一時アクセスパス (TAP) を使用したパスワードレスの実現

こんにちは。Enterprise Mobility + Security (EMS) のサービスの1つである Microsoft Intune を使用し、デバイスの管理機能を導入している町端です。
本記事では、一時アクセスパス (Temporary Access Pass : TAP) と Windows Autopilot を組み合わせて使用することで、管理者がユーザーに本来のパスワードを通知することなく、ユーザー自身がパスワードレスで PC をキッティングする方法をご紹介します。
Windows Hello for Business (以下 WHfB) が有効化 / 無効化されているかによって動作が変わりますので、記事内で動作の違いを補足します。

一時アクセスパスとは

一時アクセスパスとは、管理者によって発行される期間限定のパスワードです。
ユーザーに自身のパスワードを通知することなく、パスワードレスの認証方法 (Microsoft Authenticatorや Windows Hello など) を登録する際の一時的なパスワードとして利用することが可能です。
また、一時アクセスパスを使用することで、ユーザーが認証要素 (FIDO2 セキュリティキーや Microsoft Authenticator) を紛失した場合でも簡単に回復することが可能です。

一時アクセスパスの有効化

Azure AD 管理センターから一時アクセスパスを有効化する設定を行います。

1. グローバル管理者もしくは認証ポリシー管理者 のアクセス許可を持つアカウントを使用して、 Azure AD 管理センターにサインインします
2. 画面左の [管理] - [セキュリティ] をクリックします
   

   

3. [管理] - [認証方法] をクリックします
   

   

4. [一時アクセスパス] をクリックします
   

   

5. [基本] - [有効にする] の [はい]をクリックします
   

   

6. [ターゲット] では、一時アクセスパスを有効にするユーザーもしくはグループを選択することができます
   今回は、テナント内のすべてのユーザーに対し、一時アクセスパスを有効化します。
   ※ターゲットで割り当てられたユーザーもしくはグループ内のユーザーのみ、一時アクセスパスを使用することが可能になります。
   

   

7. [構成] をクリックし、[編集] をクリックします
   

   

8. 一時アクセスパスの有効期間、長さ、使用回数を設定します
   

   

   左右にスクロールしてご覧ください。

   設定	既定値	使用可能な値	説明
   最短有効期間	1時間	10 - 43,200 (分)	一時アクセスパスが有効な最短期間
   最長有効期間	8時間	10 - 43,200 (分)	一時アクセスパスが有効な最長期間
   既定の有効期間	1時間	10 - 43,200 (分)	既定値は、ポリシーによって構成される最短および最長の有効期間内で、個々のパスによってオーバーライドできます
   一回限りの使用	いいえ	はい / いいえ	ポリシーが [いいえ] に設定されている場合、テナントのパスは、その有効期間 (最大有効期間) 中に 1 回または複数回使用できます。 一時アクセス パス ポリシーで 1 回限りの使用を強制することで、テナントに作成されたすべてのパスが 1 回限りの使用として作成されます
   長さ	8	8 ~ 48 字	パスコードの長さを定義します

   
   
   
9. 設定した内容で問題がなければ [保存] をクリックします
   

   

10. 一時アクセスパスが有効にすると、[有効] の欄が [はい] に変更されます
    

    

これで一時アクセスパスを有効にすることができました。次にユーザーの一時アクセスパスを作成する設定を行います。

一時アクセスパスを認証方法に追加

上記で一時アクセスパスを有効化した後、Azure AD 管理センターでユーザー用の一時アクセスパスを作成できるようになります。
一時アクセスパスの作成および閲覧が可能な役割を記載します。

左右にスクロールしてご覧ください。

1. 一時アクセスパス作成可能な役割を持ったユーザーで、 Azure AD 管理センターにサインインします
   ※今回はグローバル管理者アカウントでサインインします。
   
   
2. [管理] から [ユーザー] をクリックします
   

   

3. 一時アクセスパスを作成するユーザーを選択します
   
   今回は [テストユーザー] の一時アクセスパスを作成します。

   

4. [管理] から [認証方法] をクリックします
   

   

5. [認証方法の追加] をクリックします
   

   

6. [方法の選択] で一時アクセスパスを選択します
   

   

   ※ [一時アクセスパスの有効化] 設定で [ターゲット] に含めているユーザーもしくはグループ内のユーザーのみ、認証方法を一時アクセスパスに変更することができます。[ターゲット] に含まれていないユーザーでも [方法の選択] で一時アクセスパスを選択することはできますが、追加する際、以下のようなエラーとなります。
   

   

7. オプションとして、[遅延開始時刻] [アクティブ化期間] [一時使用] を設定します
   

   左右にスクロールしてご覧ください。

   設定	説明
   遅延開始設定	一時アクセスパスを有効化する日程を設定することが可能
   アクティブ化期間	前述の一時アクセスパスの設定の [最長有効期間] を最大値として、一時アクセスパスを使用可能な時間を設定することが可能
   一時使用	一時アクセスパスを使用できる回数を1回か無制限か設定することが可能

   
   

   

8. [追加] をクリックします
   

   

9. 詳細が表示されます。ここで表示されるパスの指定は必ずメモしてください。
   ※ここで [OK] をクリックすると、今後一時アクセスパスの内容を確認することができなくなります。
   一時アクセスパスの内容をメモした後は [OK] をクリックします。
   

   

これで [アクティブ化期間] の間、ユーザーが一時アクセスパスを使用できるようになりました。

一時アクセスパスを使用した Windows Autopilot でのキッティング

Windows Autopilot を使用して PC のキッティングを行います。今回は前提として、テナントの Intune 設定で、WHfB が有効化されている場合のキッティング方法をご紹介します。WHfB が無効化されている場合は、パスワード入力画面をスキップするための設定を追加する必要があるので、設定方法については次項で説明します。

1. 初期化されている PC を起動し、一時アクセスパスが有効化されている Azure AD ユーザーでサインインします
   

   

2. 一時アクセスパスを入力し、[次へ] をクリックします
   

   

3. デバイスのセットアップが開始されます
   

   

4. WHfB が有効化されている場合、PIN の設定を求められるので [OK] をクリックします
   

   

5. [一時アクセスパスを使用する] をクリックします
   

   

6. 一時アクセスパスを入力します
   

   

7. 設定する PIN を入力し、[OK] をクリックします
   

   

8. WHfB の設定が完了するので、[OK] をクリックします
   

   

これで PC のキッティングは完了です。ユーザーにパスワードを伝えることなく、一時アクセスパスのみで PC をキッティングすることができました!

WHfB が無効化されている場合の一時アクセスパスを使用した Windows Autopilot でのキッティング

WHfB が無効化されていると、Windows Autopilot 完了後の初回サインイン時、通常のサインイン画面が表示されます。
そのため、一時アクセスパスを使用することができず、パスワードでしかサインインすることができません。

これを回避するために、Web サインイン機能を有効化します。

※2022 年 9 月 現在プライベートプレビュー版の機能になるため実装には注意が必要です。
※Web サインインは Azure AD Joined の PC でのみサポートされます。

1. Microsoft Endpoint Manager 管理センターを開きます
2. [デバイス] をクリックします
   

   

3. [ポリシー] から [構成プロファイル] をクリックします
   

   

4. [プロファイルの作成] をクリックします
   

   

5. [プラットフォーム] で 「Windows 10 以降」、 [プロファイルの種類] で 「設定カタログ」 を選択し、[作成] をクリックします
   

   

6. [名前] に作成するプロファイル名を任意の内容で入力し、[次へ] をクリックします
   

   

7. 構成設定画面で、[ + 設定の追加] をクリックし、設定ピッカー内に、[EnableWebSignIn] と入力し、[検索] をクリックします
   

   

8. カテゴリ別に参照の欄の [認証] をクリックし、結果の欄から [Web サインインを有効にする] にチェックを入れます
   

   

9. [Web サインインを有効にする] の設定値が選択できるようになるので、[有効。Windows へのサインイン用のWeb サインインが有効になる] を選択し、[次へ] をクリックします
   

   

10. [スコープタグ] 画面でスコープタグの設定し、[次へ] をクリックします
    今回は、既定値で設定を進めます。
    

    

11. [割り当て] 画面で Web サインインを有効化するユーザー、グループ、デバイスを設定し、[次へ] をクリックします
    今回は全てのユーザーに割り当てを行います。

    

12. [確認および作成] 画面で今回の設定内容を確認し、問題がなければ [作成] をクリックします
    

    

13. 構成プロファイル画面に先ほど作成した、[Web サインイン有効化] が表示されます
    

    

14. Web サインインを有効化することができたので、再度 PC のセットアップを行います。
    

    

    先ほどパスワードの入力を求められたサインイン画面で一時アクセスパスを求められるように変更されました。
    

    

この後に、ユーザーは Windows Hello for Business や FIDO2 などのパスワードレス認証方法を設定することにより、パスワードレスで PC の利用を開始することができるようになります!

まとめ

ここまで、パスワードレスで PC をキッティングする方法についてご紹介しましたがいかがでしたでしょうか。現状プレビュー版の機能を使用する必要もあり、企業の PC をパスワードレスで使用するのはまだまだ難しいなと検証を通じて感じました。今後もパスワードレスに関する内容のアップデートがありましたら、ブログ記事を作成しようと考えていますので、興味がありましたらご覧いただけると幸いです。