厳密認証
Oracle® Fusion Middleware Oracle Enterprise Single Sign-On Suiteでのアプリケーションへのアクセス 11g リリース3 (11.1.2.3) E61971-02 |
|
前 |
Oracle Enterprise Single Sign-On Universal Authentication Managerシステムを使用すると、Microsoft WindowsおよびActive Directoryネットワークへのネイティブのパスワード・ログオンを、より強力で使いやすい認証方法に置き換えることができます。登録されたログオン方法とPINが組み合わされた形式の2要素認証が提供され、セキュリティをさらに高めることができます。
Universal Authentication Managerでは、ユーザーの特定およびシステムに対する認証に使用される資格証明を迅速かつセキュアに登録できます。Universal Authentication Managerでは、スマート・カード、パッシブ型近接型カード、指紋による生体認証、チャレンジ質問の4つの構成可能な組込みの認証方式が、すぐに使用できるように提供されています。ネイティブのWindowsパスワードもサポートされます。
Universal Authentication Managerには、ご使用のログオン方法の資格証明を簡単に登録できる直感的なインタフェースが備えられています。次の2つのパネルから、ご使用のログオン方法に対してすべてのアクションを実行できます。
Logon Methods
Settings
Universal Authentication Managerでは、認証メカニズムとしてサード・パーティ製スタンドアロンおよび組込みの指紋スキャナを登録して使用できます。
管理者は、環境に応じて、指紋でログオンする際にPINの入力を求めるようUniversal Authentication Managerを構成することができます。その場合、Universal Authentication Managerに指紋を登録する際にPINを選択するよう求められます。管理者によってPINの要件が適用されない場合でも、指紋の登録にPINを割り当てるよう選択し、セキュリティを高めることができます。
注意: このログオン方法では、BIO-key 1.12 BSPがインストールされている必要があります。インストールされていない場合は、エラー・メッセージが表示されます。1.10より前のバージョンはサポートされていません。システム管理者に連絡してください。 |
次のアクションを使用できます。
パッシブ型近接型カードまたはトークンは、カード読取りデバイスが検出および解読可能な回路を含む識別オブジェクトです(職場のIDバッジなど)。近接型カードをカード・リーダーに近づけると、リーダーはトークンの存在を検出して、ユーザーに関連する識別情報を認識します。
Universal Authentication Managerには、さらにセキュアな2要素認証を実現するために、ログオン時にPINを要求するオプションも用意されています(システム構成に応じて異なります)。
次のアクションを使用できます。
スマート・カードは、データのセキュアな格納および処理が可能なチップまたは組込み回路を含むクレジット・カード・サイズのトークンです。スマート・カードに格納されている情報は、識別および認証にも使用できます。Universal Authentication Managerでは、ログオンおよび認証時にスマート・カードのチップにデータを書き込まなくても、スマート・カードを登録して使用できます。
セキュリティを高めるために、登録されている各スマート・カードにPINを割り当てること、対応するカードでログオンする際にPINを入力することがUniversal Authentication Managerによって求められます。Universal Authentication Managerでは、カードの組込みPINがサポートされ、仮想PINを生成および割り当てることもできます。
次のアクションを使用できます。
注意: スマート・カードを使用する際には、カード独自のPINは変更できません。変更できるのは、スマート・カードに関連するUniversal Authentication Manager PINのみです。詳細は、「Universal Authentication Managerの構成」を参照してください。 |
チャレンジ質問は、管理者が設定した正常なログオンのための重み付け要件を満たすために正しく回答する必要のあるいくつかの質問(最初にこの方法を登録した際に、選択して回答を指定した質問)です。
「Settings」パネルには、各ログオン方法に対する構成ポリシー設定が表示されます。管理者がUniversal Authentication Managerのインスタンスを構成している方法に応じて、次の設定が使用できます。
「Display」タブでは、次の設定を表示または構成できます。
User Language | Universal Authentication Managerインタフェースを表示する言語を選択します。デフォルト値は、オペレーティング・システムの言語です。
注意: このメニューには、対応するUniversal Authentication Manager言語パックがインストールされている言語のみが表示されます。リストに該当する言語が表示されていない場合は、管理者に連絡してください。 |
「Fingerprint」タブでは、次の設定を表示または構成できます。
Logon Method Enabled | インストールされているオーセンティケータを有効にするか無効にするかを制御します。このポリシー設定において、使用を許可している特定のログオン方法を制御することにより、セキュリティが強化されます。選択できるオプションは、「Yes」(デフォルト設定)または「No」です。
注意: 「Logon Method Enabled」設定は、Universal Authentication Managergがローカル・クライアント・モードに構成されている場合にのみ表示されます。エンタープライズ・モードでは、この設定は表示されません。 |
Number of Fingers | 登録する必要がある指のサンプル本数を指定します。このポリシーでは、登録時に指定した指のサンプル本数を正確に登録する必要があります。デフォルトは1です。最大は10です。 |
PIN Required | 認証を行うためにPINを送信する必要があるかどうかを指定します。選択できるオプションは、「Yes」(デフォルト設定)または「No」です。 |
PIN Minimum Length | PINで許可されている最小長。使用できる値は、4-16文字です(デフォルト設定は4文字です)。 |
PIN Allowed Characters | PINで使用できるキャラクタ・タイプを制限します。選択できるオプションは、「numeric only」、「alphanumeric only」または「any characters」(デフォルト設定)です。 |
「Proximity Card」タブでは、次の設定を表示または構成できます。
Logon Method Enabled | インストールされているオーセンティケータを有効にするか無効にするかを制御します。このポリシー設定において、使用を許可している特定のログオン方法を制御することにより、セキュリティが強化されます。選択できるオプションは、「Yes」(デフォルト設定)または「No」です。
注意: 「Logon Method Enabled」設定は、ローカル・モードで作業している場合にのみ表示されます。エンタープライズ・モードでは、この設定は表示されません。 |
Removal Action | 近接型カードをタップ・アウト(リーダーに対して1セッション中に2回カードをタップ)したときのUniversal Authentication Managerの動作を制御します。選択できるオプションは次のとおりです。
|
PIN Required | 認証を行うためにカードのPINを送信する必要があるかどうかを指定します。選択できるオプションは、「Yes」(デフォルト設定)または「No」です。 |
PIN Minimum Length | 近接型カードPINで許可されている最小長。使用できる値は、4-16文字です(デフォルト設定は4文字です)。 |
PIN Allowed Characters | 近接型カードPINで使用できるキャラクタ・タイプを制限します。選択できるオプションは、「numeric only」、「alphanumeric only」または「any characters」(デフォルト設定)です。 |
「Smart Card」タブでは、次の設定を表示または構成できます。
Logon Method Enabled | インストールされているオーセンティケータを有効にするか無効にするかを制御します。このポリシー設定において、使用を許可している特定のログオン方法を制御することにより、セキュリティが強化されます。選択できるオプションは、「Yes」(デフォルト設定)または「No」です。
注意: 「Logon Method Enabled」設定は、ローカル・モードで作業している場合にのみ表示されます。エンタープライズ・モードでは、この設定は表示されません。 |
Removal Action | スマート・カードを取り出したときのUniversal Authentication Managerの動作を制御します。選択できるオプションは次のとおりです。
|
PIN Type | カード内部で事前構成されているPINを使用するか、またはUniversal Authentication Managerのセキュアなデータ・ストア内にPINを作成して格納するかを指定します。選択できるオプションは、「Smart Card PIN」(デフォルト設定)または「ESSO-UAM PIN」です。 |
PIN Minimum Length | (ESSO-UAM PIN型のみ)スマート・カードPINで許可されている最小長。使用できる値は、4-16文字です(デフォルト設定は4文字です)。 |
PIN Allowed Characters | (ESSO-UAM PIN型のみ)スマート・カードPINで使用できるキャラクタ・タイプを制限します。選択できるオプションは、「numeric only」、「alphanumeric only」または「any characters」(デフォルト設定)です。 |
「Challenge Questions」タブでは、次の設定を表示または構成できます。
Logon Method Enabled | インストールされているオーセンティケータを有効にするか無効にするかを制御します。このポリシー設定において、使用を許可している特定のログオン方法を制御することにより、セキュリティが強化されます。選択できるオプションは、「Yes」(デフォルト設定)または「No」です。
注意: 「Logon Method Enabled」設定は、ローカル・モードで作業している場合にのみ表示されます。エンタープライズ・モードでは、この設定は表示されません。 |
「Windows Password」タブでは、次の設定を表示または構成できます。
Logon Method Enabled | インストールされているオーセンティケータを有効にするか無効にするかを制御します。このポリシー設定において、使用を許可している特定のログオン方法を制御することにより、セキュリティが強化されます。選択できるオプションは、「Yes」(デフォルト設定)または「No」です。
注意: 「Logon Method Enabled」設定は、ローカル・モードで作業している場合にのみ表示されます。エンタープライズ・モードでは、この設定は表示されません。 |
Universal Authentication Managerがエンタープライズ・モードでデプロイされた場合、管理者はワークステーションで特定の設定を無効にするように選択できます。つまり、管理者はこれらの設定を構成できるが、ユーザーは構成できないようにします。
たとえば、管理者は、スマート・カードが取り出されたときに、ユーザーが自動的にワークステーションからログオフするように設定して、その操作を実行できます(「Force Logoff」設定を使用)。このシナリオでは、ユーザーに「Force Logoff」設定は表示されますが、ユーザーがその設定を変更することはできません。
詳細は、「クライアント・モードの選択」を参照してください。
Universal Authentication Managerをインストールする際、使用するクライアント・モードを選択するようにInstallShieldウィザードから要求されます。
エンタープライズ・クライアント・モードを選択すると、ネットワークにアクセスして、アカウントの設定を格納するデータベースにアクセスできます。このモードでは、管理者がユーザーに対してUniversal Authentication Managerを構成しますが、一部の設定はユーザーが変更することはできません。管理者が加えた変更でアカウントを更新するには、「Refresh」をクリックします。
ローカル・クライアント・モードを選択すると、Universal Authentication Managerは設定を取得するためにネットワークに接続することができません。かわりに、Universal Authentication Managerは設定をローカル・ワークステーションに格納して管理します。このモードでは、ユーザーに表示されている設定はすべて構成できます。
設定を構成するには、画面左側のパネルの「Settings」タブをクリックします。ワークステーションにインストールされているUniversal Authentication Managerログオン方法ごとに1つのタブが表示されます。該当するログオン方法のタブをクリックし、設定を表示して構成します。構成を適用するには、画面の下側にある「Apply」をクリックします。変更を取り消して設定を以前の状態に戻すには、「Reset」をクリックします。
詳細は、「Universal Authentication Managerの構成」を参照してください。
Universal Authentication Managerはスタンドアロン・アプリケーションとして使用できますが、Logon Managerとシームレスに統合することもできます。管理者がUniversal Authentication Managerをどのように構成しているかに応じて、次のいずれかのシナリオが適用されます。
Universal Authentication Managerのカスタム・インストール時に、管理者が1つ以上の個別のUniversal Authentication Managerオーセンティケータをインストールして有効化してある場合、それらのオーセンティケータがLogon Managerログオン方法のリストに別個のログオン方法として表示されます。
このシナリオでは、管理者が選択したプライマリ・ログオン方法で登録していない場合、初回ログオン時に管理者が選択した方法で登録するよう求められます。
管理者が、かわりに複数方法Universal Authentication Managerオーセンティケータをインストールするよう選択し、そのオーセンティケータを介して少なくとも1つのログオン方法を有効にしてある場合、Logon Managerのログオン方法のリストに1つの「Universal Authentication Manager」エントリが表示されます。
このシナリオでは、Universal Authentication Managerにログオン方法をまだ登録していない場合、Logon Managerに対する認証に使用する前にUniversal Authentication Manager内から有効なログオン方法で登録する必要があります。それまでは、Windowsパスワードで認証を行うよう求められます。
注意: Logon Managerのプライマリ・ログオン方法としてUniversal Authentication Managerログオン方法を構成するには、Universal Authentication Managerのオーセンティケータをインストールしておく必要があります。必要な統合コンポーネントのインストールの詳細は、Oracle Enterprise Single Sign-On Suiteインストレーション・ガイドを参照してください。 |
Logon ManagerおよびUniversal Authentication Managerの使用経験がない場合は、Logon Managerの「First Time Use」ウィザードにより、Logon Managerのプライマリ・ログオン方法としてUniversal Authentication Managerログオン方法を構成できます。「First Time Use」ウィザードでは、プライマリ・ログオン方法としてUniversal Authentication Managerログオン方法(または、インストールされているその他のLogon Managerログオン方法)を選択するオプションが用意されています。「First Time Use」ウィザードを使用して、プライマリ・ログオン方法としてUniversal Authentication Managerログオン方法を設定するには、次の手順を実行します。
「スタート」 > 「プログラム」 > 「Oracle」 > 「Logon Manager」 > 「Logon Manager」をクリックします。「First Time Use」ウィザードが表示されます。ウィザードの最初の画面で「Next」をクリックします。
プロンプトが表示されたら、Logon Managerへの認証を行い、「OK」、「Next」の順にクリックします。
使用可能なプライマリ・ログオン方法のリストから目的のUniversal Authentication Managerログオン方法を選択して、「Next」をクリックします。リストに方法が表示されていない場合は、管理者がその方法を無効にするように選択しています。
個別のUniversal Authentication Managerログオン方法(ドロップダウン・リストに「ESSO-UAM: logon method name」と表示)のいずれかを選択した場合、Logon Managerへの認証に使用できるのはその1つの方法のみです。その方法で登録していない場合は、Logon Managerが初めて認証を要求する際、登録するように求められます。
Universal Authentication Manager(複数方法Universal Authentication Managerオーセンティケータ)を選択した場合は、以前に登録に使用したUniversal Authentication Managerログオン方法を使用できます。Universal Authentication Managerにログオン方法をまだ登録していない場合、Windowsパスワードで認証を行うよう求められます。
Windowsへのログオンに使用したログオン方法で認証を行います(Windowsパスワードまたは他のログオン方法)。
Logon Managerに、使用する準備ができたことを通知するメッセージが表示されます。これで、選択したUniversal Authentication Managerログオン方法が、Logon Managerのプライマリ・ログオン方法として構成されています。「Finish」をクリックして、ウィザードを終了します。
Logon Managerのプライマリ・ログオン方法としてUniversal Authentication Managerログオン方法を構成するには、次の手順を実行します。
「スタート」 > 「プログラム」 > 「Oracle」 > 「Logon Manager」 > 「Logon Manager」をクリックします。Logon Managerアイコンがシステム・トレイに表示されます。Logon Managerを起動します。
「Settings」を選択して、「Authentication」タブをクリックします。
「Primary Logon Method」セクションで、「Change…」をクリックします。「Primary Logon Setup Wizard」が表示されます。「Next」をクリックして進みます。
プロンプトが表示されたら、Windowsパスワードを入力するか、または現在登録しているログオン方法で認証を行います。
使用可能なプライマリ・ログオン方法のリストから、目的のUniversal Authentication Managerログオン方法を選択します。(使用可能なログオン方法の説明、および個別のログオン方法と複数方法Universal Authentication Managerオプションとの違いについては、「Logon Managerとの統合」を参照してください。)
「Next」をクリックします。
Universal Authentication Manager認証ダイアログが表示されたら、Windowsパスワードを入力するか、または登録した別のログオン方法で認証を行います。
Logon ManagerのいくつかのイベントによりUniversal Authentication Managerがトリガーされ、認証を求めるプロンプトが表示されます。この場合、標準のUniversal Authentication Manager認証プロセスが開始されます。また、アカウントで有効なすべてのログオン方法で認証を行うこともできます。Universal Authentication Managerをトリガーして、認証を求めるプロンプトを表示するLogon Managerのイベントの詳細は、Logon Managerユーザーズ・ガイドを参照してください。
注意: Universal Authentication Managerにログオン方法をまだ登録しておらず、Logon Managerが認証を求めた場合、次のいずれかのシナリオが適用されます。
|
認証が必要な場合は、Universal Authentication Manager認証画面にプロンプトが表示されます。この画面は登録しているログオン方法に応じて異なることがあり、Universal Authentication Managerへの認証に最後に使用したログオン方法が表示されます。たとえば、Universal Authentication Managerへの最後の認証にWindowsパスワードを使用した場合、画面には次のように表示されます。
Windowsパスワードを入力するか、または登録している別のログオン方法を使用して認証を続行します。認証が完了したら、Logon Managerで作業を続行できます。
「Logon Method Enabled」ポリシーでは、インストールされているUniversal Authentication Managerオーセンティケータを管理者またはユーザーが無効にできます。
このポリシーはすべてのオーセンティケータに個別に適用され、各オーセンティケータは独自の値を持ちます。
エンタープライズ・モードでは、「Logon Method Enabled」ポリシー設定は「Administrative」ポリシーのみです。つまり、ポリシーはUniversal Authentication Manager設定には表示されません。
ローカル・クライアント・モードでは、「Logon Method Enabled」ポリシー設定はエンド・ユーザー・ポリシー設定のみです。Universal Authentication Managerの「Settings」タブの右側でポリシーを管理できます。
Universal Authentication Managerは、他のログオン方法が登録されていない場合、自動的に「Windows Password」認証を有効にします。
これは、構成が必要ない組込みの動作です。たとえば、「Logon Method Enabled」ポリシーで「Windows Password」を無効にしている場合、最低1つの他の方法を登録していないと、ログオン、再認証およびロック解除にパスワードが求められます。
注意: 1つ以上の他の方法を登録しているが、これらの方法(およびパスワード)がすべて無効にされている場合、ユーザーはロックアウトされます。管理者がこれを解除するには、Universal Authentication Manager管理コンソールで「Logon Method Enabled」ポリシーを再構成する必要があります。 |
ログオン方法の「Logon Method Enabled」を「No」に構成した場合、次のようになります。
Universal Authentication Managerの「Logon Method」タブにログオン方法が表示され、ステータスが「DISABLED」になります。そのログオン方法を使用して登録しているかぎり、実行できるアクションは「Delete」のみです。他の登録アクション(「Enroll」または「Modify」)は使用できません。
エンタープライズ・モードでは、Universal Authentication Managerの「Settings」タブにログオン方法が表示されます。すべてのポリシー設定は無効であり、「Logon Method Enabled」ポリシー設定は表示されません。
ローカル・モードでは、Universal Authentication Managerの「Settings」タブにログオン方法が表示されます。「Logon Method Enabled」ポリシー設定は有効であり、他のすべてのポリシー設定は無効です。
そのログオン方法を使用して、ワークステーションでログオンまたは登録することはできません。無効なログオン方法でログオンしようとすると、エラー・メッセージが表示されます。
そのログオン方法を使用して再認証することはできず、認証のオプションとしてそのログオン方法は表示されません。他のどの方法でも登録していない場合は、ログオン、ロック解除および再認証でパスワード認証が有効にされます。
注意: Universal Authentication Managerを使用したワークステーションのロック機能がサポートされているのは、近接型カードとスマート・カードのみです。 |
たとえばスマート・カードを取り外したり、近接型カードをタップ・アウトした際(カード・リーダーで近接型カードが検出されるまで軽く触れた際)など、トークンを取り外した際にワークステーションをロックするように、「Settings」ページからUniversal Authentication Managerを構成できます。「Removal Action」設定を「Lock Workstation」に設定した場合(デフォルト設定)、取外しアクションが実行された際にワークステーションはロックされます。
「Removal Action」に対して加えた変更は、次の取外しアクションが行われるまで有効にはなりません。たとえば、あるトークンでWindowsにログオンして、Universal Authentication Managerを起動し、そのトークンの「Removal Action」を「Lock Workstation」から「Force Logoff」に変更した場合、トークンを取り外してもワークステーションはロックされたままであり、次回トークンを取り外した際に「Force Logoff」アクションが実行されます。
注意: 取外しアクションは、ワークステーションへのログオンに使用したものと同じトークンに対してのみアクティブ化されます。たとえば、Windowsパスワードを使用してログオンしたが、近接型カードの「送信」によりワークステーションをロックしようとした場合、ワークステーションはロックされません。Universal Authentication Managerクライアント・アプリケーションまたは再認証ダイアログが開いている場合、取外しアクションはトリガーされません。 |
「Removal Action」および他の設定の詳細は、「設定」を参照してください。
Universal Authentication Managerを起動するには、次の手順を実行します。
「スタート」→「プログラム」の順にクリックします。
「Oracle」→「Universal Authentication Manager」の順に指定します。
「Universal Authentication Manager」をクリックします。
Universal Authentication Managerが開きます。
「Logon Methods」パネルにはインストールされている使用可能なログオン方法(オーセンティケータ)が表示され、ログオン方法の登録、既存の登録の変更および削除を行うことができます。より簡単にアクセスするため、リスト内の目的のログオン方法を右クリックすると表示されるコンテキスト・メニューで「Enroll」、「Modify」および「Delete」コントロールを使用することもできます。このパネルから次の操作を実行することもできます。
指紋、スマート・カードまたは近接型カードに関連するUniversal Authentication Manager PINの変更。
管理者が加えた変更を同期化するためのアカウントのリフレッシュ。
ヘルプ・システムへのアクセス。
管理者は、次のログオン方法のうち1つ以上を使用可能にできます。
次に、このパネルにおけるコントロールを示します。
アイコン | ラベル | 用途 |
---|---|---|
Enroll | 新しい資格証明を登録します。「Enroll」をクリックすると、使用可能なログオン方法のドロップダウン・リストが表示され、このメニューから使用するログオン方法を選択します。 | |
Modify | 選択した登録を変更します。一部の登録方法では、資格証明のプロパティを変更できます。たとえば、関連するPINコードを持つ近接型カードで認証を行う場合は、「Modify」をクリックしてPINを変更します。 | |
Delete | 登録済資格証明を削除します。登録済資格証明を削除する権限がない場合は、そのことを示すエラー・メッセージが表示されます。 | |
Refresh | Universal Authentication Managerリポジトリと同期化して、管理者が変更したポリシー設定を更新します(エンタープライズ・クライアント・モード)。 |
次のショートカット・キーを使用すると、より簡単にUniversal Authentication Managerの機能にアクセスして、タスクを実行できます。
ログオン方法の表示: ([Alt] + [L])。
設定の表示: ([Alt] + [S])。
資格証明の登録: ([Alt] + [E])。
資格証明の変更: ([Alt] + [M])。
資格証明の削除: ([Alt] + [D])。
ポリシーまたは設定のリフレッシュ: ([F5])。
ヘルプの表示: ([F1])。
資格証明は、手動で登録するか、あるいはWindowsログオン時またはUniversal Authentication Managerクライアント・アプリケーションの起動時に登録するように求められます。管理者が、必要な登録に対して猶予期間を設定することもあります。
下のリンクのいずれかをクリックして、選択したログオン方法を登録するための手順を参照してください。
指紋を登録するには、次を参照してください。
近接型カードを登録するには、次を参照してください。
スマート・カードを登録するには、次を参照してください。
チャレンジ質問を登録するには、次を参照してください。
登録は、次のいずれかの方法で実行できます。
猶予期間が指定されたプロンプト
Universal Authentication Managerをインストールしてマシンを再起動すると、Windowsへのログオン時に1つ以上のログオン方法を登録するようにプロンプトが表示されます(デフォルト)。
複数のログオン方法がインストールされている場合は、各ログオン方法を登録するように続けてプロンプトが表示されます。プロンプトが表示されたら、次のいずれかのオプションを選択できます(構成に応じて)。
Enroll。今すぐログオン方法を登録します。
Not Now。この登録をスキップし、後で登録を要求します。
Never。終了し、再度登録を要求しません。
管理者が登録に対して猶予期間を設定すると、ユーザーは指定された日数だけ必要な登録を遅らせることができます。猶予期間が設定されると、ユーザーがWindowsにログオンする前に、最終的にこのログオン方法を登録するように管理者が要求する自動登録画面が表示されます。
「Never」オプションは使用できません。
「Not Now」をクリックすると、猶予期間があと何日残っているかを示すメッセージが表示されます。
指定された日数内にこのログオン方法を登録する必要があります。猶予期間が終了すると、Windowsにログオンする前にこのログオン方法を登録するように要求されます。
猶予期間がオプションまたは必須として登録を求めるプロンプトが構成されている場合、Universal Authentication Managerの起動時に登録を求めるプロンプトが表示されます。
Windowsへのログオン時にログオン方法を登録しないように選択した場合は、Universal Authentication Managerを起動し、次の登録手順のいずれかを使用してログオン方法を手動で登録できます。
「Enroll」ボタンをクリックして、表示されるドロップダウン・リストからログオン方法を選択します。
プロンプトが表示されたら、Windowsパスワードを入力します(または、以前に登録したログオン方法で認証を行います)。使用しているオーセンティケータのタイプに応じた登録手順に従うように指示されます。たとえば、オーセンティケータとしてスマート・カードを登録している場合は、Windowsパスワードの入力後に、スマート・カードをカード・リーダーに挿入してPINを入力するように求められます。カードが登録されていることを示す確認メッセージが表示されます。
表示されたログオン方法を右クリックして、「Enroll」を選択します。
プロンプトが表示されたら、Windowsパスワードを入力して(または、以前に登録したログオン方法で認証を行い)、表示される登録手順に従います。(登録手順は、使用しているオーセンティケータのタイプに応じて異なります。)
まだ登録していないログオン方法をダブルクリックします。プロンプトが表示されたら、Windowsパスワードを入力して(または、以前に登録したログオン方法で認証を行い)、表示される登録手順に従います。(登録手順は、使用しているオーセンティケータのタイプに応じて異なります。)
ワークステーションにログオンする際には、インストールされているログオン方法を登録するように自動的にプロンプトが表示されます。これらの方法のうちの1つが指紋の場合、指紋を登録するようにプロンプトが表示されます。
「Enroll」をクリックして、指紋を登録します。
システムが指紋によるPINを要求するように構成されている場合は、PINを入力して確認します。
最低1つの指紋サンプルを登録します。指紋サンプルの数は管理者が構成します。適切な指を置くか、または読み取らせて登録します。
リーダーに再度指を読み取らせ、リクエストされた回数だけ繰り返します。
すべての指紋サンプルを登録したら、データを処理していることを示すメッセージが表示されます。処理が完了するまで待ちます。
登録が完了したら、生体認証データが登録されたことを確認するメッセージが表示されます。「OK」をクリックして終了し、Windowsへのログオンを再開します。他のUniversal Authentication Managerログオン方法がインストールされている場合は、別の方法を登録するようにプロンプトが表示されます。
Universal Authentication Managerを起動する際には、インストールされているログオン方法を登録するように自動的にプロンプトが表示されます(そのログオン方法がまだ登録されていない場合)。これらの方法のうちの1つが指紋の場合、指紋を登録するようにプロンプトが表示されます。
「Enroll」をクリックして、指紋を登録します。
以前に登録したログオン方法またはWindowsパスワードを使用して認証を行います。
システムが指紋によるPINを要求するように構成されている場合は、プロンプトが表示された際にPINを入力します。
最低1つの指紋サンプルを登録します。指紋サンプルの数は管理者が構成します。適切な指を置くか、または読み取らせて登録します。
リーダーに再度指を読み取らせ、リクエストされた回数だけ繰り返します。
すべての指紋サンプルを登録したら、データを処理していることを示すメッセージが表示されます。処理が完了するまで待ちます。
登録が完了したら、生体認証データが登録されたことを確認するメッセージが表示されます。「OK」をクリックして、Universal Authentication Managerに戻ります。
「Enroll Status」列に、ステータス「Enrolled」が表示されます。
指紋を手動で登録するには、次の手順を実行します。
Universal Authentication Managerを起動します。
「Logon Methods」ツールバーの「Enroll」をクリックして、ドロップダウン・リストから「Fingerprint」を選択するか、ハイライト表示された「Fingerprint」行を右クリックして「Enroll」を選択するか、または「Fingerprint」行をダブルクリックします。
以前に登録したログオン方法またはWindowsパスワードを使用して認証を行います。
手順に従って指紋を登録します(前の項の詳細な手順を参照)。
指紋が正常に登録されたことを確認するメッセージが表示されます。
「Enroll Status」列に、ステータス「Enrolled」が表示されます。
ワークステーションにログオンする際には、インストールされているログオン方法を登録するように自動的にプロンプトが表示されます。これらの方法のうちの1つが近接型カードの場合、近接型カードを登録するようにプロンプトが表示されます。
「Enroll」をクリックして、近接型カードを登録します。
Universal Authentication Managerがカードを検出するまで、リーダーの近くにカードを保持します。
近接型カードのわかりやすい説明を入力し、「OK」をクリックします。
システムが近接型カードによるPINを要求するように構成されている場合は、PINを入力して確認してから、「OK」をクリックします。
登録が完了したら、カードが登録されたことを確認するメッセージが表示されます。「OK」をクリックして終了し、Windowsへのログオンを再開します。他のログオン方法がインストールされている場合は、別の方法を登録するようにプロンプトが表示されます。
Universal Authentication Managerを起動する際には、インストールされているログオン方法を登録するように自動的にプロンプトが表示されます。これらの方法のうちの1つが近接型カードの場合、近接型カードを登録するようにプロンプトが表示されます。
「Enroll」をクリックして、近接型カードを登録します。認証を続行するようにプロンプトが表示されます。使用可能な認証方法のいずれかを使用して、認証を行うことができます。
Universal Authentication Managerがカードを検出するまで、リーダーの近くにカードを保持します。
システムが近接型カードによるPINを要求するように構成されている場合は、PINを入力して確認してから、「OK」をクリックします。
カードが正常に登録されたことを確認するメッセージが表示されます。「OK」をクリックして、Universal Authentication Managerに戻ります。
「Enroll Status」列に、ステータス「Enrolled」が表示されます。
近接型カードを手動で登録するには、次の手順を実行します。
Universal Authentication Managerを起動します。
「Logon Methods」ツールバーの「Enroll」をクリックして、ドロップダウン・リストから「Proximity Card」を選択するか、ハイライト表示された「Proximity Card」行を右クリックして「Enroll」を選択するか、または「Proximity Card」行をダブルクリックします。
以前に登録したログオン方法またはWindowsパスワードを使用して認証を行います。
Universal Authentication Managerがカードを検出するまで、リーダーの近くにカードを保持します。
システムが近接型カードによるPINを要求するように構成されている場合は、PINを入力して確認してます(前の項の詳細な手順を参照)。
カードが正常に登録されたことを確認するメッセージが表示されます。「OK」をクリックして、Universal Authentication Managerに戻ります。
「Enroll Status」列に、ステータス「Enrolled」が表示されます。
注意: 近接型カードを使用してワークステーションにログオンした後、ログオフした後、またはワークステーションをロックした後に、カードをカード・リーダーの上に置いたままにしないでください。近接型カードをリーダーの上に置いたままにすると、ワークステーションにログオンするか、またはワークステーションをロックするために、カードをリーダーに2回軽く触れることが必要になる場合があります。 |
ワークステーションにログオンする際には、インストールされているログオン方法を登録するように自動的にプロンプトが表示されます。これらの方法のうちの1つがスマート・カードの場合、スマート・カードを登録するようにプロンプトが表示されます。
「Enroll」をクリックして、スマート・カードを登録します。
リーダーにカードを挿入します。
スマート・カードのわかりやすい説明を入力し、「OK」をクリックします。
次のいずれかを行います。
スマート・カード・ログオン方法がカード独自のPINを使用するように構成されている場合は、PINを入力して「OK」をクリックします。
スマート・カード・ログオン方法がUniversal Authentication Manager PINを使用するように構成されている場合は、PINを入力して確認してから、「OK」をクリックします。
詳細は、「「Smart Card」設定」を参照してください。
カードが登録されていることを示す確認メッセージが表示されます。登録が完了したら、カードが登録されたことを確認するメッセージが表示されます。「OK」をクリックして終了し、Windowsへのログオンを再開します。他のUniversal Authentication Managerログオン方法がインストールされている場合は、別の方法を登録するようにプロンプトが表示されます。
Universal Authentication Managerを起動する際には、インストールされているログオン方法を登録するように自動的にプロンプトが表示されます(そのログオン方法がまだ登録されていない場合)。これらの方法のうちの1つがスマート・カードの場合、スマート・カードを登録するようにプロンプトが表示されます。
「Enroll」をクリックして、スマート・カードを登録します。
以前に登録したログオン方法またはWindowsパスワードを使用して認証を行います。
リーダーにカードを挿入します。
次のいずれかを行います。
スマート・カード・ログオン方法がカード独自のPINを使用するように構成されている場合は、PINを入力して「OK」をクリックします。
スマート・カード・ログオン方法がUniversal Authentication Manager PINを使用するように構成されている場合は、PINを入力して確認してから、「OK」をクリックします。
詳細は、「「Smart Card」設定」を参照してください。
カードが登録されていることを示す確認メッセージが表示されます。登録が完了したら、カードが登録されたことを確認するメッセージが表示されます。「OK」をクリックして、Universal Authentication Managerに戻ります。
「Enroll Status」列に、ステータス「Enrolled」が表示されます。
スマート・カードを手動で登録するには、次の手順を実行します。
Universal Authentication Managerを起動します。
カード・リーダーにカードを挿入します。
「Logon Methods」ツールバーの「Enroll」をクリックして、ドロップダウン・リストから「Smart Card」を選択するか、ハイライト表示された「Smart Card」行を右クリックして「Enroll」を選択するか、または「Smart Card」行をダブルクリックします。
以前に登録した方法またはWindowsパスワードを使用して認証を行います。
カードに関連付けられているPINを入力します(前の項の詳細な手順を参照)。
「OK」をクリックして、Universal Authentication Managerに戻ります。カードが正常に登録されたことを確認するメッセージが表示されます。
「Enroll Status」列に、ステータス「Enrolled」が表示されます。
ワークステーションにログオンする際には、インストールされているログオン方法を登録するように自動的にプロンプトが表示されます。これらの方法のうちの1つがチャレンジ質問クイズの場合、チャレンジ質問クイズを登録するようにプロンプトが表示されます。
「Enroll」をクリックして、登録プロセスを開始します。
登録するチャレンジ質問を選択してから、その回答を入力して確認します。エントリが一致しない場合、一致していないことが赤色で示されるため、間違っている回答を再入力し、回答が修正されたことを確認します。管理者が構成した重み付け要件を満たすだけの数の質問を選択してそれに回答すると、ウィンドウの上部にあるプログレス・バーが100%を示します。この時点で、主な質問に対する回答を忘れた場合は、最後の質問としていくつか追加で質問を選択できます。該当する質問のすべてを選択してそれに回答したら、「Finish」をクリックします。
登録が完了したら、チャレンジ質問方法が登録されたことを確認するメッセージが表示されます。「OK」をクリックしてダイアログを閉じます。
他のUniversal Authentication Managerログオン方法がインストールされている場合は、別の方法を登録するようにプロンプトが表示されます。
Universal Authentication Managerを起動する際には、インストールされているログオン方法を登録するように自動的にプロンプトが表示されます(そのログオン方法がまだ登録されていない場合)。これらの方法のうちの1つがチャレンジ質問クイズの場合、チャレンジ質問クイズを登録するようにプロンプトが表示されます。
「Enroll」をクリックして、登録プロセスを開始します。
プロンプトが表示されたら、Universal Authentication Managerへの認証を行い、「OK」をクリックして続行します。使用可能な認証方法のいずれかを使用して、認証を行うことができます(下の画面サンプルでは、Windowsパスワードまたは近接型カードのいずれかで認証を行うように選択できます)。
登録するチャレンジ質問を選択してから、その回答を入力して確認します。エントリが一致しない場合、一致していないことが赤色で示されるため、間違っている回答を再入力し、回答が修正されたことを確認します。管理者が構成した重み付け要件を満たすだけの数の質問を選択してそれに回答すると、ウィンドウの上部にあるプログレス・バーが100%を示します。この時点で、主な質問に対する回答を忘れた場合は、最後の質問としていくつか追加で質問を選択できます。該当する質問のすべてを選択してそれに回答したら、「Finish」をクリックします。
登録が完了したら、チャレンジ質問方法が登録されたことを確認するメッセージが表示されます。「OK」をクリックしてダイアログを閉じます。
「Enroll Status」列に、ステータス「Enrolled」が表示されます。
チャレンジ質問を手動で登録するには、次の手順を実行します。
Universal Authentication Managerを起動します。
「Challenge Questions」方法をダブルクリックします。
(オプション)「Challenge Questions」方法のステータスが「Enrolled」で、現在の登録を新しく置き換える場合は、表示されるダイアログの「Re-Enroll」をクリックして次の手順に進みます。
以前に登録したログオン方法またはWindowsパスワードを使用して認証を行います。
表示される登録取得ダイアログで、登録するチャレンジ質問を選択してから、その回答を入力して確認します。エントリが一致しない場合、一致していないことが赤色で示されるため、間違っている回答を再入力し、回答が修正されたことを確認します。管理者が構成した重み付け要件を満たすだけの数の質問を選択してそれに回答すると、ウィンドウの上部にあるプログレス・バーが100%を示します。この時点で、主な質問に対する回答を忘れた場合は、最後の質問としていくつか追加で質問を選択できます。該当する質問のすべてを選択してそれに回答したら、「Finish」をクリックします。
登録が完了したら、チャレンジ質問方法が登録されたことを確認するメッセージが表示されます。「OK」をクリックしてダイアログを閉じます。
方法のステータスが「Enrolled」に変わります。
Universal Authentication Managerには、資格証明に関して非常に柔軟性のある制御機能が備えられています。詳細は、次のリンクをクリックしてください。
登録済資格証明のプロパティを表示するには、次の手順を実行します。
「Logon Methods」タブから、プロパティを表示する登録済資格証明を選択します。
画面の上部にあるツールバーで「Modify」をクリックするか、またはカードの行を右クリックして、ポップアップ・メニューから「Modify」を選択します。開いたダイアログ・ボックスに、ログオン方法、カード・タイプ、登録日付およびカードの説明(ある場合)が表示されます。
「Logon Methods」をクリックして、使用可能なログオン方法を表示します。各方法の行の2番目の列に、その方法に対するユーザー登録のステータスが表示されます。使用される値は、次のとおりです。
Enrolled。ログオン方法に対して資格証明が正しく登録されています。
Optional。ログオン方法に対して資格証明を登録する必要がありますが、必須ではありません。
Required。ログオン方法に対して資格証明を登録するのが必須です。
Not available。検出されたカードは、別のユーザーによって登録されています。これは、スマート・カードおよび近接型カードに対してのみ適用されます。
Disabled。ログオン方法はインストールされていますが、無効にされています。
資格証明を変更するには、次の手順を実行します。
変更するログオン方法を選択します、
「Modify」をクリックして、資格証明を表示または変更します。
スマート・カードの場合、カードのプロパティを表示できます。
近接型カードの場合、カードのプロパティを表示して、PINを変更できます。
指紋の場合、登録日付を表示して再登録できます。既存の資格証明が置き換えられます。
チャレンジ質問の場合、登録日付を表示して再登録できます。既存の資格証明が置き換えられます。
スマート・カードまたは近接型カードが検出されると、Universal Authentication Managerは、「OPTIONAL」または「REQUIRED」のいずれかのステータスを含む情報を1行に表示します。最初にカードまたはトークンを登録すると、登録済資格証明により既存の行がアクティブ化され、ステータス「ENROLLED」が表示されます。
最低1枚のカードを登録しており、さらに追加のカードを登録する場合は、「Enroll」ボタンをクリックして、表示されるドロップダウン・リストから「Proximity Card」または「Smart Card」のいずれかを選択します。Universal Authentication Managerに、すでに1枚のカードが登録済であることを示すメッセージが表示され、別のカードを登録するかどうかの確認を求められます。
「OK」をクリックして登録を続行するか、または「Cancel」をクリックして登録を取り消します。「OK」をクリックした場合は、画面上の手順に従って追加のカードを登録します。カードを軽く触れるかまたは挿入して登録を開始してから、PINを入力するように求められます。カードが登録されると、Universal Authentication Managerに、登録に成功したことを確認するメッセージが表示されます。
「Enroll Status」列にカードの資格証明が2行に表示され、それぞれのステータス「Enrolled」も表示されます。
指紋ログオン方法またはチャレンジ質問ログオン方法が登録されると、Universal Authentication Managerは、「Optional」または「Required」のいずれかのステータスを含む情報を1行に表示します。最初に指紋サンプルを登録すると、登録済資格証明により既存の行がアクティブ化され、ステータス「Enrolled」が表示されます。
追加の資格証明は登録できませんが、再登録することにより既存の資格証明を置き換えることができます。最低1つの指紋サンプルを登録しており、再登録する場合は、ログオン方法をハイライト表示して「Modify」をクリックします。
資格証明を再登録するには、「Re-enroll」を選択し、画面上の手順に従って再登録します。再登録が完了すると、Universal Authentication Managerに、確認メッセージが表示されます。
資格証明を削除するには、次の手順を実行します。
注意: ログオン方法に対して資格証明を登録することが必須である場合、そのログオン方法は削除できません。 |
削除する資格証明を示す行を選択します。
画面上部にあるツールバーで「Delete」ボタンをクリックするか、または行を右クリックして、ドロップダウン・メニューから「Delete」を選択します。
認証を行うようにプロンプトが表示されたら、登録済の方法で認証を行い、削除を完了します。削除が完了したらメッセージが表示されます。
注意: セッションでのログオンに使用した資格証明のセットを削除した場合(つまり、特定のログオン方法に対する資格証明を削除した場合)、カードを取り外すかまたは「送信」すると、資格証明はすでに削除されているにもかかわらず、資格証明に対して設定された削除アクションは依然として実行されます。削除アクションの詳細は、「ワークステーションをロックするためのUniversal Authentication Managerの構成」を参照してください。 |
Universal Authentication Managerの指紋、スマート・カードまたは近接型カードが関連するUniversal Authentication Manager PINで登録されている際にPINを変更する場合は、次の手順を実行します。
注意: スマート・カードを使用する際には、カード独自のPINは変更できません。変更できるのは、スマート・カードに関連するUniversal Authentication Manager PINのみです。詳細は、「Universal Authentication Managerの構成」を参照してください。指紋登録のUniversal Authentication Manager PINを変更するには、「資格証明の再登録」の手順に従います。 |
目的のログオン方法を選択します。
ウィンドウの上部にあるツールバーで「Modify」をクリックします。
表示されるプロパティ・ダイアログで、「Change…」をクリックします。
カードをリーダーに挿入するか、またはリーダーに軽く触れるか、あるいは登録済のログオン方法で認証を行い、続行します。
現在のPINを入力します。
プロンプトが表示されたら、新しいPINを入力して確認します。
PINが正常に変更されたことを確認するメッセージが表示されます。
Universal Authentication Managerでは、RFIDバッジやWindows非対応のスマート・カードなどの認証デバイスにより、Windowsに簡単にセキュアにログオンして再認証を行うことができます。次のアクションを使用できます。
Universal Authentication ManagerによるWindows 7へのログオン。次のログオン方法を使用できます。
指紋
スマート・カードまたは近接型カード
チャレンジ質問
Windowsパスワード
Universal Authentication Managerへの再認証
ワークステーションのロック
Universal Authentication ManagerによるWindows 8/8.1へのログオン。次のログオン方法を使用できます。
指紋
スマート・カードまたは近接型カード
チャレンジ質問
Windowsパスワード
Universal Authentication Managerへの再認証
ワークステーションのロック
システムにUniversal Authentication Managerをインストールすると、Windows 7のログオン画面に使用可能なユーザーとUniversal Authentication Managerログオン方法が表示されます。
スマート・カードまたは近接型カードを使用してログオンするには、適切なログオン方法タイルを選択します。
Windowsパスワード、指紋またはチャレンジ質問ログオン方法でログオンするには、ユーザー(そのユーザーがそれらのログオン方法を以前に登録してある場合)を選択するか、「Other user」をクリックしてユーザー名を入力し、ドロップダウン・リストからログオン方法を選択して「Submit」(右矢印)ボタンをクリックします。
使用可能なログオン方法は、管理者がインストールした項目に応じて異なります。このログオン・ダイアログでは常に、最後に使用したログオン方法がデフォルトとして設定されます。たとえば、「Fingerprint」を使用してログオンした場合は、次回のログオン時にこの方法があらかじめ選択されています。
Universal Authentication Managerへの最初のログオン時には、Windowsパスワードを使用します(オプションの場合)。次に、Universal Authentication Managerクライアントを起動して、資格証明を登録します。登録が完了したら、Windowsパスワードのかわりに登録済資格証明(たとえば、スマート・カード、指紋など)を使用して、Windowsにログオンしたりワークステーションをロック解除したりできるようになります。
注意: 必要な場合(たとえば、カードを紛失したり損傷したりした場合)は、Windowsパスワードまたはチャレンジ質問クイズ(使用可能な場合)でいつでもログオンできます。 |
Universal Authentication Managerにより、システムの標準のWindowsログオン動作が拡張されます。Microsoft Windowsには、Windowsのログオンおよびロック解除プロセスに影響を与える多数のセキュリティ・ポリシーと設定が組み込まれています。Universal Authentication Managerはこれらのポリシーに準拠しています。たとえば、パスワードが最長有効期間に達した場合、ログオンする前にパスワードを変更するようにUniversal Authentication Managerによって要求されます。
指紋ログオン方法は、ログオン・ダイアログから手動で選択する必要があります。
たとえば、登録済指紋を使用してWindowsにログオンするか、またはロック解除するには、次の手順を実行します。
ログオン画面で、ユーザー名を選択するかまたは入力します(必要な場合は、ドメインも)。
ドロップダウン・リストから「Fingerprint」ログオン方法を選択します。
送信(右矢印)ボタンをクリックします。
PINを登録している場合は、Universal Authentication Managerにより、入力を求めるプロンプトが表示されます。
Universal Authentication Managerにより、指紋サンプルを表示するようにプロンプトが表示されます(たとえば、リーダーの上に指を置くか、またはスライドさせます)。
Universal Authentication Managerにより指紋サンプルが検証され、ユーザーはWindowsにログオンします。
このプロセスは、「Cancel」をクリックすることで、いつでも取り消してログオン画面に戻ることができます。
次の場合は、ログオンまたはロック解除を再試行することが必要になることがあります。
無効なPINを入力した場合。この場合は、再度PINの入力を試みるか、または「Cancel」をクリックしてログオン画面に戻ります。
ログオンで使用を試みた生体認証サンプルが、Universal Authentication Managerログオン方法として登録されていない場合。この場合は、認証が失敗します。再試行するか、または別のログオン方法を選択します。
指紋やチャレンジ質問ログオン方法とは異なり、スマート・カードおよび近接型カード・ログオンは、トークンの挿入または取外しによるイベント駆動型の方法です。
注意: スマート・カードまたは近接型カードがすでにリーダーに挿入されているか、またはリーダーに登録されている場合は、ログオン画面にそれぞれのアイコンが表示され、そのアイコンをクリックしてカードによりログオンします。 |
たとえば、登録済スマート・カードまたは近接型カードを使用してWindowsにログオンするか、またはロック解除するには、次の手順を実行します。
ログオン画面で、登録済カードをカード・リーダーに挿入するか、またはカード・リーダーに軽く触れます。Universal Authentication Managerにより登録済カードが検出および検証され、ユーザーが識別されます。カードのPINが必須ではない場合は、Windowsにログオンします。
スマート・カードまたは近接型カードのアイコンをクリックすると、Universal Authentication Managerにより、カードを軽く触れるかまたは挿入するようにプロンプトが表示されます。(近接型カードの場合、Universal Authentication Managerがカードを検出するまで、リーダーの近くにカードを保持します。)
カードのPINが必須である場合は、プロンプトが表示されたときにPINを入力します。Universal Authentication ManagerによりPINが検証され、ユーザーはWindowsにログオンします。
このプロセスは「Cancel」lをクリックすることによりいつでも取り消して、ログオン・ダイアログに戻ることができます。
次の場合は、ログオンまたはロック解除を再試行することが必要になることがあります。
無効なPINを入力した場合。この場合は、再度PINの入力を試みるか、または「Cancel」をクリックしてログオン画面に戻ります。
ログオンで使用を試みたカードが、Universal Authentication Managerログオン方法として登録されていない場合。カードが検出されない場合は、何も動作しません。カードは検出されたが登録されていない場合は、エラー・メッセージが表示されます。
チャレンジ質問ログオン方法は、ログオン・ダイアログから手動で選択する必要があります。
たとえば、チャレンジ質問を使用してWindowsにログオンするか、またはロック解除するには、次の手順を実行します。
ログオン画面で、ユーザー名を選択するかまたは入力します(必要な場合は、ドメインも)。
ドロップダウン・リストから「Challenge Questions」ログオン方法を選択します。
送信(右矢印)ボタンをクリックします。
表示されるダイアログで、チャレンジ質問を読んで回答を入力してから、「Next」をクリックします。質問に対する回答を忘れており、最終的に使用する追加の質問を登録している場合は、「Skip」をクリックします。
(追加の質問を登録していない場合は、必須の質問をスキップするとログオンに失敗します。これは、管理者が設定した重み付け要件を満たすことができないためです。)
ログオンを完了するために十分なだけの数の質問に正確に回答すると、Universal Authentication ManagerでユーザーはWindowsにログオンします。
エンタープライズ・クライアント・モードで作業している場合、管理者が「Logon Method Enabled」のルールを使用して、Windowsパスワード・ログオン方法の使用を無効に設定することがあります。Windowsパスワードが無効に設定されている場合、最低1つの他のログオン方法を登録するまでは、Windowsパスワードを使用して続行できます。別のログオン方法を登録すると、Windowsパスワードによるログオンができなくなります。
システムにUniversal Authentication Managerをインストールすると、Windows 8/8.1のログオン画面に使用可能なユーザーが表示されます。
ユーザーを選択すると、関連付けられているWindowsパスワードでそのユーザーとしてログオンできます。あるいは、「Sign in options」リンクをクリックして使用可能なUniversal Authentication Managerログオン方法を表示します。使用可能なログオン方法は、管理者がインストールした項目に応じて異なります。
Universal Authentication Managerへの最初のログオン時には、Windowsパスワードを使用します(オプションの場合)。次に、Universal Authentication Managerクライアントを起動して、資格証明を登録します。登録が完了したら、Windowsパスワードのかわりに登録済資格証明(たとえば、スマート・カード、指紋など)を使用して、Windowsにログオンしたりワークステーションをロック解除したりできるようになります。
注意: 必要な場合(たとえば、カードを紛失したり損傷したりした場合)は、Windowsパスワードまたはチャレンジ質問クイズ(使用可能な場合)でいつでもログオンできます。 |
Universal Authentication Managerにより、システムの標準のWindowsログオン動作が拡張されます。Microsoft Windowsには、Windowsのログオンおよびロック解除プロセスに影響を与える多数のセキュリティ・ポリシーと設定が組み込まれています。Universal Authentication Managerはこれらのポリシーに準拠しています。たとえば、パスワードが最長有効期間に達した場合、ログオンする前にパスワードを変更するようにUniversal Authentication Managerによって要求されます。
指紋ログオン方法は、ログオン・ダイアログから手動で選択する必要があります。
たとえば、登録済指紋を使用してWindowsにログオンするか、またはロック解除するには、次の手順を実行します。
ログオン画面で、ユーザー名を選択するかまたは入力します(必要な場合は、ドメインも)。
「Sign-in options」をクリックし、「Fingerprint」ログオン方法を選択します。
送信(右矢印)ボタンをクリックします。
PINを登録している場合は、Universal Authentication Managerにより、入力を求めるプロンプトが表示されます。
Universal Authentication Managerにより、指紋サンプルを表示するようにプロンプトが表示されます(たとえば、リーダーの上に指を置くか、またはスライドさせます)。
Universal Authentication Managerにより指紋サンプルが検証され、ユーザーはWindowsにログオンします。
このプロセスは、「Cancel」をクリックすることで、いつでも取り消してログオン画面に戻ることができます。
次の場合は、ログオンまたはロック解除を再試行することが必要になることがあります。
無効なPINを入力した場合。この場合は、再度PINの入力を試みるか、または「Cancel」をクリックしてログオン画面に戻ります。
ログオンで使用を試みた生体認証サンプルが、Universal Authentication Managerログオン方法として登録されていない場合。この場合は、認証が失敗します。再試行するか、または別のログオン方法を選択します。
指紋やチャレンジ質問ログオン方法とは異なり、スマート・カードおよび近接型カード・ログオンは、トークンの挿入または取外しによるイベント駆動型の方法です。
注意: スマート・カードまたは近接型カードがすでにリーダーに挿入されているか、またはリーダーに登録されている場合は、ユーザーを選択した後ログオン画面で「Sign in options」をクリックすると、それぞれのアイコンが表示されます。単にアイコンを選択し、「Submit」(右矢印)ボタンをクリックしてカードでログオンします。 |
たとえば、登録済スマート・カードまたは近接型カードを使用してWindowsにログオンするか、またはロック解除するには、次の手順を実行します。
ログオン画面で、登録済カードをカード・リーダーに挿入するか、またはカード・リーダーに軽く触れます。Universal Authentication Managerにより登録済カードが検出および検証され、ユーザーが識別されます。カードのPINが必須ではない場合は、Windowsにログオンします。
「Sign-in options」をクリックしてスマート・カードまたは近接型カードのアイコンをクリックすると、Universal Authentication Managerにより、カードを軽く触れるかまたは挿入するように求められます。(近接型カードの場合、Universal Authentication Managerがカードを検出するまで、リーダーの近くにカードを保持します。)
カードのPINが必須である場合は、プロンプトが表示されたときにPINを入力します。Universal Authentication ManagerによりPINが検証され、ユーザーはWindowsにログオンします。
このプロセスは「Cancel」lをクリックすることによりいつでも取り消して、ログオン・ダイアログに戻ることができます。
次の場合は、ログオンまたはロック解除を再試行することが必要になることがあります。
無効なPINを入力した場合。この場合は、再度PINの入力を試みるか、または「Cancel」をクリックしてログオン画面に戻ります。
ログオンで使用を試みたカードが、Universal Authentication Managerログオン方法として登録されていない場合。カードが検出されない場合は、何も動作しません。カードは検出されたが登録されていない場合は、エラー・メッセージが表示されます。
チャレンジ質問ログオン方法は、ログオン・ダイアログから手動で選択する必要があります。
たとえば、チャレンジ質問を使用してWindowsにログオンするか、またはロック解除するには、次の手順を実行します。
ログオン画面で、ユーザー名を選択するかまたは入力します(必要な場合は、ドメインも)。
「Sign-in options」をクリックし、「Challenge Questions」ログオン方法を選択します。
送信(右矢印)ボタンをクリックします。
表示されるダイアログで、チャレンジ質問を読んで回答を入力してから、「Next」をクリックします。質問に対する回答を忘れており、最終的に使用する追加の質問を登録している場合は、「Skip」をクリックします。(追加の質問を登録していない場合は、必須の質問をスキップするとログオンに失敗します。これは、管理者が設定した重み付け要件を満たすことができないためです。)ログオンを完了するために十分なだけの数の質問に正確に回答すると、Universal Authentication ManagerでユーザーはWindowsにログオンします。
エンタープライズ・クライアント・モードで作業している場合、管理者が「Logon Method Enabled」のルールを使用して、Windowsパスワード・ログオン方法の使用を無効に設定することがあります。Windowsパスワードが無効に設定されている場合、最低1つの他のログオン方法を登録するまでは、Windowsパスワードを使用して続行できます。別のログオン方法を登録すると、Windowsパスワードによるログオンができなくなります。
Universal Authentication Managerの再認証ダイアログ・ボックスには、使用可能なログオン方法を介して、現在アクティブなユーザー・セッション内のWindowsに認証を行う機能が用意されています。ログオン方法は、水平バーに左から右に表示されている各アイコン「Fingerprint」、「Proximity Card」、「Smart Card」、「Challenge Questions」および「Windows Password」から選択できます。
ダイアログ内のそれぞれのアイコンは別のコントロールを表しています。たとえば、パスワード・アイコンを選択すると、パスワード・フィールドが表示され、スマート・カード・アイコンを選択するとパスワード・フィールドが非表示になり、スマート・カードを挿入するようにプロンプトが表示されます。
スマート・カードおよび近接型カード・トークンを挿入すると、即座に認証がトリガーされます。ただし、カードが挿入されていない場合は、該当するログオン方法のボタンを選択すると、カードを挿入するか、またはトークンを軽く触れるようにプロンプトが表示されます。
再認証ダイアログ・ボックスでは、次の処理を行います。
インストールされていないログオン方法、登録されていないログオン方法、または「Logon Method Enabled」ポリシーで無効にされているログオン方法を除外します。
最後に使用したログオン方法をデフォルトとして設定します。たとえば、「Fingerprint」を使用してログオンした場合は、次回のログオン時にこの方法があらかじめ選択されています。
デフォルトでは常に、「Always use this method to authenticate」チェック・ボックスが選択されています。つまり、以降の認証では選択したログオン方法がデフォルトとして設定され、必要ない場合、「Authenticate」ダイアログ・ボックスは表示されません。
チェック・ボックスの選択を解除して「OK」をクリックした場合は、常に再認証ダイアログ・ボックスが表示され、デフォルトで以前に使用した方法が選択されます。これは、頻繁にログオン方法を切り替えるユーザーに有効です。