KB5065789 アップデート後にセキュリティ キーで PIN の入力を求める場合があると Microsoft が確認
<本文>
Microsoft は、2025 年 9 月 29 日のプレビュー更新 (KB5065789) およびその後の更新に続き、Windows 11 での FIDO2 セキュリティ キーの動作方法を更新しました。セキュリティ キーを使用してサインインするときに、PIN を作成するように求められる場合があります。これは、PIN が不要な場合や以前に設定されていた場合にも適用されます。
Microsoft によれば、この問題は、証明書利用者 (RP) または ID プロバイダー (IDP) が認証中に User Verification=Preferred を要求した場合に発生する可能性があると述べています。簡単に言うと、セキュリティ キーに PIN がまだ設定されていない場合、Windows は PIN の入力を求めるプロンプトを表示し、WebAuthn 仕様への準拠を確保します。
同社は、ロールアウトが 9 月のプレビュー更新で開始され、2025 年 11 月 11 日のセキュリティ更新プログラム (KB5068861) の後に完了したことを確認しました。このアップデートによりプロセスが標準化され、登録時に PIN が作成されなかった場合でも、認証中に PIN を設定できるようになります。
忘れてはいけないのですが、Microsoft は、セキュリティ キーを使用するユーザーが承認されていることを確認するユーザー検証 (UV) にもいくらか光を当てています。検証は非推奨、優先、または必須に設定できることに注意してください。マイクロソフトは次のように述べています。
User Verification=Preferredは、オーセンティケータがユーザー認証を行うことができる場合、RP がユーザー認証を必要とすることを意味します。つまり、PIN を設定する必要がある場合は、プラットフォームが設定する必要があります。
User Verification=Discouratedは、RP がユーザー認証を望まないことを意味します。 PIN が設定されていない場合は、設定する必要はありません (オーセンティケータ構成で必要な場合を除く)。登録フローと認証フローの両方で一貫性を保つために、認証フローでの PIN セットアップのサポートが追加されました。
さらに、ユーザーが PIN を作成または入力することを望まない組織は、PublicKeyCredentialRequestOptions で userVerification が Discourized に設定されていることを確認する必要があります。
via: ブリーピングコンピュータ
*️⃣ 出典リンク:
更新されました、KB5065789、 KB5068861、 ブリーピング コンピューター、