本日(2023/06/13)のYubiOn FIDO Logonアップデートで、CLIツールによるYubiOn FIDO Logonの登録コード設定が行えるようになりました。とても地味なアップデートではありますが、これを利用する事によって、ActiveDirectory環境などでのソフトウェアの自動配布~登録コードの設定までを管理者側で一括して行う事が出来るようになりましたので、方法をお伝えしようかと思います。
この記事は、以下のような方にお勧めです。
ActiveDirectory(またはMDMツールなど)を導入済みの環境にYubiOn FIDO Logonの導入を検討している方
ソフトウェアのインストール・製品登録を管理者が一括で行いたい方
なお、これからお伝えする方法はあくまで一例であって、お客様のAD環境の設定次第ではそのまま適用は出来ない例などもあるかと思われます。お客様の環境のAD構成やポリシーの設定などに合わせた方法をご利用ください。
サイレントインストール
まずはソフトウェアの自動配布についてです。こちらについては改修前も行う事が可能でしたが、一般的なMSIインストーラーですので、ADのポリシーでの自動ソフトウェアインストールやコマンドラインオプションでのサイレントインストールに対応しております。今回、改修に合わせてマニュアルも準備しておりますので、そちらもご参照ください。
まず、ドメインコントローラの端末上で、「グループポリシーの管理」を開き、設定するドメインの「グループポリシーオブジェクト」(以下、GPO)を新規に作成します。
作成したGPOの右クリックメニューから「編集」を選んでグループポリシー管理エディターを開き、「コンピューターの構成」-「ポリシー」-「ソフトウェアの設定」-「ソフトウェアインストール」を開きます。
右クリックメニューから「新規作成」-「パッケージ」を選択すると、Windowsインストーラーパッケージ(MSIインストーラー)を選択するダイアログが表示されます。
この時、選択するファイルはネットワーク上のものである必要があります。また、権限や認証の問題で参照できない場合もインストールに失敗します。まずはお試しという話であれば、DC端末上のディレクトリを共有して、そこにインストーラーを置き、ネットワーク経由でディレクトリを表示してインストーラーを選択すれば良いかと思います。もちろん、正式に組織内に配布する際は、組織内での運用方法に合わせて適切な場所に配置する事をお勧めします。
オプション設定はデフォルトのまま、「割り当て」が選ばれた状態で「OK」をクリックします。
これでまずはGPOの作成は完了です。「グループポリシーの管理」のウィンドウに戻り、GPOの割り当てを行っていきます。今回はドメイン全体に適用させる形で試しますが、この部分も組織のADの利用方法に沿って、必要であればOUに割り当てるなど、利用方法にあった割り当てを行ってください。今回はドメインを右クリックし、「既存のGPOのリンク」を選択します。
先ほど作成したGPOを選択し、「OK」をクリックします。
ドメインの直下に先ほど作成したGPOへのリンクが生成されていたら設定完了です。これで、ドメインに所属した端末でドメインアカウントにサインインした際、自動的にYubiOn FIDO Logonクライアントソフトウェアがインストールされるようになります。
登録コード設定
続いて、自動的に登録コード設定が行われるようにするための設定を行っていきます。今回のアップデートで追加されたCLIツールを用います。こちらも今回新たにマニュアルを作成していますので、合わせてご参照ください。
今回は、ユーザーのログオンスクリプトで自動登録を行うためのコマンドを実行するようにします。また、登録コード設定後は設定ツールを起動し、ユーザーにログオン用のキーを登録してもらう、という流れを想定して、登録コード設定が成功した場合には設定ツールを起動する、という形式にしてみます。
まず、上記の流れを実行するためのバッチファイルを準備します。今回はまずはDCのデスクトップ上に「fls_register.bat」を作成します。内容は以下のようにします。(「XXXXX-XXXXX-XXXXX-XXXXX」の部分には、お客様の登録コードを記入してください)
"c:\Program Files\YubiOn\Fls\FlsCliTool\FlsCliTool.exe" register XXXXX-XXXXX-XXXXX-XXXXX
if %errorlevel% equ 0 (
"c:\Program Files\YubiOn\Fls\FlsAdministrateTool\FlsAdministrateTool.exe"
)ifコマンド内の内容が登録成功時に実行される内容となっています。上記の例ではYubiOn FIDO Logonの設定ツールを起動していますが、業務フローによってはセキュリティキーのセットアップ(PIN・指紋設定など)などを起動するなどの工夫も可能です。セキュリティキーのセットアップは、Windows11では「start ms-settings:signinoptions-launchsecuritykeyenrollment」のコマンドで起動する事が可能です。(Windows10だと上記コマンドで「サインインオプション」画面が表示されます)
なお、上記をログオンスクリプトとして指定する場合、毎回ログオン時には上記バッチファイルが呼び出される事になります。ただ、一度上記のスクリプトが実行されて登録コードが設定済みの場合、登録済みエラー(戻り値:10)が返ってきて何も実行されません。
さて、上記バッチファイルの準備が出来ましたら、ログオンスクリプトとして設定していきます。先ほど作ったインストール用のGPOに追加でログオンスクリプトの設定をする事にします。もう一度GPOの右クリックメニューから「編集」を選んでグループポリシー管理エディターを開き、今度は「ユーザーの構成」-「ポリシー」-「Windowsの設定」-「スクリプト(ログオン/ログオフ)」を選択します。
「ログオン」をダブルクリックすると、ログオンスクリプトの設定画面が開きますので、「追加」をクリックしてスクリプト追加ウィンドウを開き、「参照」ボタンを押してファイル選択ダイアログを開きます。
ここで開いたファイル選択ダイアログは少々注意点があります。このダイアログで先ほど作成したバッチファイルを選ぶのではなく、開いたダイアログのデフォルトフォルダに先ほど作ったバッチファイルを持ってくる必要があります。今回は先ほどデスクトップにバッチファイルを作ったので、デスクトップからファイル選択ダイアログ内にドラッグ&ドロップでファイルをコピーします。
ファイルをコピーしたら、そのファイルが選択されている状態で「開く」をクリックして確定します。そのまま、スクリプトの追加ウィンドウで「OK」、ログオンのプロパティウィンドウも「OK」をクリックして操作を完了してください。
以上の操作で、指定したバッチファイルがログオン時に実行されるようになります。実際にAD参加したPC上でどのように動くか確認してみましょう。
AD参加したPCでログオンを行うと、自動的に登録コードが設定され、設定ツールが起動するようになりました。
まとめ
YubiOn FIDO Logonに限らずYubiOn Portalもですが、特に中〜大規模組織のお客様からはソフトウェアの一括導入のご要望・ご相談を多く頂いております。YubiOn PortalでもPCのキッティングに合わせて一括登録を行う仕組みを提供しておりますが、今回YubiOn FIDO LogonでもAD環境などのPC管理が出来る環境での自動セットアップが可能になり、お客様の選択肢も増えたのではないかと考えております。
導入のご相談につきましては、お問い合わせフォームよりお気軽にお問い合わせください。