生体認証フレームワークの概要

  • [アーティクル]

個人ごとに固有の特性があり、識別に使用できます。 通常、これらの特性は物理的であり、指紋などの特性が含まれますが、歩行やタイピングのリズムなどの行動特性を含めることもできます。 生体認証という用語には、両方の意味が含まれています。 生体認証情報は、ユーザーを識別して確認するためにパスワードを置き換える傾向にあります。 安全性が高く、ユーザーと管理者の両方にとって便利な場合がよくあります。

センサーは生体情報をキャプチャするために使用されます。 情報は、生体認証サンプルとしてセンサーによってキャプチャされます。 1 つのサンプルには、1 人の個人の 1 つの生体認証特性を表すデータが含まれています。 生体認証テンプレートを作成するために複数のサンプルが平均化され、テンプレートが安全に格納されます。 後で、不明なユーザーのサンプルを保存されたテンプレートと比較して、ユーザー ID を確立して確認します。 Windows 生体認証フレームワーク (WBF) の一部である Windows 生体認証サービスは、次の機能を提供します。 こうした機能は、Windows 生体認証フレームワーク API を使用して利用することができます。

  • 生体認証サンプルを収集し、そのサンプルを使用してテンプレートを作成します。
  • 生体認証テンプレートを安全に保存して取得します。
  • 各テンプレートを GUID や SID などの一意の識別子にマップします。

また、この API を使用してフレームワークを拡張し、生体認証センサー アダプター、一致するエンジン、およびストレージ コンポーネントを作成することもできます。 センサー アダプターの作成、エンジンの照合、およびストレージ コンポーネントの詳細については、「 アダプター プラグインの作成」を参照してください。

コア プラットフォーム コンポーネント

Windows 生体認証ドライバー インターフェイス (WBDI)

WBDI は、生体認証ドライバーが生体認証サービス (WBS) Windows を介して生体認証デバイスを公開するために使用できるプログラミング インターフェイスです。 WBDI ドライバーは、サポートされているドライバー テクノロジ (以下を含む) を使用して実装できます。 ただし、ドライバーの品質とシステムの安定性を向上させるには、可能な限り UMDF を使用することをお勧めします。

  • ユーザー モード ドライバー フレームワーク (UMDF)
  • カーネル モード ドライバー フレームワーク (KMDF)
  • Windows Driver Model (WDM)

WBDI 生体認証ドライバーでは、WBDI ドライバー インターフェイス GUID とすべての必須 I/O コントロール (IOCTL) もサポートする必要があります。 ドライバー開発者は、Windows ドライバー キット (WDK) のドキュメントとサンプル コードを確認する必要があります。

Windows 生体認証サービス (WBS)

Windows生体認証サービスは、インストールされている生体認証ドライバーを管理し、Windows生体認証フレームワーク API をサポートして、クライアント アプリケーションへのデバイス アクセスを提供します。 WBS では、次の機能が実行されます。

  • クライアント アプリケーションを生体認証データから分離することで、ユーザーの機密性を保護します。
  • アプリケーションが一意の識別子を使用してデータにアクセスすることを要求することで、特権のないクライアント アプリケーションから生体認証データを保護します。
  • 生体認証ユニットと呼ばれるソフトウェア コンポーネントを使用して、標準化されたインターフェイスを介して特定の生体認証デバイスの機能を公開します。
  • 生体認証ユニットは、システム、プライベート、または割り当てられていない センサー プールにグループ化して管理します。
  • オンボード処理またはストレージ機能がない物理デバイスに対する生体認証ユニット アダプター の使用をサポートしています。

Windows 生体認証フレームワーク API

Windows生体認証フレームワーク API を使用すると、Windows生体認証サービスと対話して次のアクションを実行できるクライアント アプリケーションを作成できます。

  • ユーザーを識別して確認します。
  • 生体認証デバイスを検索し、その機能を照会します。
  • セッションを管理し、イベントを監視します。

ユーザー エクスペリエンス コンポーネント

検出ポイント

エンド ユーザーは、次のいずれかの方法で生体認証デバイスを見つけることができます。

  • [検索の開始] テキスト ボックスに、生体認証、フィンガープリント、顔、またはその他の関連語句を入力して、生体認証デバイスのコントロール パネルを起動します。 生体認証の結果の一覧には、Windows 10画像の次のような項目を含めることができます。
    • サインインフィンガープリントセットアップ
    • 顔サインインのセットアップ

サポートされるシナリオ

次のシナリオがサポートされます。

  • ユーザーは、フィンガープリント リーダーまたは顔に焦点を当てた IR カメラを使用して、ローカル コンピューター、ワークグループ、またはドメインにログオンできます。
  • 管理者特権を持つユーザーは、フィンガープリントまたは顔を使用して、ユーザー アカウント制御 (UAC) を使用してアプリケーションを昇格できます。

管理コンポーネント

生体認証システムは、グループ ポリシーまたはモバイル デバイス管理 (MDM) を使用して管理できます。

生体認証システム管理

グループ ポリシーまたは MDM を使用して生体認証機能を管理できます。 グループ ポリシーさらに使用して、次のアクションを実行できます。

  • ISV によって実装されている場合は、高速ユーザー切り替えのタイムアウト期間を指定します。
  • 生体認証デバイスのインストールを防止します。
  • 生体認証デバイスのドライバーを強制的に取り外します。
  • 生体認証サービスを無効にします。