連載
» 2016年11月04日 05時00分 UPDATE

vNextに備えよ! 次期Windows Serverのココに注目(61:特別編):「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート(その2) (1/2)

本連載では、Windows Server 2016による「Windows Hello for Business」のオンプレミス展開を実機で検証し、実装のポイントやユーザーエクスペリエンスをレポート。今回は、検証に必要な要素とクラウドのAzure ADを準備するまでを解説します。

[山市良,テクニカルライター]
「vNextに備えよ! 次期Windows Serverのココに注目」のインデックス

連載目次

Windows Hello for Businessのオンプレミス展開を実践・検証

 本稿では、最新版のWindows Server 2016とWindows 10を使用して「Windows Hello for Business」(旧称、Microsoft Passport for Work)のオンプレミス展開を実装し、その機能を検証していきます。

 Windows Hello for Businessをオンプレミスに展開するには、関連するさまざまなサーバの役割を展開し、目的(Windows Hello for Businessはその1つ)のために適切に構成する必要があります。

 その全ての手順を説明すると大変な文量になるので、本稿では特に注意すべきポイントや、構築手順におけるWindows Server 2016での改善点、新機能を中心に説明していきます。参照するべき公式ドキュメントや公式ブログへのリンクは可能な限り紹介しますが、公式ドキュメントの内容はたびたび更新されることに留意してください。

 また、日本語の公式ドキュメントが用意されている場合でも、最新情報は英語版の方なので、英語版ドキュメントのURLを掲載していきます。日本語版のドキュメントを確認したい場合は、「/en-us」の部分を「/ja-jp」に置き換えてください。

 Windows Hello for Businessの検証に必要なソフトウェアおよびサービスは以下の通りです。

クラウドサービス

  • Azure Active Directory Premium P1(旧称、Azure Active Directory Premium)、またはEnterprise Mobility+Security E3(Azure Active Directory Premium、Azure Rights Management、Microsoft Intuneなどを含むスイート、旧称、Enterprise Mobility Suite)。Windows Hello for Businessのオンプレミス展開には、「ディレクトリの書き戻し(デバイスライトバック)」機能を含むAzure AD Premium P1ライセンスが必要
  • Office 365との連携には、Office 365 Enterprise E3またはE5ライセンスが必要


Windows Server 2016 StandardまたはDatacenterエディション

  • Active Directoryドメインサービス(AD DS)のドメインコントローラー
  • Active Directory証明書サービス(AD CS)の証明機関(エンタープライズPKI)
  • Active Directoryフェデレーションサービス(AD FS)
  • Webアプリケーションプロキシ(リモートアクセスの役割サービスの1つ)


Windows 10 バージョン1511以降

  • TPM 1.2以降(TPM非搭載でも利用可能)
  • コンパニオンデバイスによるWindows Hello(電話によるサインイン)には、Windows 10 バージョン1607が必要
  • ドメイン参加にはWindows 10 Pro/Enterprise/Educationエディションが必要

 Windows Hello for Businessの展開方法は、「キーベース(Key-based)」と「証明書ベース(Certificate-based)」の2種類があります。本稿では、「キーベース」の展開方法を検証します。

 なお、「証明書ベース」の展開には、この他に証明書登録のための「ネットワークデバイス登録サービス(NDES)」「Microsoft Intune」「System Center Configuration Manager」、または他社MDM(Mobile Device Management)管理ソリューションが必要になります。システム要件については、以下のドキュメントで確認してください。

 また、本稿ではレノボ・ジャパン(http://www.lenovo.com/jp/ja/)の協力を得て、以下のサーバ、ノートPC、タブレットを使用して検証を行いました(写真1)。


Lenovo System x3100 M5(サーバ機)

  • 主な仕様:Intel Xeon E3-1220 v3、24GBメモリ(最大32GB)、ServeRAID-C100 RAIDコントローラー、SATA HDD 500GB×2台、SATA HDD 2TB×2台、Broadcom NetXtreme Gigabit Ethernet×2、TPM 1.2

[製品情報]http://shopap.lenovo.com/jp/systems/servers/towers/x3100-m5/



Lenovo ThinkPad X260(ノートPC)

  • 主な仕様:Intel Core i7-6600U 2.60GHz、4GBメモリ(最大16GB)、SATA HDD 500GB(HDD/SSD/SSHDからカスタマイズ可)、Intel HDグラフィックス520、Intel Ethernet Connection I219-LM、Intel Dual Band Wireless-AC 3260、Bluetooth v4.1(カスタマイズによる選択)、指紋センサー(カスタマイズによる選択)、TPM 2.0、Windows 10 Pro 64bit

[製品情報]http://shopap.lenovo.com/jp/notebooks/thinkpad/x-series/x260/



Lenovo ThinkPad X1 Tablet(タブレット)

  • 主な仕様:Intel Core m5-6Y54 1.1GHz、8GBメモリ、SATA SSD 192GB、Intel HDグラフィックス515、Dual Band Wireless-AC 8260 ac/a/b/g/n(有線LANなし)、Bluetooth v4.1、TPM 2.0、指紋センサー、Windows 10 Pro 64bit

[製品情報]http://shopap.lenovo.com/jp/tablets/thinkpad/x1-tablet/


写真1 写真1 Windows Hello for Businessの検証に使用したサーバ「Lenovo System x3100 M5」、ノートPC「Lenovo ThinkPad X260」、タブレット「Lenovo ThinkPad X1 Tablet」

 Windows Hello for Businessのオンプレミス展開では、複数のサーバを展開、構成する必要があります。本稿では「Lenovo System x3100 M5」をWindows Server 2016のHyper-Vホストとして構成し、以下の図1のように各種サーバをHyper-V仮想マシンとして展開しました(画面1)。

図1 図1 評価環境のハードウェア、仮想マシンおよびクラウドサービスの構成
画面1 画面1 Windows Hello for Businessのオンプレミス展開に必要なサーバは、Hyper-V仮想マシンとして展開、実行した

 クライアントとしては、Microsoft Azure Active Directory(Azure AD)参加用のタブレットと、ドメイン参加用のノートPCの2台を使用しました。いずれも、Microsoft Passportの秘密鍵を格納するためのTPM(Trusted Platform Module)2.0と、Windows Helloの指紋認証に対応した指紋リーダーを備えています(写真2写真3)。

写真2 写真2 Lenovo ThinkPad X260の指紋リーダー。指をスワイプするタイプ
写真3 写真3 Lenovo ThinkPad X1 Tabletの指紋リーダー。指をタッチするタイプ

 PIN(暗証番号)によるWindows Hello for Businessであれば(生体認証やスマートフォンサインインを使用しない)、Hyper-V仮想マシンにインストールしたWindows 10で評価することも可能です。Windows Server 2016のHyper-Vは、新機能として「仮想TPMデバイス」を第2世代仮想マシン上で有効化できます。ゲストOSからはTPM 2.0デバイスとして、Microsoft Passportだけでなく「BitLockerドライブ暗号化」や「資格情報ガード」など、Windows 10のセキュリティ機能として使用できます(画面2)。

画面2 画面2 第2世代仮想マシンでの仮想TPMデバイスの有効化は、Windows Server 2016のHyper-Vの新機能
       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。