Windows 10で本当にパスワードは無くなるのか？：Enterprise IT Kaleidoscope（3/3 ページ）

[山本雅史，ITmedia]

認証連携というメリット

　Microsoft Passportが面白いのは、認証サーバからトークンを受け取れば、そのトークンを使って認証サーバと連携している他のサービスにもシングルサインオン（SSO）によってアクセスできることだ。SalesforceやGoogle Appsなどのサービスを利用する場合でも、最初にAzure ADで認証されていれば、他のサービスへのアクセス時にIDやパスワードなどを入力しなくてもいい（他のサービスとAzure AD間では業界標準のプロトコルが採用されている）。

Microsoft Passportでは認証されるとトークン（Primary Refresh Token：PRT）がクライアントに送られる。クライアントでは他のサービスへのアクセス時に、このトークンを利用してアクセスするため、他のサービス（対応サービス）なら都度IDやパスワードを入力しない

　Microsoft Passportの利用では幾つか注意がある。1つはクライアントデバイス側にTPMデバイスが必須という点だ。もう1つは、現状のオンプレミスの認証サーバとなるADドメインサービス（AD DS）がFIDOに対応しておらず、秘密鍵／公開鍵といったセキュリティ強度の高いシステムをサポートしていない点である。

　つまり、いまの段階でMicrosoft Passportを利用できるのはコンシューマー向けのMicrosoftアカウント、Azure AD、FIDOをサポートしている他のサービスだけだ。Microsoftもこのあたりを認識しているようだ。2016年にリリースするサーバOSの最新版「Windows Server 2016」ではAD DSを全面的に変更して、FIDOをサポートする。また、クラウドのAzure ADとの連携を高めてオンプレミス、クラウドの両方で使用できるハイブリッドな認証システムを構築しようとしている。

現状ではMicrosoft Passportをシングルサインオン（SSO）で利用するために、Azure ADが必要だ

Windows Server 2016がリリースされれば、AD DSでMicrosoft Passportがサポートされ、Azure ADとのシームレスな運用が可能になる。

　FIDOを利用するMicrosoft Passportは先進的だが、FIDOを使用する他社のサーバがまだ少ない。しかし、今後はパスワードを使わないFIDOが主流になってくるだろう。こういった環境に対応すべくWindows 10ではFIDOをサポートしたMicrosoft Passportが採用されたのだろう。

　多くのユーザーには生体認証のWindows Helloの方が分かりやすい。しかし、企業のIT管理者にとって実はMicrosoft Passportの方が重要なテクノロジーだ。