Configuration ManagerのWindows Hello for Business設定

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

Configuration Managerは、Windows Hello for Businessと統合されます。 (この機能は、以前は Microsoft Passport for Work と呼ばれるものでした)。Windows Hello for Businessは、Windows 10 デバイスの代替サインイン方法です。 Active Directory または Microsoft Entra アカウントを使用して、パスワード、スマート カード、または仮想スマート カードを置き換えます。 Hello for Business では、パスワードの代わりに ユーザー ジェスチャ を使用してサインインできます。 ユーザー ジェスチャは、PIN、生体認証、または指紋リーダーなどの外部デバイスである可能性があります。

重要

バージョン 2203 以降、この会社のリソース アクセス機能はサポートされなくなりました。 詳細については、「 リソース アクセスの非推奨に関してよく寄せられる質問」を参照してください。

Active Directory フェデレーション サービス (AD FS)登録機関 (ADFS RA) の展開がより簡単で、ユーザー エクスペリエンスが向上し、より明確な証明書登録エクスペリエンスが得られます。 Windows Hello for Businessを使用した証明書ベースの認証には ADFS RA を使用します。

詳しくは、「Windows Hello for Business」をご覧ください。

注:

Configuration Managerでは、このオプション機能は既定では有効になりません。 この機能を使用する前に、この機能を有効にする必要があります。 詳細については、「 更新プログラムからオプション機能を有効にする」を参照してください。

Configuration Managerは、次の方法でWindows Hello for Businessと統合されます。

  • サインインに使用できるジェスチャと使用できないジェスチャを制御します。

  • 認証証明書を Windows Hello for Business キー ストレージ プロバイダー (KSP) に格納します。 詳細については、「 証明書プロファイル」を参照してください。

  • Windows Hello for Business プロファイルを作成して展開し、Configuration Manager クライアントを実行するドメイン参加済みWindows 10デバイスでその設定を制御します。 バージョン 1910 以降では、証明書ベースの認証を使用できません。 キーベースの認証を使用する場合、証明書プロファイルをデプロイする必要はありません。

プロファイルを構成する

  1. 構成マネージャー コンソールで、[資産とコンプライアンス] ワークスペースに移動します。 [コンプライアンス設定] を展開し、[会社のリソース アクセス] を展開し、[Windows Hello for Business プロファイル] ノードを選択します。

  2. リボンで、[Windows Hello for Business プロファイルの作成] を選択してプロファイル ウィザードを開始します。

  3. [ 全般 ] ページで、このプロファイルの名前と説明 (省略可能) を指定します。

  4. [ サポートされているプラットフォーム ] ページで、このプロファイルを適用する OS バージョンを選択します。

  5. [ 設定] ページで、次の設定を構成します。

    • Windows Hello for Businessの構成: このプロファイルで Hello for Business を有効、無効、または構成しないかどうかを指定します。

    • トラステッド プラットフォーム モジュール (TPM) を使用する: TPM はデータ セキュリティの追加レイヤーを提供します。 次のいずれかの値を選択します。

      • 必須: アクセス可能な TPM を持つデバイスのみがWindows Hello for Businessをプロビジョニングできます。

      • 推奨: デバイスは最初に TPM の使用を試みます。 使用できない場合は、ソフトウェア暗号化を使用できます。

    • 認証方法: このオプションを [未構成] または [キーベース] に設定します。

      注:

      バージョン 1910 以降では、Configuration ManagerのWindows Hello for Business設定を使用した証明書ベースの認証はサポートされていません。

    • PIN の最小長の構成: ユーザーの PIN の最小長を必要とする場合は、このオプションを有効にして値を指定します。 有効にすると、既定値は です 4

    • 最大 PIN 長の構成: ユーザーの PIN の最大長を必要とする場合は、このオプションを有効にして値を指定します。 有効にすると、既定値は です 127

    • PIN の有効期限 (日数) が必要: ユーザーがデバイス PIN を変更する必要がある日数を指定します。

    • 以前の PIN の再利用を禁止する: ユーザーが以前に使用した PIN を使用できないようにします。

    • [PIN で大文字を要求する]: ユーザーが Windows Hello for Business PIN に大文字を含める必要があるかどうかを指定します。 次から選択します。

      • 許可: ユーザーは PIN で大文字を使用できますが、使用する必要はありません。

      • 必須: ユーザーは PIN に少なくとも 1 つの大文字を含める必要があります。

      • 許可されていません: ユーザーは PIN で大文字を使用できません。

    • PIN で小文字を要求する: ユーザーが Windows Hello for Business PIN に小文字を含める必要があるかどうかを指定します。 次から選択します。

      • 許可: ユーザーは PIN で小文字を使用できますが、使用する必要はありません。

      • 必須: ユーザーは PIN に少なくとも 1 つの小文字を含める必要があります。

      • 許可されていません: ユーザーは PIN で小文字を使用できません。

    • 特殊文字の構成: PIN での特殊文字の使用を指定します。 次から選択します。

      注:

      特殊文字には、次のセットが含まれます。

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • 許可: ユーザーは PIN で特殊文字を使用できますが、使用する必要はありません。

      • 必須: ユーザーは PIN に少なくとも 1 つの特殊文字を含める必要があります。

      • 許可されていません: ユーザーは PIN で特殊文字を使用できません。 この動作は、設定が [未構成] の場合にも当たります

    • PIN での数字の使用を構成する: PIN での数字の使用を指定します。 次から選択します。

      • 許可: ユーザーは PIN で数値を使用できますが、使用する必要はありません。

      • 必須: ユーザーは PIN に少なくとも 1 つの番号を含める必要があります。

      • 許可されていません: ユーザーは PIN で数値を使用できません。

    • 生体認証ジェスチャを有効にする: 顔認識や指紋などの生体認証を使用します。 これらのモードは、Windows Hello for Businessの PIN に代わる手段です。 生体認証が失敗した場合でも、ユーザーは PIN を構成します。

      [はい] に設定した場合、Windows Hello for Businessは生体認証を許可します。 [いいえ] に設定すると、Windows Hello for Businessはすべてのアカウントの種類に対する生体認証を禁止します。

    • 強化されたなりすまし対策を使用する: それをサポートするデバイスで強化されたスプーフィング対策を構成します。 [はい] に設定されている場合(サポートされている場合)、Windows では、すべてのユーザーが顔の機能に対してなりすまし対策を使用する必要があります。

    • 電話サインインを使用する: 携帯電話で 2 要素認証を構成します。

  6. ウィザードを終了します。

次のスクリーンショットは、Windows Hello for Businessプロファイル設定の例です。

使用可能な設定の一覧を表示するWindows Hello for Business ポリシー ウィザード

アクセス許可を構成する

  1. ドメイン管理者または同等の資格情報として、RSAT: Active Directory Domain Services と Lightweight Directory Services Tools というオプション機能がインストールされている、セキュリティで保護された管理ワークステーションにサインインします。

  2. Active Directory ユーザーとコンピューター コンソールを開きます。

  3. ドメインを選択し、[ アクション ] メニューに移動し、[ プロパティ] を選択します。

  4. [ セキュリティ ] タブに切り替え、[詳細設定] を選択 します

    ヒント

    [ セキュリティ ] タブが表示されない場合は、プロパティ ウィンドウを閉じます。 [表示] メニューに移動し、[高度な機能] を選択します。

  5. [追加] を選択します。

  6. [ プリンシパルの選択] を選択 し、「」と入力します Key Admins

  7. [ 適用対象 ] の一覧で、[ 子孫ユーザー オブジェクト] を選択します。

  8. ページの下部にある [ すべてクリア] を選択します。

  9. [ プロパティ ] セクションで、[ 読み取り msDS-KeyCredentialLink] を選択します。

  10. [ OK] を選択 して変更を保存し、すべてのウィンドウを閉じます。

次の手順

証明書プロファイル