PC のトークン認証を OS 標準機能で実現する

私は記事を書く際、周知の内容かどうかを Web で検索しているのですが、
意外に知らない人が多いと感じたのが、Windows 標準機能で実現できるトークン認証（二要素認証）です。企業向け Windows には「あらかじめ指定された USB キーが無いと OS のブートすらできない」ことを実現する機能があります。

セキュリティトークン・二要素認証ソリューションを導入する場合、専用トークンやらソフトウェア・構築費用などで一台あたり通常 2 〜 3 万円掛かるのですが、この方法を使えば無償で利用できます。Windows Thin PC でも OK。

どのような方法かというと、Windows Vista で導入された BitLocker の応用機能です。BitLockerは TPM という専用のチップが必須と誤解されているのですが、実は TPM の代わりに普通の USB メモリをトークンにできます。

設定方法

1. gpedit.msc で次のように辿り「スタートアップ時に追加の認証を要求する」

2. 「互換性のある〜」を有効に設定

3. コントロールパネルの「BitLockerドライブ暗号化」から「BitLockerを有効にする」を実行

4. BitLocker ウィザードを進めていき、
下記の画面で「毎回のスタートアップ時にスタートアップキーを要求する」を選択
（これがトークンとして USB メモリを使う設定になります）

5. キーにしたい市販の USB メモリを選択（1MB の空き容量があればOKです）

6. USB メモリ紛失時の回復キーワードをどこかに保管し、
あとはウィザードのとおりに進めてください。

前述の MDT や SCCM と連携しますので、上記設定は自動化できます。

いかがでしょう？ 普通の USB メモリ（容量不問）で実現できますし、
TPM チップが搭載されていない PC でも OK です。

もちろん、有償ソフトウェアにはそれなりの良さがあると思いますが、無償でできることは無償で解決して、他のことを実現していくのもありかと思います。

１つ１つに最高の製品を導入していたら予算はいくらあっても足りないので...