会社からスマホは貸与されてない
個人のスマホで業務用アカウントの認証をするのはちょっと困る
担当者が異動したら、アプリの引き継ぎができない
こんな声、耳にしたことありませんか?
Microsoftアカウントの多要素認証(MFA※) は強力なセキュリティ手段ですが、スマホアプリ(Microsoft Authenticator)前提の運用では、現場で詰まりがちです。
そこで登場するのが、PC上でTOTP(ワンタイムパスワード)を管理できるツール「WinAuth」です。
今回は、WinAuthを使ってスマホなしで2FAを実現する手順を解説します。
※MFAは 「Multi-Factor Authentication」の略です。
対象となるケース例
- 会社から業務用スマートフォンが貸与されていない
- 個人のスマートフォンで業務アカウントの認証をしたくない
- 担当者の異動・退職でアプリ引き継ぎができない
- セキュリティログや認証方法をローカルで管理したい
- オフライン環境下で認証コードを発行したい
こういったニーズに対応できるのが、今回紹介する方法です。
※ご利用にあたっては、あらかじめ組織のセキュリティポリシーをご確認の上、ご利用ください。
必要なもの
- Windows PC(WinAuthをインストール可能な環境)
- Microsoftアカウント(2段階認証が有効な状態)
- WinAuth(インストール用EXEファイル)
Step 1:WinAuthのインストール
- WinAuthの公式ページから最新版をダウンロード(記事執筆時点ではv3.5)
- zipファイルを解凍し、WinAuth.exe を起動
Step 2:Microsoftアカウントで2段階認証を設定
- Microsoftアカウントの「セキュリティ情報の管理」ページへアクセス
- 「サインイン方法の追加」を選択
- 「アプリを使って認証」を選び、「別の認証アプリを設定します」をクリック
- 表示される「秘密鍵(手動設定用の文字列)」をコピー
Step 3:WinAuthにMicrosoftアカウントを登録
- WinAuthを起動し、「Add」ボタン →「Authenticator」を選択
- 表示された項目7にある入力欄に、Step2でコピーした秘密鍵を入力
- Verify Authenticatorをクリックするとコードが生成されるのでコピーをする
- OKをして閉じた後、Microsoftの確認画面で入力し認証成功させる
Step 4:WinAuthのセキュリティ設定(推奨)
パスワード設定(起動時に入力を要求)ChangeProtectionより設定
WinAuth設定のエクスポート(バックアップ目的)
補足:WinAuth運用上の注意点
- WinAuthは現在メンテナンスが終了しており、今後のセキュリティ更新は行われない見込みです
- そのため、PC自体のセキュリティ管理(暗号化・パスワード保護など)を徹底することが必須です
- WinAuthの設定ファイルは暗号化せず保存されるため、WinAuthへのパスワード設定は強く推奨
まとめ
WinAuthを使えば、「スマホがない」「個人スマホに入れたくない」といった現場課題に柔軟に対応できます。
とはいえ、WinAuthはサポート終了ソフトなので、用途を限定して使い、常に代替策を用意しておくことが理想です。
「スマホレスな2FA運用」の選択肢として、この方法をお試しするのはいかがでしょうか。