WINDOWSリモートデスクトップ用2要素認証
ハードウェアとソフトウェアの多様な認証方法:
- Google認証システムによるワンタイムパスワード
- HOTPジェネレータードングル
- OTPコードを使用したSMSベースの認証
- iKeyやeTokenなどのPKCS#11互換のHSMトークン

小さなソフトウェア
Rohos Logon Keyには、リモートデスクトップアクセスの2要素認証の方法を定義するためのシンプルなコントロールパネルと単一の2要素認証設定ダイアログがあります。
簡単インストール
Rohos Logon Keyは、Windowsターミナルサーバーホストに直接インストールされ、DCのポリシーやADスキーマに影響を与えることなく、インタラクティブ認証プロセスにのみ統合されます。
多様性
従来のPKCS#11互換のHSMトークンを選択し、いくつかのメーカーのデバイスを組み合わせることが可能です。どんなスマートフォンでも動作するGoogle認証システムのような最新のワンタイムパスワードジェネレーターをお試しください。通常のUSBフラッシュドライブを認証デバイスとして利用することもできます。
Windowsリモートデスクトップ用の安全な2要素認証
USBフラッシュドライブを認証キーとして使用するので安全です。iKey / eTokenやスマートカードJavaCard / MiFare 1KなどのPKCS#11ハードウェアセキュリティモジュール
機能
2FAポリシー
WAN / LAN IPフィルター、ユーザーADグループメンバーシップ、ユーザーのリスト、またはリモートデスクトップ接続のみ。
キー管理コンソール
認証キーを1か所で作成および編集します。
緊急パスワード
緊急ログインパスワードを使用してログインすることにより、操作の中断を防ぎます。
Active Directory
自動化された事前構成済みインストールを使用して、アクティブディレクトリ内の任意のターミナルサーバーに簡単に複製できます。
ワンタイムパスワードに基づく
業界標準のさまざまなワンタイムパスワードがサポートされています。
OATH準拠
Google Authenticator、Yubikey、セキュアIDなど。
SMSによる認証
SMSでOTPコードをユーザーの携帯電話に配信します。
緊急パスワード
緊急ログインパスワードを使用すると、ユーザーはログインして操作の中断を回避できます。
Active Directory
アクティブディレクトリから情報と2要素認証ポリシーを読み込みます。
2要素認証を組み合わせる
1つのサーバーで、OTPに対応した認証を自由に組み合わせることができます。
使い方
Windowsターミナルサービスのログイン画面に統合されています。これは、既存の認証基盤に2要素認証を追加することで機能します。2要素認証ポリシーを適用した後、ユーザーは追加のセキュリティデバイスを使用することによってのみリモートデスクトップセッションにログインできます。
リモートデスクトップアクセス制御の利点:
- 適用条件を、ユーザーリスト、ADユーザーグループ、リモートデスクトップユーザーのみ、から選択できます
- ユーザーはログインするたびにUSBトークンを提供する必要があります
- 生成された各キーは一意であり、ユーザーが複製することはできません
- USBキーは、リモートデスクトップを介してターミナルサーバーまたはローカル管理者PCで構成できます
- ログイン元のクライアントPC /デバイスにRohosをインストールする必要はありません
- 異なるベンダーのPKCS#11トークンを同時に使用できます
多様性による、より高いセキュリティレベル:
- ユーザーログイン+ SafeNet、eToken、iKey、ePass、その他のPKCS#11などのUSBキーを利用できます
- ユーザーログイン+ USBフラッシュドライブ
- 暗号化されたパスワードのみがUSBトークンに保存されます
- あらゆるタイプのワンタイムパスワードに対応:Google Authenticator、Yubikey、SMS認証、または従来のOTPトークン
USBトークンを設定する方法
1.ターミナルサーバーにRohos Logon Keyをインストールします
2.管理者のコンピューターにRohos管理ツールまたはRohos Logon Keyをインストールします
3.認証用のUSBトークンの構成:
MS リモートデスクトップ接続設定で、ローカルUSBドライブまたはスマートカードリーダーをリモートデスクトップにリダイレクトするように指定します。
リモートデスクトップで、Rohos Logon Keyを開きます。
「USBキーの設定」ボタンをクリックします。リダイレクトされたUSBキーが検出されます。Windowsパスワードを入力し、[セットアップ]をクリックします。

ユーザーとキーコマンドを起動すると、キーを準備したユーザーのリストが表示されます。
4.を適用します
Rohos Logon Key > オプション > USBキーを使用してのみログインを許可 > リスト内のユーザーまたはリモートデスクトップログイン用に開きます。USBキーなしでのログインを無効にすることでセキュリティを強化します。
可能な選択肢は次の通りです。
- 未設定
すべてのユーザーは、手動のパスワード入力とUSBキーを使用してログインできます。ターミナルサーバーにはお勧めしません。
- すべてのユーザー
これは、「USBキーによるログインのみを許可する」のと同じです。すべてのユーザーは、ログインするためにUSBキーを使用する必要があります。
- リストに入っているユーザーのみ
場合ログインにUSBキーを使用する必要があるのは、リストのユーザーのみです。他のユーザーはパスワードでログインできます。このリストは、ユーザーのUSBキーが作成されると自動的に作成されます。
- アクティブディレクトリの「rohos」のユーザーグループ
「rohos」グループの各ユーザは、USB Key 認証を強制的に使用します。ユーザが「rhos」グループに所属しているかどうかを確認し、所属していない場合はパスワードによるログインを許可します。
注意:「rohos」ユーザーグループは、AD管理者が作成する必要があります。
- リモートデスクトップでログイン
ローカルユーザーは、USBキーの有無にかかわらずログインできます。リモートログインはUSBキーでのみ可能です。
- LAN外からリモートデスクトップでログイン
リモートデスクトップログインの場合、LAN内のリモートデスクトップログインは、USBキーの有無にかかわらず可能になります。USBキーは、ダイヤルアップ、DSL接続、およびその他のネットワークからアクセスしたユーザーのみが使用する必要があります。
USBトークンによるリモートデスクトップ接続
クライアントPCにRohos Logon Keyをインストールしたか、USBフラッシュドライブからRohos Logon Keyポータブルアプリを起動したことを確認してください。
リモートデスクトップ接続の資格情報プロンプト
ユーザーは、このステップで有効なログインとパスワードを提供する必要があります。ここでも認証キーを使用できます(Rohos USB Key Managerのみで構成する必要があります)。
Rohos Logon Keyは2FA認証ポリシーをチェックし、リモートデスクトップへの接続中に接続された認証キーを確認します。
ポータブルROHOS LOGON KEY
USBフラッシュドライブと認証の最初のバリアントを使用することにした場合、全てのワークステーションにRohos Logon Keyをインストールする必要はありません。無料のポータブルアプリケーションのみインストールする必要があります。
場合によっては、そのようなワークステーションから新しいUSBキーを構成することもできます。
一部のシステムではそれが不可能なので、そのような場合に新しいキーを作成するには、両方のコンピューターにRohos Logon Keyをインストールする必要があります。
ポータブルRohosログオンキーをダウンロードする
また、USBキーマネージャーアプリケーションには、Rohos Remote LoginをUSBドライブにコピーするための追加オプションがあります。
ユーザーは、WindowsクライアントのPCでLogon Key(RDPセットアップ)アプリケーションを1回実行し、その後RemoteDesctiopアプリケーションを起動する必要があります。