ID 保護プロファイルを使用して Microsoft Intune の Windows Hello for Business を管理する
Microsoft Intune では、マネージド Windows デバイスで Windows Hello for Business を管理するために、デバイス構成に ID 保護 プロファイルを使用します。 Windows Hello for Business は、パスワード、スマート カード、および仮想スマート カードを置き換えることで Windows デバイスにサインインする方法です。
適用対象:
- Windows 10
- Windows 11
Intune Id 保護プロファイルを使用して Windows Hello for Business の設定を管理する場合は、次のことができます。
- デバイスとユーザーに対して Windows Hello for Business を有効にする
- PIN の長さの最小値または最大値など、デバイスの PIN の要件を設定する
- ユーザーがデバイスにサインインするために使用できる (または使用できない) 指紋などのジェスチャを許可する
この機能は、次を実行しているデバイスに適用されます。
Id 保護プロファイルに加えて、Intune では、Windows Hello for Business の設定を管理するための次のオプションがサポートされています。
- デバイス登録中: デバイスが Intune に登録された時点で、Windows Hello 設定をデバイスに適用するテナント全体のポリシーを構成します。
- セキュリティ ベースライン: Windows Hello の一部の設定は、 Microsoft Defender for Endpoint セキュリティ のベースラインや Windows 10 以降のセキュリティ ベースラインなど、Intune のセキュリティ ベースラインを使用して管理できます。
- エンドポイント セキュリティのアカウント保護ポリシー: アカウント保護ポリシーには、Windows Hello で使用される設定の一部が含まれます。
注:
Windows Holographic for Business の構成に関心のあるお客様は、DeviceLock CSP を使用してください
この記事では、ID 保護用のデバイス構成プロファイルを作成する方法について説明します。 すべての設定の一覧とその実行内容については、Windows Hello for Business を有効にするための Windows デバイス設定に関するページを参照してください。
重要
Intune が Windows Hello for Business ポリシーのスコープと適用可能性を決定する方法により、デバイスはポリシーを適用した結果、 イベント ID 454 をログに記録する可能性があります。 ポリシーが正常に適用 (および実施) されている場合は、これを無視しても問題ありません。
デバイス プロファイルを作成する
Microsoft Intune 管理センターにサインインします。
[デバイス>管理デバイス>構成>作成] を選択します。
次のプロパティを入力します。
- [プラットフォーム]: [Windows 10 以降] を選択します。
- [プロファイル]: [テンプレート]>[ID 保護] を選択します。
[作成] を選択します。
[Basics]\(基本\) で次のプロパティを入力します。
- 名前: 新しいプロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。
- 説明: プロファイルの説明を入力します。 この設定は省略可能ですが、推奨されます。
[次へ] を選んで続行します。
[構成設定] で、次の設定を構成します。
Windows Hello for Business の構成: Windows Hello for Business を構成する方法を次から選択します。
未構成 (既定値): デバイス上に Windows Hello for Business をプロビジョニングします。 ID 保護プロファイルをユーザーのみに割り当てた場合は、デバイス コンテキストは既定で [未構成] になります。
[無効]: Windows Hello for Business を使用しない場合は、このオプションを選択します。 このオプションを選択すると、すべてのユーザーの Windows Hello for Business が無効になります。
[有効]: Intune で Windows Hello for Business 設定をプロビジョニングし、構成するには、このオプションを選択します。 構成が必要な設定を入力します。 すべての設定の一覧とその動作については、Windows Hello for Business を有効にするための Windows デバイス設定に関するページを参照してください。
[サインインのセキュリティ キーを使用]: テナント内のすべての PC のサインイン資格情報として、Windows Hello セキュリティ キーを有効にします。
- Enable
- 未構成 (既定値)
[次へ] を選んで続行します。
[割り当て] で、このプロファイルを受け取るユーザーとデバイスのグループを選択します。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。
重要
複数のユーザーをデバイスにプロビジョニングできるようにするには、Windows Hello for Business ポリシーがデバイスに適用されるように指定します。 ポリシーをユーザーにのみ適用した場合は、1 人のユーザーしかデバイスにプロビジョニングできません。
[次へ] を選択します。
[適用性ルール] で、[ルール]、[プロパティ]、[値] オプションを使用して、割り当てられたグループ内でこのプロファイルを適用する方法を定義します。 Intune は、入力したルールを満たすデバイスにプロファイルを適用します。 適用性ルールの詳細については、適用性ルールに関するページを参照してください。
[次へ] を選択します。
[確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。
次の手順
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示