Windows 10 の仮想スマート カード

仮想スマート カードは、企業に物理スマート カードと同じ利点を低コストで提供します。仮想スマート カードはさまざまな方法で作成できます。これらは、オンライン トランザクションに追加のセキュリティ レイヤーを提供し、特定の状況で物理的なスマート カードの代わりに使用できます。この記事では、Windows 10 で仮想スマート カードを使用する方法について説明します。

仮想スマートカードとは?

仮想スマートカードは マイクロソフトの Trusted Platform Module (TPM) ベースのソリューションです。暗号化キーを生成し、キー情報の一部を TPM に保存することで、ハードウェアを保護するように設計されています。デバイスとユーザーを認証するために、Active Directory に対して証明書を提供します。

仮想スマート カードは、ほとんどの従来のスマート カードと同様に機能しますが、より効率的です。従来のスマート カードは、暗号化またはチップを使用します。仮想スマート カードは、キー情報をデバイスに直接保存します。ハードウェアを追加することなく、ユーザーのデバイスで 2 要素認証 (2FA) を有効にします。仮想スマート カードは、企業の IT システムを外部の脅威から保護できます。これらの外部の脅威には、ハッカーの攻撃や、他の外部デバイスからの不正アクセスが含まれます。

仮想スマート カードを構成したら、デバイスに正しい PIN を入力して、正しくログインできます。 Windows では常に、挿入されたスマート カードとして表示されます。オペレーティング システムは、アプリケーションを使用する必要があるときに、仮想スマート リーダーと仮想スマート カードをアプリケーションに提供します。アプリケーションには、物理スマート カードと同じインターフェイスがあります。そのため、特定のシステムにより迅速にログインできます。

仮想スマート カードは仮想であるため、使用コストが低くなります。追加のスマート カード ハードウェアを購入するコストを節約できます。

仮想スマート カード機能には、次の種類のスマート カードを使用できます。

• ユニバーサル ISO – 7816 スマート カード
• EAC をサポートするドイツの電子 ID カード (NPA) (PACE、TA、CA)
• BAC 対応の ePassport (ePass/MRTD)
• Cryptoflex スマート カード

Windows 10 で仮想スマート カードを使用するにはどうすればよいですか?

仮想スマート カードは、Windows 10 に追加された TPM (バージョン 1.2 または 2.0) を搭載したデバイスで使用できます。また、アクセス可能な KPI インフラストラクチャの作業環境を用意することも重要です。たとえば、より一般的な Microsoft 証明書サービスです。

次に、プロセス全体を 3 つのステップに分けました。

• 証明書テンプレートを作成する (仮想スマート カード登録の要件を満たすもの)
• 仮想スマート カードの作成 (TPM でサポート)
• TPM 仮想スマート カード証明書の登録

さらに、デバイスに TPM がインストールされていることを確認する必要があります。 tpm を実行できます。 msc でこれを試してください。

証明書テンプレートの作成

最初に、仮想スマート カードの要件に一致する証明書テンプレートを作成する必要があります。 Windows ドメインの PKI インフラストラクチャの例として、Microsoft 証明書サービスを使用して次のことを行います。

• Microsoft 管理コンソール (MMC) を開きます。
• [ファイル] をクリックし、[管理ユニットの追加と削除] をクリックします。
• 利用可能な管理ユニットのリストで [証明書テンプレート] をクリックします。
• [ファイルを追加] をクリックします。
• ダブルクリックして、MMC コンソールのルート ディレクトリにあるすべての証明書テンプレートを表示します。
• スマート カード ログイン テンプレートを右クリックします。
• [テンプレートをコピー] をクリックします。

[互換性] タブで証明機関を表示し、必要に応じて変更します。

[一般] タブで名前を指定し、有効な値を目的の値に設定します。 TPM 仮想スマート カード ログオンの名前を指定します。

[リクエスト] タブで、[使用法] を 署名とスマートカード ログオン.次にクリック 登録時にユーザーにプロンプトを表示する.

[暗号化] タブで、 2048 までの最小キー サイズ.選択する リクエストでは、次のプロバイダーのいずれかを使用する必要があります.選択する Microsoft ベースのスマート カード暗号化プロバイダー.

登録アクセスを許可するセキュリティ グループを追加します。.この選択は、[セキュリティ] タブに表示されます。

クリック 確認 をクリックして変更を完了し、新しいテンプレートを作成します。この時点で、新しいテンプレートが証明書テンプレートの一覧に表示されます。

[ファイル] を選択し、[スナップインの追加と削除] をクリックします。証明機関管理ユニットを MMC コンソールに追加します。次に、CA が配置されているコンピューターとして、システムが管理を要求するコンピューターを選択します。

次に、MMC の左側のペインで [証明機関 (ローカル)] を展開します。その後、証明機関リストで CA を展開できます。

証明書テンプレートを右クリックします。それから 新規をクリックし、証明書テンプレートをクリックします 発行したい。

次に、する必要があります 新しいテンプレートを選択 リストから作成したばかりのものを選択し、[確認] をクリックします。

続行する前に、CA で証明書サービスを停止して開始します。.テンプレートが正常にコピーされた後、MMC に戻ることによって実行されます。 Certificate Scheme Authorities のリストを右クリックします。 [すべてのタスク] を選択し、[サービスの停止] をクリックします。 CA の名前をもう一度右クリックします。 [すべてのタスク] をクリックし、[サービスの開始] をクリックします。

セキュリティ グループを追加すると、すべてのユーザーにアクセス権を付与できます。認証されたユーザー グループをクリックして選択する必要があります。次に、それらの権限を登録するだけです。新しく作成したテンプレートがすべてのサーバーに複製されるまでに時間がかかる場合があることを知っておく必要があります。正常に複製された後にのみ、このリストで使用できます。

TPM 仮想スマート カードの作成

この手順では、コマンド ライン ツールを使用します。 Tpmvscmgr.exe.これにより、クライアント コンピューターで仮想スマート カードを正常に作成できるようになります。それは次のように行われます。

• コマンド プロンプトを開き、管理者の資格情報を使用して、参加しているコンピューターの電源を入れます。
• コマンド プロンプトで次のコマンドを入力して実行します。

tpmvscmgr.exe create /name TestVSC /pin デフォルト /admin キー ランダム /generate

次に、仮想スマート カードを作成します。この仮想スマート カードを使用すると、ロック解除キーを省略して、カード上にファイル システムを生成できます。

プロセスが完了するまで数秒待ちます。 tpmvscmgr.exe が完了すると、TPM 仮想スマート カードのデバイス インスタンス ID が提供されます。この ID は、すべての仮想スマート カードを管理または削除するのに役立ちます。

上記のコマンドを実行するときは、PIN のデフォルトを設定する必要があることに注意してください。 PIN の入力を求めるプロンプトが表示されたら、/pin default ではなく /pin default と入力する必要があります。

TPM 仮想スマート カード証明書の登録

これを行った後、プロセスを完了するために必要なログイン資格情報も提供する必要があります.適切なログイン資格情報がある場合にのみ、完全に機能します。

• Windows 10 クライアントの [スタート] メニューに certmgr.MSC と入力します。.このコマンドを使用すると、証明書コンソールをすばやく開くことができます。
• それから 証明書マネージャーを右クリック あなたのストレージのために。 個人を右クリック, すべてのタスクを選択 そして選択する 新しい証明書を申請する.

このステップはあなたを助けるでしょう 証明書の登録ウィザードを開始する.次に、「次「

それから [次へ] をクリックします. [次へ] をクリックし続けます。 証明書登録ポリシーの選択 表示画面。

作成した証明書テンプレートの名前を選択します 前のステップで。それから 登録をクリック.

次に、 暗証番号 TPM 仮想スマート カードの作成時に作成した名前を付けて、[OK] をクリックします。

前の登録が完了するまで待ってから、[完了] をクリックします。

デバイスを入力するプロンプトは、上記の TPM 仮想スマート カード証明書の登録セッションに表示されます。次に、前の手順で使用した、対応する Microsoft 仮想スマート カードを選択する必要があります。通常、ID デバイス、つまり Microsoft プロファイルとして表示されます。

上記のすべてのプロセスが完了すると、仮想スマート カード Windows 10 のインストールが完了します。 お使いのコンピューターには、安全なデバイスとしてログインするための新しいオプションがあります.

仮想スマート カードが装備されていること、および証明書の登録が成功したことを確認するとします。現在のセッションからログアウトして、再度ログインできます。デスクトップのログイン画面に、新しい TPM 仮想スマート カード アイコンが表示されます。前のアクションが失敗した場合、TPM スマート カード ログイン ダイアログにリダイレクトされます。

ログイン画面に表示されるこの新しいスマート カード アイコンをクリックします。次に、PIN パスワードを入力します。もう一度 [OK] をクリックすると、すぐにドメイン アカウントにログインできます。

リモート デスクトップでの仮想スマート カードの使用

リモート デスクトップで仮想スマート カードを使用すると、リモート コンピューターにアクセスするときに追加のセキュリティ レイヤーを提供できます。リモート デスクトップで仮想スマート カードを使用するには、スマート カード リーダーと、デジタル証明書がインストールされた仮想スマート カードが必要です。リモート デスクトップで仮想スマート カードを使用するには、次の手順に従います。

1. コンピューターでリモート デスクトップ接続を開きます。
2. 「オプション」ボタンをクリックします。
3. 「ローカル リソース」タブをクリックします。
4. 「もっと見る」ボタンをクリックします。
5. 「スマートカード」チェックボックスをクリックします。
6. 「OK」ボタンをクリックします。
7. リモート コンピュータの情報を入力し、[接続] ボタンをクリックします。
8. スマート カード リーダーを挿入し、プロンプトが表示されたら、仮想スマート カードを使用して自分自身を認証します。

Microsoft Passport での仮想スマート カードの使用

Microsoft Passport は Windows 10 の機能で、仮想スマート カードまたは生体認証方法 (指紋や顔認識など) を使用してコンピューターにログインしたり、特定のリソースにアクセスしたりできます。 Microsoft Passport で仮想スマート カードを使用するには、スマート カード リーダーと、デジタル証明書がインストールされた仮想スマート カードが必要です。 Microsoft Passport で仮想スマート カードを使用するには、次の手順に従います。

1. パソコンで設定アプリを開きます。
2. 「アカウント」タブをクリックします。
3. [サインイン オプション] タブをクリックします。
4. 「Windows Hello PIN」タブをクリックします。
5. 「セットアップ」ボタンをクリックします。
6. プロンプトに従って Microsoft Passport をセットアップします。これには、PIN の作成と回復キーの設定が含まれる場合があります。
7. スマート カード リーダーを挿入し、プロンプトが表示されたら、仮想スマート カードを使用して自分自身を認証します。

他のアプリケーションでの仮想スマート カードの使用

上記の用途に加えて、スマート カード認証をサポートする他のアプリケーションで仮想スマート カードを使用できます。問題のアプリケーションのドキュメントをチェックして、スマート カード認証をサポートしているかどうかを確認し、指示に従ってアプリケーションで仮想スマート カードを使用してください。

仮想スマート カードはどこで使用できますか?

仮想スマート カードは、重要な場所で使用されます。これを使用して、外部リソースに対してユーザーを認証できます。安全な暗号化によってデータを保護するためにも使用できます。また、多くの企業は、整合性のための信頼できる署名を提供するためにも使用しています。簡単に仮想展開できます スマートカード認証 社内で、またはソリューションを購入することによって。これは非常に強力な認証方法であり、あらゆる規模のビジネスに適しています。以下は、一般的な 3 つの仮想スマート カード アプリケーションです。

認証ベースのユースケース

• 二要素認証によるリモートアクセス
• クライアント側認証
• リモート デスクトップ接続の仮想スマート カード リダイレクト
• Windows To Go での仮想スマート カード

機密性のユースケース

• S/MIME メール暗号化
• データ ボリューム用の BitLocker

データ整合性のユース ケース

• 署名付きデータ

仮想スマート カードは、間違いなく物理スマート カードの強力なバージョンです。これにより、認証がはるかに簡単になります。また、さまざまな認証ニーズにも適しています。例としては、ワイヤレス ネットワーク、デスクトップ ログイン、VPN サービスなどがあります。

---

仮想スマート カードに関するよくある質問の詳細

1. 仮想スマート カードとは何ですか? また、物理スマート カードとの違いは何ですか?

   仮想スマート カードは、スマート カードのソフトウェア ベースの実装です。これは、安全な認証とアクセス制御に使用できます。チップが埋め込まれた物理デバイスである物理スマート カードとは異なり、仮想スマート カードは、ホスト デバイス (コンピューターや携帯電話など) の暗号化機能を使用して、同じレベルのセキュリティを提供します。

2. 物理スマート カードの代わりに仮想スマート カードを使用する利点は何ですか?

   仮想スマート カードには、管理、展開、および更新が容易であるなど、物理スマート カードに比べていくつかの利点があります。物流を必要としないからです。仮想スマート カードは、物理デバイスを購入して維持する必要がないため、費用対効果も高くなります。

3. 仮想スマート カードを不正アクセスや盗難から保護するために、どのようなセキュリティ対策が講じられていますか?

   仮想スマート カードは、さまざまなセキュリティ対策を使用して、PIN またはパスワード保護、機密データの暗号化、アクセス制御ポリシーなど、不正なアクセスや盗難から保護します。さらに、仮想スマート カードは改ざんができないように設計されているため、適切な承認なしにそれらを変更またはアクセスしようとすると、アラートがトリガーされるか、カードが無効になります。

4. 仮想スマート カードは、さまざまなオペレーティング システムやアプリケーションでどのように機能しますか?

   仮想スマート カードは、さまざまなオペレーティング システムやアプリケーションと互換性があります。これは、通信に標準化されたインターフェイスとプロトコルを使用しているためです。これらのインターフェイスとプロトコルにより、仮想スマート カードは、スマート カード認証をサポートするさまざまなアプリケーションとシームレスに連携できます。

5. 安全なリモート認証に仮想スマート カードを使用できますか?

   はい、安全なリモート認証に仮想スマート カードを使用できます。仮想スマート カードは、TLS、VPN、またはリモート デスクトップ プロトコル (RDP) などの暗号化プロトコルを使用して、リモートでユーザーを認証できます。

6. 仮想スマート カードの一般的な使用例と、さまざまな業界での展開方法を教えてください。

   仮想スマート カードは、政府機関、金融機関、医療、電子商取引など、さまざまな業界やアプリケーションで使用されています。それらは、安全なアクセス制御、データ保護、および ID 検証に使用されます。

7. 仮想スマート カードは、より広範なデジタル ID および認証テクノロジの展望にどのように適合しますか?

   仮想スマート カードは、デジタル ID および認証テクノロジのより広範なランドスケープの一部です。これには、生体認証、多要素認証、およびデジタル証明書が含まれます。仮想スマート カードは、さまざまなデバイスやアプリケーションで使用できるため、これらのテクノロジにセキュリティと柔軟性の追加レイヤーを提供します。

8. 仮想スマート カードのプロビジョニングと管理のプロセスはどのようなもので、責任者は誰ですか?

   仮想スマート カードのプロビジョニングと管理のプロセスは、特定の実装と使用される業界によって異なります。通常、IT 部門または指定されたセキュリティ チームが、仮想スマート カードのプロビジョニングと管理を担当します。