Windows Hello for Business の構成
この記事では、organizationでWindows Hello for Businessを構成するオプションと、それらを実装する方法について説明します。
構成オプション
次のオプションを使用してWindows Hello for Businessを構成できます。
- 構成サービス プロバイダー (CSP): Microsoft Intuneなど、モバイル デバイス管理 (MDM) ソリューションによって管理されるデバイスでよく使用されます。 CSP はプロビジョニング パッケージを使用して構成することもできます。これは通常、デプロイ時または非管理対象デバイスで使用されます。 Windows Hello for Businessを構成するには、PassportForWork CSP を使用します
- グループ ポリシー (GPO): Active Directory に参加しているデバイス、またはハイブリッドに参加Microsoft Entraデバイス管理ソリューションによって管理されていないデバイスに使用されます
ポリシーの優先順位
一部のWindows Hello for Business ポリシーは、コンピューターとユーザーの構成の両方で使用できます。 次の一覧では、Windows Hello for Businessのポリシーの優先順位について説明します。
- ユーザー ポリシーは、コンピューター ポリシーよりも優先されます。 ユーザー ポリシーが設定されている場合、対応するコンピューター ポリシーは無視されます。 ユーザー ポリシーが設定されていない場合は、コンピューター ポリシーが使用されます
- Windows Hello for Businessポリシー設定は、次の階層を使用して適用されます。
- ユーザー - GPO
- コンピューター - GPO
- ユーザー - PassportForWork CSP
- デバイス - PassportForWork CSP
- Exchange Active Sync - DeviceLock CSP
重要
DeviceLock CSP によって定義されたパスワードの長さと複雑さの設定、PassportForWork CSP によって定義された PIN の長さと複雑さの設定を構成する場合、Windows は、管理ポリシーのセットから最も厳格なポリシーを適用します。
DeviceLock CSP は、Exchange ActiveSync ポリシー (EAS) エンジンを利用します。 詳細については、「Exchange ActiveSync ポリシー エンジンの概要」を参照してください。
注
文字または特殊文字を要求するようにポリシーが明示的に構成されていない場合、ユーザーは必要に応じて英数字 PIN を設定できます。
Microsoft Entra テナント ID を取得する
CSP または異なるWindows Hello for Business ポリシー設定のレジストリを使用した構成では、デバイスが登録されているMicrosoft Entra テナント ID を指定する必要があります。
テナント ID を検索するには、「Microsoft Entra テナント ID を見つける方法」を参照するか、次を試して、organizationのアカウントでサインインしてください。
GET https://graph.microsoft.com/v1.0/organization?$select=id
たとえば、PassportForWork CSP のドキュメントでは、OMA-URI を使用してWindows Hello for Business オプションを構成する方法について説明します。
./Device/Vendor/MSFT/PassportForWork/{TenantId}
デバイスを構成するときは、TenantID
をMicrosoft Entraテナント ID に置き換えます。 たとえば、Microsoft Entraテナント ID がdcd219dd-bc68-4b9b-bf0b-4a33a796be35
されている場合、OMA-URI は次のようになります。
./Device/Vendor/MSFT/PassportForWork/{dcd219dd-bc68-4b9b-bf0b-4a33a796be35}
Microsoft Intuneを使用してWindows Hello for Businessを構成する
Microsoft Entra参加済みデバイスと、Intuneに登録されているハイブリッド参加済みデバイスMicrosoft Entra場合は、Intune ポリシーを使用してWindows Hello for Businessを管理できます。
IntuneでWindows Hello for Businessを有効にして構成するには、さまざまな方法があります。
- テナント レベルで適用されるポリシーの使用。 テナント ポリシー:
- は登録時にのみ適用され、その構成に対する変更は、Intuneに既に登録されているデバイスには適用されません。
- これは、Intuneに登録されているすべてのデバイスに適用されます。 このため、ポリシーは通常無効になり、セキュリティ グループを対象とするポリシーを使用してWindows Hello for Businessが有効になります
- デバイス登録 後 に適用されるデバイス構成ポリシー。 ポリシーに対する変更は、通常のポリシー更新間隔中にデバイスに適用されます。 選択できるポリシーの種類は次のとおりです。
テナント全体のポリシーを確認する
登録時に適用されるWindows Hello for Business ポリシー設定をチェックするには:
Microsoft Intune管理センターにサインインする
[デバイス>Windows>Windows 登録] を選択します
[Windows Hello for Business] を選択します
[Windows Hello for Businessの構成] の状態と、構成される可能性がある設定を確認します
複数のポリシー ソースでのポリシーの競合
Windows Hello for Businessは GPO または CSP で構成できますが、両方の組み合わせでは構成できません。 予期しない結果が発生する可能性があるため、Windows Hello for Businessに GPO と CSP ポリシー設定を混在させないでください。 GPO と CSP ポリシー設定を混在させる場合、競合する CSP 設定は、グループ ポリシー設定がクリアされるまで適用されません。
重要
MDMWinsOverGP ポリシー設定は、Windows Hello for Businessには適用されません。 MDMWinsOverGP はポリシー CSP のポリシーにのみ適用されますが、Windows Hello for Business ポリシーは PassportForWork CSP にあります。
注
Microsoft Intuneを使用したWindows Hello for Business構成の展開の詳細については、「Windows デバイスの設定」を参照して、Intune と PassportForWork CSP でWindows Hello for Businessを有効にします。
Windows Hello for Business登録を無効にする
Windows Hello for Businessは、Microsoft Entra参加しているデバイスに対して既定で有効になっています。 自動有効化を無効にする必要がある場合は、次のようなさまざまなオプションがあります。
- テナント全体のポリシーを使用してWindows Helloを無効にする
- 登録状態ページ (ESP) を有効にしながら、Intuneで使用できるポリシーの種類のいずれかを使用して無効にします。 ESP は、デバイスが必要なすべてのポリシーを受け取るまで、ユーザーがデスクトップにアクセスできないように構成できます。 詳細については、「 登録状態ページの設定」を参照してください。 構成するポリシー設定は、[使用] Windows Hello for Business
- Windows Hello for Businessを無効にするプロビジョニング パッケージを使用してデバイスをプロビジョニングします。 詳細については、「Windows 用パッケージのプロビジョニング」を参照してください。
- OS の展開中にレジストリ設定を変更してWindows Hello for Businessを無効にできるスクリプトソリューション
構成の種類 | 詳細 |
---|---|
CSP (ユーザー) |
キー パス: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\UserSid\Policies キー名: UsePassportForWork 型: REG_DWORD 値: 1 を有効にする0 を無効にする |
CSP (デバイス) |
キー パス: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\Device\Policies キー名: UsePassportForWork 型: REG_DWORD 値: 1 を有効にする0 を無効にする |
GPO (ユーザー) |
キー パス: HKEY_USERS\<UserSID>\SOFTWARE\Policies\Microsoft\PassportForWork キー名: Enabled 型: REG_DWORD 値: 1 を有効にする0 を無効にする |
GPO (デバイス) |
キー パス: KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork キー名: Enabled 型: REG_DWORD 値: 1 を有効にする0 を無効にする |
注
競合するデバイス ポリシーとユーザー ポリシーがある場合は、ユーザー ポリシーが優先されます。 MDM ポリシーと競合する可能性があるローカル GPO またはレジストリ設定を作成することはお勧めしません。 この競合により、予期しない結果が発生する可能性があります。
次のステップ
Windows Hello for Businessポリシー設定の一覧については、「Windows Hello for Business ポリシー設定」を参照してください。
Windows Hello for Business機能とその構成方法の詳細については、次を参照してください。