ID 保護プロファイルを使用して Microsoft Intune の Windows Hello for Business を管理する
ID 保護プロファイルを使用して、Microsoft Intune 内のデバイスグループの Windows Hello for Business を管理します。 Windows Hello for Business は、パスワード、スマート カード、および仮想スマート カードを置き換えることで Windows デバイスにサインインする方法です。 Intune には、管理者が Windows Hello for Business を構成および使用できるようになる組み込みの設定が含まれています。 たとえば、これらの設定を使用すると、次のようなことができます。
- デバイスとユーザーに対して Windows Hello for Business を有効にする
- PIN の長さの最小値または最大値など、デバイスの PIN の要件を設定する
- ユーザーがデバイスにサインインするために使用できる (または使用できない) 指紋などのジェスチャを許可する
この機能は、次を実行しているデバイスに適用されます。
- Windows 10
- Windows 11
Intune では、ID 保護プロファイルの使用に加えて、Windows Hello for Business の設定を管理するための次のオプションがサポートされています。
- デバイス登録の保証: デバイスがテナント全体のポリシーに登録されたときに Windows Hello を管理します。
- セキュリティ ベースライン: Windows Helloの一部の設定は、Microsoft Defender for EndpointセキュリティのベースラインやWindows 10以降のセキュリティ ベースラインなど、セキュリティ ベースラインによって管理できます。
- エンドポイント セキュリティのアカウント保護ポリシー: アカウント保護ポリシーには、Windows Hello で使用される設定の一部が含まれます。
注:
Windows Holographic for Business の構成に関心のあるお客様は、DeviceLock CSP を使用してください
Intune では、"構成プロファイル" を使用して、お客様の組織のニーズに合わせてこのような設定を作成およびカスタマイズします。 このような機能をプロファイルに追加したら、その設定を組織内のユーザーおよびデバイス グループにプッシュまたは展開します。
この記事では、デバイス構成プロファイルを作成する方法について説明します。 すべての設定の一覧とその実行内容については、Windows Hello for Business を有効にするための Windows デバイス設定に関するページを参照してください。
重要
Windows Hello for Business ポリシーのスコープと適用性が Intune によって判断される方法のため、ポリシーを適用した結果としてデバイスにイベント ID 454 が記録されることがあります。 ポリシーが正常に適用 (および実施) されている場合は、これを無視しても問題ありません。
デバイス プロファイルを作成する
Microsoft Intune管理センターにサインインします。
[デバイス]>[構成プロファイル]>[プロファイルの作成] の順に選択します。
次のプロパティを入力します。
- [プラットフォーム]: [Windows 10 以降] を選択します。
- [プロファイル]: [テンプレート]>[ID 保護] を選択します。
[作成] を選択します。
[Basics]\(基本\) で次のプロパティを入力します。
- 名前: 新しいプロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。
- 説明: プロファイルの説明を入力します。 この設定は省略可能ですが、推奨されます。
[次へ] を選んで続行します。
[構成設定] で、次の設定を構成します。
Windows Hello for Business の構成: Windows Hello for Business を構成する方法を次から選択します。
未構成 (既定値): デバイス上に Windows Hello for Business をプロビジョニングします。 ID 保護プロファイルをユーザーのみに割り当てた場合は、デバイス コンテキストは既定で [未構成] になります。
[無効]: Windows Hello for Business を使用しない場合は、このオプションを選択します。 このオプションを選択すると、すべてのユーザーの Windows Hello for Business が無効になります。
[有効]: Intune で Windows Hello for Business 設定をプロビジョニングし、構成するには、このオプションを選択します。 構成が必要な設定を入力します。 すべての設定の一覧とその動作については、Windows Hello for Business を有効にするための Windows デバイス設定に関するページを参照してください。
[サインインのセキュリティ キーを使用]: テナント内のすべての PC のサインイン資格情報として、Windows Hello セキュリティ キーを有効にします。
- Enable
- 未構成 (既定値)
[次へ] を選んで続行します。
[割り当て] で、このプロファイルを受け取るユーザーとデバイスのグループを選択します。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。
重要
複数のユーザーをデバイスにプロビジョニングできるようにするには、Windows Hello for Business ポリシーがデバイスに適用されるように指定します。 ポリシーをユーザーにのみ適用した場合は、1 人のユーザーしかデバイスにプロビジョニングできません。
[次へ] を選択します。
[適用性ルール] で、[ルール]、[プロパティ]、[値] オプションを使用して、割り当てられたグループ内でこのプロファイルを適用する方法を定義します。 Intune は、入力したルールを満たすデバイスにプロファイルを適用します。 適用性ルールの詳細については、適用性ルールに関するページを参照してください。
[次へ] を選択します。
[確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。