先日AzureADでFIDO2 Security Key認証のプレビューが始まったと発表がありました。つまりOffice365アカウントについてもFIDO2準拠のキーで認証ができるようになったということで、試してみました。
※2019/09/05 GoogleChromeでも動作を確認したので検証環境を修正
検証環境
- PC
- Windows10 1903, 1809
- Firefox69, Chrome76, Edge
- FIDO2 Security Key
- Yubikey5 NFC
管理者側設定
FIDO2での認証をするためにはまず管理者側でAzureADに対してプレビュー機能を有効化し、その後でユーザーが設定する必要があります。
AzureADへのアクセス
Office365管理センターを開き、ページ左の「Azure Active Directory」を選択します。
Azure Active Directoryの画面が開くので、会社名(黒塗り部分)かページ左の「Azure Active Directory」を選択します。
FIDO2認証設定の有効化
設定項目内から「ユーザー設定」という項目を探して選択します。
「Manage user feature preview settings」という項目を選択します。
設定項目の有効化ボタンを選択し、保存を選択します。
全ユーザーに適用することも一部ユーザーのみに適用することも可能です。
ユーザー設定が終わったら元の画面に戻り、今度は「認証方法」という項目を選択します。
認証方法ポリシーの設定画面に移動するので、「FIDO2 セキュリティ キー」という項目を選択します。
画面下部に設定項目が出るので、有効にするを「はい」にし、ターゲットを選びます。
保存ボタンを選択すれば管理者側の設定は完了です。
ユーザー側設定
管理者側の設定が終わったらユーザー側の設定に移ります。
設定画面への移動
Office365へログインしたあとに「 https://myprofile.microsoft.com 」へ移動します。
※現状Office365のプロファイル画面等からの導線はなさそうです。
プロファイル画面に移動するので、「Security info」内のUPDATE INFOを選択します。
ここで必ず電話番号の登録確認が入り、事前に電話番号を登録していない場合は先に設定が入ります。他の認証方式を登録していても現状は電話番号を聞いてくるようです。
登録済みの認証方法の一覧が表示されるので、「Add method」を選択して「Security key」を選択します。
FIDO2 Security Keyのタイプを聞かれるので「USB device」を選択します。
Security Key登録するぜ!みたいなメッセージが出るのでNextを選択します。
ここで対応してないOS/ブラウザだとエラーが出て弾かれます。検証環境の項目にも書いたのですがWindowsではFirefox/Edgeは大丈夫でしたがChromeは駄目でした。
※2019/09/05追記 Windows10+Chrome76の組み合わせでの動作を確認しました。
ものは試しとUbuntu 19.04でも試したのですがどのブラウザでも駄目でした。Ubuntuは多分OS側ですね。
同じくMac+Safariの組み合わせでも動作しませんでした。
OS/ブラウザともに対応していれば登録画面に遷移します。ウインドウを見るとわかるように、FIDO2デバイスの登録がブラウザからOS側に委任されています。
ここまで来て初めてFIDO2 Security Keyを端末に接続し、PINコード入力をしてデバイスへのタッチをします。
FIDO2 Security Keyの登録が済んだら制御がOSからブラウザ側へ戻り、元の画面へ遷移します。
登録するデバイスの名称を自由に決められるのでわかりやすい名称をつけます。
これで登録完了です。
Security infoのmethod欄に登録したSecurity Keyが表示されます。
FIDO2認証でOffice365ログイン
通常どおり「 https://portal.office.com 」などにアクセスしてログイン画面に遷移したあと、ユーザー名を入力するのではなく「サインインオプション」を選択します。
サインインオプションに表示される「WindowsHelloまたはセキュリティーキーでサインイン」を選択します。
FIDO2 Security Key登録時と同じように接続→PINコード→タッチという流れで認証します。
認証が問題なく通れば見慣れた画面が表示されます。
これでFIDO2 Security KeyでのOffice365認証は完了です。
