認します。
YubiOn FIDO Logonのインストール等の初期準備は完了している状態とします。
以前のブログでも取り上げた、初回ログオン時に認証器を登録する方法で認証器を登録します。
「YubiOn FIDO Logonの新しい導入方法を試してみた」
それでは早速試していきましょう。
■管理者側の操作
1.カスタマー設定で企業向け認証器を有効にする
まずはYubiOn FIDO Logonで企業向け認証器が利用できるように設定します
YubiOn FIDO Logonの管理Webサイトにログインします。
カスタマー管理画面を開きます。
「企業向け認証器管理設定」の右部にある編集アイコンをクリックします。
「企業向け認証器管理機能」の項目を「有効」に変更すると、各項目が変更可能になります。
3つの項目のうち、上の2つはPCログオン時に使用する認証器を、企業向け認証器に制限するための項目です。
対象のWindowsのアカウントがローカルアカウントかドメインアカウントかで設定が分かれています。
今回は管理者があらかじめ認証器を割り当てておく制限方法を試したいので、両方「アカウントに割り当てられた企業向けに認証器のみ登録可能」に設定します。
ちなみに、「企業向け認証器のみ登録可能」の設定は、企業向け認証器であればあらかじめの割り当てをしていなくても登録ができる設定で、一般の認証器のみを使わせたくない場合に選択します。
また、一番下の項目は、管理者が管理Webサイトにログインする際に使用する認証器を制限するための項目です。
今回はこの設定は割愛しますので、特に制限を行わない「すべてのFIDO認証器を登録可能」に設定しておきます。
2.企業向け認証器とアカウントを割り当てる
この時点では、先ほどの設定により登録できる認証器が制限されている状態ですので、エンドユーザーはどの認証器も登録ができません。
なので、続いてエンドユーザーのアカウントに対し、どの認証器を利用させるかの割り当てを行います。
割り当てを行うと、エンドユーザーはその認証器を登録できるようになります。
割り当てはアカウント管理画面から行う方法と企業向け認証器管理から行う方法がありますが、今回は企業向け認証器管理画面で行います。
メニューから企業向け認証器管理画面を開きます。
利用可能な企業向け認証器が一覧として表示されます。
認証器の情報は、企業向け認証器をご購入いただいた時点で弊社側で登録を行いますので、お客様側での登録は不要です。
認証器の識別は認証器IDで行うことができます。
YubiKeyの場合、認証器IDはシリアル番号です。
シリアル番号はYubiKeyの裏側に刻印されていますので、目視でも確認が可能です。
割り当てを行う認証器IDを選び、「アカウント」項目の編集アイコンをクリックします。
「企業向け認証器利用アカウント一覧」のモーダルが表示されますので、右上の+アイコンをクリックします。
「アカウントへの企業向け認証器の割り当て」モーダルが表示されます。
カスタマー内のアカウントが一覧として表示されますので、割り当てを行いたいアカウントを選択して「割り当て」ボタンをクリックして割り当てを行います。
アカウントはローカルもドメインも選択可能ですが、今回はローカルアカウントに対して割り当てを行います。
割り当てが成功すると戻ってきたモーダルの方に、アカウントの情報が表示されます。
パスキーを利用する場合、必ず実際の認証器を使って登録操作を行う必要がありますが、
現時点では認証器の割り当てだけを行っており、実際の認証器の登録が行われていない状態のため、「状態」の項目は「割り当てのみ」という表記になっています。
モーダルを閉じ、認証器一覧の方でも、「アカウント」の項目に割り当ての状態が表示されていることが確認できます。
管理者側の操作は以上です。
続けてエンドユーザー側の操作を見ていきます。
■エンドユーザー側の操作
3.認証器を登録する
YubiOn FIDO LogonのクライアントソフトウェアがインストールされたPCで、エンドユーザー側の操作を行います。
PCを起動し、割り当てを行ったアカウントを選択します。
初回は認証器が未登録状態のため、Windowsのパスワードを入力します。
パスワードが成功すると、続けて認証器登録が開始します。
登録時、企業向け認証器の制限があることが表示されています。
割り当てを行った認証器だけが登録可能の設定になっているため、利用可能な認証器IDが表示されます。
試しに、企業向け認証器ではない通常の認証器を使って登録してみます。
PINを入力して認証器にタッチします。
制限がかかっているため、失敗しました。
個人が所有する認証器は使えないことがわかりました。
では改めてWindowsパスワードを入力し、今度は割り当てられた企業向け認証器を接続します。
PINを入力して認証器にタッチします。
今度は登録が成功しました。
割り当て済みの認証器であれば登録できることが確認できました。
4.ログオン認証を行う
続けて登録した認証器を使ってログオンしてみます。
PINを入力し、認証器にタッチします。
ログオンが成功しました。
登録が完了すると、次回のログオン時からは登録の動作はなく、認証器を使って認証のみを行ってログオンができるようになります。
登録時の制限以外は、通常の認証器と特に変わりません。
■管理者側の操作
5.登録状況を確認する
もう一度管理Web画面に戻って、登録状況を確認します。
企業向け認証器管理画面を開き、割り当てを行った認証器のアカウント項目のアイコンをクリックします。
先ほどは状態が「割り当てのみ」となっていましたが、エンドユーザー側で認証器の登録を行ったので「登録済み」となっています。
このように、管理Web画面では認証器の割り当ての状況や登録の状況を確認することができます。
■まとめ
FIDO認証はその仕様上、認証器の特定ができなかったため、YubiOn FIDO Logonも同じく認証器の特定ができませんでしたが、Enterprise Attestationの登場により、認証器を一意に特定し、管理を行うことができるようになりました。
今回ご紹介した機能は、BYODを禁止しているなど、デバイスやセキュリティの運用を厳しく行っている企業で特にご活用いただける機能です。
興味を持たれた方はぜひお問い合わせください。
YubiOn FIDO Logonは無料版として、有料版と同等の機能を3ヶ月間お試し頂けます。
企業向け認証器をお持ちでない場合でも、一般の認証器やスマートフォンを利用して、まずは是非試して頂ければと思います。
■関連リンク
[YubiOn FIDO Logon]
[YubiOn FIDO Logon概要ページ]