Windows Info 第167回

Windows 10＋FIDO2デバイスでパスワード入力なしにMicrosoftアカウントにログイン

FIDO2でマイクロソフトのサービスにログインする

　FIDO2対応のセキュリティキーを使って、実際にマイクロソフトアカウントにログインしてみよう。利用に先立ち、マイクロソフトアカウントにセキュリティキーを登録する必要がある。なお、WindowsのログインでPINを使っている場合や指紋リーダーを使っている場合、Windows Helloが有効になるため、ログイン時にはWindows Helloが優先して使われる。

　このとき、セキュリティキーを使ったログインを行おうとすると1クリック手間がかかってしまう。また、Windows HelloのPIN要求とセキュリティキーのPIN要求はメッセージをよく見ないと区別がつかない。なので、セキュリティキーを試すなら、指紋リーダーなどがなく、かつログインにPINを使わない設定のマシンを選んだほうがいいだろう。逆に言うと、すでにPCに指紋リーダーがあるなら、セキュリティキーを利用する必要はない。

　筆者が購入したのは、「Security Key by Yubico」という製品（https://www.yubico.com/store/#SKY）。Amazonなどで入手可能だ。これは、FIDO2に対応したセキュリティキーだ。FIDO2のみに対応しているため、他のキーよりもちょっと安価ある。

　まずは、Edgeでマイクロソフトアカウント（https://account.microsoft.com/）にログインする。ログインしたらページ上部の「セキュリティ」をクリックする。次にページの下にある「その他のセキュリティオプション」をクリックし、表示されたページで「Windows Helloとセキュリティキー」にある「セキュリティキーを設定します」をクリックする。

　ここでセキュリティキーを装着し、「USBデバイス」が選択されていることを確認したら、次へで先に進む。FIDO2デバイスが未使用ならここでPINを設定する。OKを押と、ページが切り替わる。ここでセキュリティキー（１アカウントに複数のセキュリティキーを登録できる）を区別するための名前をつける。

　このあと、ページ右上のユーザーアイコンからMicrosoftアカウントをログアウトする。

　では、再度ログインしてみよう。前述のマイクロソフトアカウントページを開くと、ログアウトしてあるならログイン画面が出るはずだ。

　ここで「セキュリティキーでサインイン」をクリックする。するとセキュリティキーを装着するように求められる。キーを装着すると、PINを聞いてくるので、先ほど設定したセキュリティキーのPINを入れる。最後に、セキュリティキーの金色部分（LEDが点灯しているはずだ）をタッチし、ユーザーがその場にいることを示す。

　これで、ユーザー名もパスワードも入力することなくMicrosftアカウントにログインができた。Outlook.comやOneDrive.comなどでも同じように可能だ。

　現状、セキュリティキーを紛失したときのために、Microsoftアカウントの登録時には、ユーザーIDとパスワードの設定が必要だが、セキュリティキーを併用することでログインはかなり簡単になる。また、同様のことはWindows Helloでも可能である。

　なので、初回登録のパスワードは、パスワード管理ソフトなどが持つパスワード自動生成機能を使ってもいい。FIDO2自体には、Windowsのログインを可能にする機能はなく、Windows Helloにも対応していないが、セキュリティキーの中には、U2FやFIDO2などの仕様に対応していながら、Windowsのログインに利用できるものがある。

　セキュリティキーのメーカーからソフトウェアが提供されていることが前提になるが、セキュリティキーでのログインが可能になると便利だ。また、Windows Hello対応の指紋リーダーの中には、U2Fなどに対応しているものがある。このため、Windows HelloでWindowsログインとMicrosoftアカウントへのログインに対応でき、さらにU2FでGoogleの2要素認証にも対応する。このあたり、いろいろなデバイスが出てきており、ちょっと面白そうだ。

ASCII倶楽部