次の方法で共有


Windows Hello for Business ポリシー設定

このリファレンス記事では、Windows Hello for Business のポリシー設定の包括的な一覧を提供します。 設定の一覧はアルファベット順に並べ替えられて、次の 4 つのカテゴリに分類されます。

  • 機能設定: Windows Hello for Business を有効にし、基本的なオプションを構成するために使用されます
  • PIN 設定: PIN の複雑さと回復など、PIN 認証を構成するために使用されます
  • 生体認証設定: 生体認証の構成に使用されます
  • スマート カードの設定: Windows Hello for Business と組み合わせて使用されるスマート カード認証を構成するために使用されます

これらの設定を構成する方法については、「 Windows Hello for Business の構成」を参照してください。

いずれかのタブを選択して、使用可能な設定の一覧を表示します。

名前の設定 CSP GPO
デバイスのロック解除要素を構成する
動的ロック係数を構成する
ハードウェアのセキュリティ デバイスを使用する
オンプレミスの認証に証明書を使用する
オンプレミス認証にクラウド (Kerberos) 信頼を使用する
Windows Hello for Business の使用

デバイスのロック解除要素を構成する

1 番目と 2 番目のロック解除要素として使用されるように、顔や指紋プロバイダー GUID などの資格情報プロバイダー GUID のコンマ区切りの一覧を構成します。 信頼されたシグナル プロバイダーがロック解除要因の 1 つとして指定されている場合は、検証するシグナルの種類ごとに xml 形式のシグナル ルールのコンマ区切りリストも構成する必要があります。

このポリシー設定を有効にした場合、ユーザーは各リストの 1 つの要素を使用して正常にロックを解除する必要があります。 このポリシー設定を無効にするか、構成しない場合、ユーザーは既存のオプションを使用して引き続きロックを解除できます。

パス
CSP ./Device/Vendor/MSFT/PassportForWork/DeviceUnlock
GPO コンピューターの構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business

詳細については、「 多要素ロック解除」を参照してください。

動的ロック係数を構成する

シグナルの種類ごとに xml 形式でシグナル ルールのコンマ区切りリストを構成します。

  • このポリシー設定を有効にすると、シグナル ルールが評価され、ユーザーの不在が検出され、デバイスが自動的にロックされます
  • 設定を無効にするか、構成しなかった場合、ユーザーは既存のオプションでロックを続行できます
パス
CSP ./Device/Vendor/MSFT/PassportForWork/DynamicLock/DynamicLock
GPO コンピューターの構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business

ハードウェアのセキュリティ デバイスを使用する

トラステッド プラットフォーム モジュール (TPM) は、ソフトウェアによって保護されたデータを他のデバイスで使用できないため、ソフトウェアに比して追加のセキュリティ上の利点を提供します。

  • このポリシー設定を有効にすると、Windows Hello for Business プロビジョニングは、使用可能な 1.2 または 2.0 の TPM を持つデバイスでのみ行われます。 必要に応じて TPM リビジョン 1.2 モジュールを除外できます。これにより、これらのデバイスでの Windows Hello for Business プロビジョニングを禁止できます

    ヒント

    TPM 1.2 仕様では、RSA と SHA-1 ハッシュ アルゴリズムのみを使用できます。 TPM 1.2 の実装はポリシー設定によって異なるため、ロックアウト ポリシーが異なるため、サポートの問題が発生する可能性があります。 Windows Hello for Business プロビジョニングから TPM 1.2 デバイスを除外することをお勧めします。 -このポリシー設定を無効にした場合、または構成しない場合でも TPM が推奨されますが、TPM が機能しない場合や使用できない場合は、すべてのデバイスでソフトウェアを使用して Windows Hello for Business をプロビジョニングできます。

パス
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/TPM12
GPO コンピューターの構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business

オンプレミスの認証に証明書を使用する

このポリシー設定を使用して、オンプレミス認証に使用されるサインイン証明書を登録するように Windows Hello for Business を構成します。

  • このポリシー設定を有効にした場合、Windows Hello for Business は、オンプレミス認証に使用されるサインイン証明書を登録します
  • このポリシー設定を無効にした場合、または構成しなかった場合、Windows Hello for Business では、オンプレミス認証にキーまたは Kerberos チケット (他のポリシー設定に応じて) が使用されます
パス
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth
GPO コンピューターの構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business

ユーザー構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business

オンプレミス認証にクラウド信頼を使用する

このポリシー設定を使用して、クラウド Kerberos 信頼モデルを使用するように Windows Hello for Business を構成します。

  • このポリシー設定を有効にすると、Windows Hello for Business は、認証から Microsoft Entra ID に取得した Kerberos チケットをオンプレミス認証に使用します
  • このポリシー設定を無効にするか、構成しない場合、Windows Hello for Business では、オンプレミス認証にキーまたは証明書 (他のポリシー設定に応じて) が使用されます
パス
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth
GPO コンピューターの構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business

Cloud Kerberos の信頼は、証明書の信頼と互換性がありません。 証明書信頼ポリシー設定が有効になっている場合は、このポリシー設定よりも優先されます。

Windows Hello for Business の使用

  • このポリシーを有効にした場合、デバイスは、すべてのユーザーのキーまたは証明書を使用して Windows Hello for Business をプロビジョニングします
  • このポリシー設定を無効にした場合、デバイスはどのユーザーにも Windows Hello for Business をプロビジョニングしません
  • このポリシー設定を構成しない場合、ユーザーは Windows Hello for Business をプロビジョニングできます

Microsoft 以外のソリューションを使用して Windows Hello for Business をプロビジョニング する場合は、[サインイン後に Windows Hello プロビジョニングを開始しない] オプションを選択します。

  • [サインイン後に Windows Hello プロビジョニングを開始しない] を選択した場合、ユーザーがサインインした後に Windows Hello for Business は自動的にプロビジョニングを開始しません
  • [サインイン後に Windows Hello プロビジョニングを開始しない] を選択しない場合、ユーザーがサインインした後、Windows Hello for Business は自動的にプロビジョニングを開始します
パス
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonProvisioning
GPO コンピューターの構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business

ユーザー構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business