Windows Info 第348回

Windows 10/11を「パスワードレス」で運用する環境でのファイル共有

　Windowsのネットワークで新しく接続したマシンのアイコンをクリックして開こうとすると、何回もパスワードを聞かれることがある。しかも接続先マシンに存在するユーザー名とパスワードを入れても「パスワードやユーザー名が違う」と言われたりもする。ところが別のマシンからは、すんなりと同じユーザー名でアクセスができるのだ。ユーザー名とパスワードの間違いではないのである。筆者の環境であったこの件について今回調べた。

エクスプローラーのネットワークで、マシンを選んで開こうとすると、ネットワーク資格情報の入力ダイアログが表示され、正しいユーザー名、パスワードを入れても先に進めないことがある

　なお、ファイル共有やユーザー認証に関しては、ドメイン環境とワークグループ環境で大きく違う。ここでは、会社などで利用しているドメイン環境（Active Directory環境）は対象外とさせていただく。

原因の1つはMicrosoftアカウントのパスワードレス化

　Microsoftは、Windowsのパスワードレス化をWindows 10の頃から推進している。このパスワードレス化には、2つの意味があって、1つは「Microsoftアカウント」のパスワードレス化である。もう1つは、Windowsのパスワードレスログインだ。前者はFIDOを使い、アカウント自体をパスワードを使わないようにするもの。これはWindows 10 Ver.1809（RS5）で行なわれた。

　Windows 10 Ver.1903（19H1）では、Windows 10/11に実装されているWindows HelloがFIDO2に対応した。これにより、Windows 10からのMicrosoftアカウントへのログインに認証が不要になった。

　これに対して、パスワードレスログインとは、Windowsのログイン（サインインということもある）でパスワードによるログインを禁止し、Windows Helloによるログインのみにすることを指す。

　Windows Helloには4桁の数字を使うPINも含まれるため、指紋リーダーや顔認証カメラがないマシンでも対応は可能だ。Windows 10 Ver.2004（20H1）で、セーフモードのログインがWindows HelloのPINに対応したことで可能になった。「設定」→「アカウント」→「サインインオプション」にある「セキュリティ向上のため、このデバイスではMicrosoftアカウント用にWindows Helloサインインのみを許可する」（Windows 11）、「MicrosoftアカウントにWindows Helloサインインを要求する」（Windows 10）をオンにすると、パスワードでのログインができなくなる。

　このあたりについては、以前の回の「Windows 10、パスワードなしの世界へ一歩前進」で解説した。

　ネットワーク共有では、「パスワード保護共有」がWindows 10でデフォルトで有効化されたため、最初にアクセスするときにユーザー名とパスワードを聞かれる。ただし、Windowsではネットワーク経由でパスワードを送信しないようになっているので、双方で同じ計算をして結果が一致すれば、アクセスが可能になる。この認証情報は記録され、次回以降のアクセスに使われるようだ。アクセスする側では、この情報はコントロールパネルの「資格情報マネージャー」で見ることができる。

　このため、過去にアクセスしたネットワーク共有に関しては、そのままアクセスが可能だ。筆者の環境で見る限り、どうもサーバー側でパスワードがなくなっても、過去に記録した認証情報が残ったままになっていれば、同じようにパスワードでアクセスが可能になるケースがあった。このため、同じMicrosoftアカウントなのにパスワードで認証できる共有とそうでない共有が混在するようだ。

　Microsoftアカウントがパスワードなしになり、Windows 11のように最初からスマートフォンのAuthenticatorアプリで認証して、パスワードなしログインが可能になると、パスワードはどこにも記録されていない形になる。そうなると、ネットワークアクセス時のユーザー名とパスワードでの認証自体が不可能になる。

ASCII倶楽部

お知らせ