AVDのHybrid AzureAD Join構成で パスワードレス認証(FIDO2) を試す!

Hybrid AzureAD Join 構成のSSO(シングルサインオン)環境において、追加でパスワードレス認証が出来るようになったので、試してみたいと思います。パスワードレス認証とは、パスワードでは無く、代わりに「生体認証」や「PIN」を利用する認証方法となります。
AVDでの設定は簡単で、ホストプールのRDPプロパティに追記するのみです。
※ADFS、WAP、ADCSなどは不要です。
※FIDO(Fast IDentity Online) ふぁいど:パスワードレス認証のオープンな規格

どの部分がパスワードレス認証になるのか見てみましょう!

【手元PCがAD参加の場合】
①手元のPCへのサインイン=パスワードレス認証
②AVDクライアントソフトでのサインイン=AzureADアカウントを入力
③セッションホストへのサインイン=※入力不要
④Microsoft365へのサインイン=※入力不要

【手元PCがAzureAD参加の場合】
①手元のPCへのサインイン=パスワードレス認証
②AVDクライアントソフトでのサインイン=※入力不要
③セッションホストへのサインイン=※入力不要
④Microsoft365へのサインイン=※入力不要

[利用のための諸条件]
・Hybrid AzureAD Join 構成 ※セッションホストがAADに同期されている必要がある
・ADは、Windows Server 2016(KB4534307) / 2019(KB4534321) 以上
・ADとAzureAD間でドメイン名を一致させる必要がある。代替UPN登録、カスタムドメイン
※オンプレドメイン[localad.com]–sync–AAD[xxx.onmicrosoft.com]はNG
・AzureAD Domain Service構成は、サポート外
・クラウドIDは利用不可
・対応セッションホスト ※Single-Session、Multi-session 利用可能
ーWindows 11 (KB5017383)
ーWindows 10 20H2以降 (KB5017380)
ーWindows Server 2022 (KB5017381)
・Windows版/MacOS版クライアントアプリ、ブラウザ接続
※手元PCは、ドメインに参加していなくてもよい


全体の流れ

Step1:条件付きアクセスの作成
Step2:セキュリティキーの登録
Step3:AzureADにて[FIDO2]の有効化
Step4:ホストプールにてRDPプロパティの設定

※事前に実施「AVDのHybrid AzureAD Join構成で SSO を試す!

今回はセキュリティキーとして「YubiKey 5 NFC」を使用します。


Step1:条件付きアクセスの作成

パスワードレス認証には、条件付きアクセスが必要となります。また、ユーザーアカウントにセキュリティキーを登録する際にも必要となります。

AVD のための AzureAD 条件付きアクセス と ハイブリッドAzureAD参加


Step2:セキュリティキーの登録

各ユーザーにてセキュリティキーの登録が必要になります。

マイアカウントページにサインイン

セキュリティキーが表示されない場合、事前にMFA設定を行って下さい。

ここで、PINを登録します。

セキュリティキーの登録が確認できます。


Step3:AzureADにて[FIDO2]の有効化

[AzureAD]ー[セキュリティ]ー[認証方法]ー[ポリシー]を選択

有効にする:はい
ターゲット:FIDO2の対象となるユーザーを選択


Step4:ホストプールにてRDPプロパティの設定

この設定を行う事で、手元の認証器(YubiKey)にリダイレクトされます。

[RDPプロパティ]ー[接続情報]ー[リモートセッションのWebAuthn要求はローカルコンピューターにリダイレクトされます]を選択

こちらでもOK。RDPプロパティに[redirectwebauthn:i:1]を追加します。


それでは、確認してみましょう!

SSOの時と同様でパスワード入力時がPIN入力に置き換わっています。

Windows版クライアントアプリを起動ー[Subscribe]を選択

AzureAD参加PCの場合、アカウント選択画面が表示される。※パスワード入力は不要
※AD参加PCの場合、AzureADアカウント&PINの入力が必要

接続を許可されたリソースが表示されます。

デスクトップを選択すると、いきなりデスクトップが表示される。

Teamsを実行すると、サインイン済み状態で起動します!