top of page
Blog article

Blog article

YubiOn FIDO Logonでリモートデスクトップログオンを試してみた

本日、YubiOn FIDO Logonの新しいバージョン(3.0.0.1)をリリースいたしました。昨年9月のスマートフォンによるログオンのアップデート以来となるメジャーアップデートとなります。

今回のアップデートで、リモートデスクトップ時のパスキーログオンが出来るようになりました!


YubiOn FIDO Logonは直接USBデバイスやスマートフォンのBLEとやり取りを行うため、今まで遠隔環境ではUSBデバイスそのもののリダイレクトなどの方法でしか利用できませんでした。ですが、昨年Microsoftがリモートデスクトップに実装したWebAuthnリダイレクトの仕組みを利用する事で、USBデバイスそのものではなくパスキー認証の内容のみを接続元に転送して認証を行う事が出来るようになりました。今回の改修では、リモートデスクトップ接続時にこのWebAuthnリダイレクトの機能を用いて接続元でパスキー認証を行う改修になります。リモートワークで会社PCにアクセスする、データセンター内のPCにリモートアクセスする、といったユースケースに対応する事で、更に柔軟な運用が出来る製品になったのではないかと思います。


■リモートデスクトップでのパスキーログオン(FIDOログオン)を試してみる

まずは実際の動作を見ていきましょう。YubiOn FIDO Logonの登録・PCへのクライアントアプリのインストール・登録コードの設定までは終わっている状況から実際の動きを確認していきます。


前提条件として、OSは接続先・接続元ともにWindows11、10、2022Serverのいずれかである必要があります。(※1) また、当然ですがリモートデスクトップが許可されている必要があります。FIDO Logonのインストールが必要なのはリモート接続先のPCになります。(※2) 今回はリモート接続元・リモート接続先、共にWindows11での動きを見ていこうかと思います。

(※1)更にOSによって一部機能に制約がありますが、それについては後述します。

(※2)もちろん、接続元のPCにもFIDO Logonがインストールされていても問題ありません。


①認証器の登録

まずは認証器の登録を行っていきましょう。認証器の登録もリモートデスクトップ上で行うことが可能です。まずは従来の接続方法でリモートデスクトップに接続し、接続先のPCで設定ツールを起動しましょう。起動したら「認証設定」を開いてください。

直接PCを操作した場合は「スマートフォンを登録」ボタンと「セキュリティキーを登録」ボタンが表示されていましたが、リモートデスクトップ接続時は「リモートで認証器を登録」ボタンになっています。(※3) とりあえずこのボタンをクリックして登録を行っていきましょう。

(※3)「DiscoverableCredentialとして登録する」というチェックボックスも増えておりますが、こちらについてはWEBから認証器を登録する際の設定と同様のものです。詳しくはこちらをご覧ください。

しばらくFIDO Logonの方でサーバーと通信を行った後、接続元のPC上にFIDO認証のダイアログが表示されます。WEBなどでパスキーやFIDO認証を利用されている方はご存じかもしれませんが、Windows標準のパスキー認証のダイアログです。

今回はセキュリティキーを登録しようと思いますので、ダイアログの案内にしたがってセキュリティキーの登録に進みましょう。いくつかセキュリティキーから取得する情報についての案内があった後、指紋認証のキーであればタッチをするように、あるいはPIN認証のキーであればPINを入力してタッチするように、という形で登録が進んでいきます。

そのまま進めると、Windows標準のダイアログの方で登録完了のメッセージが出て、リモート先の設定ツールの画面上でも登録完了のメッセージが表示されます。これで認証の準備は出来ました。


②リモートデスクトップのログオン

続いて、実際のログオンを試していきましょう。

今回は、リモートデスクトップの接続からの流れを説明しようと思いますので、一度サインアウトしてリモートデスクトップ接続を切断しておきましょう。スタートメニューからサインアウトした後、接続元のPCでリモートデスクトップアプリをもう一度開いて、いつもリモートデスクトップ接続をするように進めていきましょう。

一般的なリモートデスクトップ接続の場合、上図のような画面が表示されて、ID・パスワードを入力したらそのままログオン先のデスクトップが表示されるかと思います。FIDO LogonでのFIDO認証は、ここで通常のパスワード認証を行った後、接続先のPC上で再度FIDO認証を行う形になっています。何故そういう形になっているかは後述しますが、まずはいつもと同じようにID・パスワードを入力してください。

リモートデスクトップ画面が開くと、そのまま登録時と同様に、接続元のPC上にFIDO認証のダイアログが表示されます。(※4) ダイアログの説明にしたがって、セキュリティキーの認証を進めていきましょう。

(※4)表示されない場合、「サインイン オプション」でYubiOn FIDO Logonのアイコンを選択する必要がある場合があります。

このあたりの見た目は登録の時とほとんど同じです。必要に応じてPINを入力したりして認証を行っていきます。

認証が終わると、初回のみ、接続先のPC上でパスワードの入力を求められます。この辺りは直接ログオンする際と同様で、一度パスワードを入力しておくと、次回からはパスワードは要求されません。

無事、リモートデスクトップ上で接続先のデスクトップが表示されました。


■技術的な話① - リモートデスクトップ接続時の認証について

普段リモートデスクトップ接続を利用されている方は、接続前に接続元PCでID・パスワードを入力する形で利用されている方が多いかと思います。この時に入力しているIDとパスワードは、リモートデスクトップ接続の際に求められる「ネットワークレベル認証(Network Level Authentication、NLA)」という認証をパスするためのIDとパスワードになります。実際にはWindowsの内部ではリモートデスクトップ接続の際に2回認証が行われています。

Windows標準

FIDO Logon導入後

ネットワークレベル認証 - リモートデスクトップの接続を行う際に行われる認証。この認証をパスした場合、入出力(画面表示、キーボードやマウスの入力など)の共有を行うことが出来るようになる。

Windowsログオン認証 - 接続先PC内でログオンを行う際に行われる認証で、直接PCを操作する際に要求される認証と同様のもの。通常、①の認証をクリアしていて、同一の認証情報でログオンできる場合はスキップされる。


YubiOn FIDO Logonは②のWindowsログオン認証の部分を強化する製品で、①のネットワークレベル認証の部分は対応しておりません。ユーザーの操作負荷の増加が気になる場合は、接続元のPCに認証情報を保存しておくと良いかと思います。ネットワークレベル認証の部分のセキュリティ強化については、直接的にネットワークレベル認証そのものを強化する製品は弊社でも把握しておりませんが、WindowsServerのRDゲートウェイやVPNトンネリングなどの接続経路の保護強化をご検討ください。


■技術的な話② - WebAuthnリダイレクトのOSごとの制約について

WebAuthnリダイレクトの仕組みは、Windows上のWebAuthnAPIと呼ばれる共通処理内に実装されていますが、このAPIはWindowsのバージョンによって利用可能な機能に差があります。大きく分けてWindows10系列とWindows11系列のものとなります。FIDO Logonで利用している外部認証器での認証(セキュリティキー認証・クロスデバイス認証(※5))に関して言えば、クロスデバイス認証が可能か否かが異なります。

Windows10

Windows11

・Windows10系列:クロスデバイス認証不可

・Windows11系列:クロスデバイス認証可能

ただし、これらをWebAuthnリダイレクトで用いる場合、接続先のPCがどのWindowsか、ではなく、接続元のPCがどのWindowsかによって利用可能か否かが決定します。つまり、接続先のPCがWindows10だったとしても、そのPCにWindows11のPCからリモートデスクトップ接続した場合、スマートフォンでのログオンが利用可能です。逆に、接続先PCがWindows11だったとしても、Windows10のPCからリモートデスクトップ接続した場合はスマートフォンでのログオンは利用できないという事になります。

(※5)これまでのブログでHybrid認証として紹介していたもので、FIDO Logonの機能としてはスマートフォン認証の事を指します。FIDO関連の仕様は名称変更が行われる事が比較的多いようです。


■まとめ

今回、YubiOn FIDO Logonのアップデートで追加されたリモートデスクトップログオン機能について説明をさせていただきました。今までリモートデスクトップでのご利用をお考えのお客様にはYubiOn Portalの方をお勧めしてきたのですが、最近はパスキーの普及もあってFIDO Logonでリモートデスクトップを利用したいという要望も多くなってきておりました。そういったお客様の要望に応えられていれば幸いです。


無料版として、有料版と同等の機能を3ヶ月間お試し頂けますので、まずは是非試して頂ければと思います。


■関連リンク

[YubiOn FIDO Logon]


[YubiOn FIDO Logon概要ページ]


Comments


Commenting has been turned off.
bottom of page