Active Directory環境下でユーザープリンシパル名(UPN)を用いたログインを行いたい

YubiOn PortalのWindowsログオンは、デフォルトでActive DirectoryのSAMアカウント名(「Domain\Username」形式)に対応しています。
ユーザープリンシパル名(UPN)でのログオンを行いたい場合、ログオンする端末のレジストリにLDAP情報検索用のユーザーアカウント情報(ID・パスワード)を設定する必要があります。

以下の内容は、Active Directoryの管理者向けに記載しております。

以下、Active Directoryを「AD」、SAMアカウント名を「SAM」、ユーザープリンシパル名を「UPN」と表記します。

クライアントツールのバージョンが「2.11.1.5」以上であれば、UPNを用いたログオンをご利用いただけます。


1. LDAP情報検索用アカウントの作成

AD上に、LDAP情報検索用のユーザーアカウントを作成します。
LDAP情報検索用のユーザーアカウントは、AD上のLDAPディレクトリのユーザー情報が参照できる権限が必要です。

2. LDAP情報検索用アカウントのレジストリへの設定の確認

Windowsログオンのクライアントアプリケーションは、端末がADに参加しており、かつ、以下のレジストリが設定されている場合、SAMとUPNの相互変換を試みます。

レジストリキー 設定内容
HKEY_LOCAL_MACHINE\SOFTWARE\SGK\YubiOn\WlsConfig\LdapUser REG_SZ LDAP情報検索用ユーザーアカウントのID
HKEY_LOCAL_MACHINE\SOFTWARE\SGK\YubiOn\WlsConfig\LdapPassword REG_SZ LDAP情報検索用ユーザーアカウントのパスワード


AD参加している端末で、上記レジストリを登録し、設定ツールでADアカウントのログオン設定を行います。(参考)
「アカウントと認証器の割り当て」を行う際に、アカウント一覧の選択ボックスに表示されるアカウント名がUPNになっていれば正しく設定されています。

3. AD配下の端末全てにレジストリを配布

ADのグループポリシー管理機能を用いて、コンピューターの構成のレジストリ項目に2で指定したレジストリ内容を追加し、使用する全てのコンピューターにレジストリ内容を反映させます。
設定方法等についてはマイクロソフト社のマニュアル等を参考に、各AD環境ごとに適した方法で設定してください。

既にSAMで登録されたデータについて
以前にSAMで登録されたアカウント情報・アカウントとYubiKeyの割り当て情報がある場合、上記手順を行っていればそのままUPNでもご使用になれます。
ただし、その後設定ツールで追加した割り当て情報についてはUPNで登録されますので、アカウントとYubiKeyの割り当てを見た時、SAMとUPNの両方が登録されているように見えるようになります。
その場合、該当するアカウントは以下のような挙動になります。
* SAM・UPNいずれか(もしくは両方)に登録されているYubiKeyでログインする事が可能です。
* SAM・UPNいずれか(もしくは両方)が緊急ログオン設定になっている場合、緊急ログオンが可能です。

マイクロソフトアカウントとの重複について
端末のローカルアカウントに紐づいているマイクロソフトアカウントがあり、そのマイクロソフトアカウントのメールアドレスとADアカウントのUPNが重複している場合、マイクロソフトアカウントの方が優先されます。
そのような端末でADでのログオンにYubiKeyを用いた二要素認証を利用したい場合、SAMで登録する必要があります。