Windows Hello for Businessの Intune での ID 保護プロファイルの設定
注:
Intune では、この記事に記載されている設定よりも多くの設定がサポートされる場合があります。 すべての設定が文書化されているわけではないので、文書化されません。 構成できる設定を確認するには、デバイス構成ポリシーを作成し、[ 設定カタログ] を選択します。 詳細については、「 設定カタログ」を参照してください。
この記事では、ID 保護プロファイルで構成できるWindows Hello for Business設定について説明します。 ID 保護プロファイルは、Microsoft Intuneのデバイス構成ポリシーの一部です。 ID 保護プロファイルを使用すると、Windows 10/11 デバイスの個別のグループで設定を構成できます。 デバイス登録の一環としてテナント全体Windows Hello for Business構成するには、「Windows Hello for Business と統合する」の「Windows Hello for Business ポリシーの作成」セクションを参照してください。Microsoft Intune。 このセクションでは、テナント全体の構成ポリシーを作成する方法だけでなく、登録ポリシーの設定についても説明します。
これらの設定の詳細については、Windows Helloドキュメントの「Windows Hello for Business ポリシー設定の構成」を参照してください。
Intune の ID 保護プロファイルの詳細については、「ID 保護の 構成」を参照してください。
開始する前に
Windows Hello for Business
Windows Hello for Businessを構成する:
[未構成] (既定値) - Intune を使用してWindows Hello for Business設定を制御しない場合は、この設定を選択します。 Windows 10/11 デバイスの既存のWindows Hello for Business設定は変更されません。 ウィンドウ上の他のすべての設定が使用できなくなります。
無効 - Windows Hello for Businessを使用しない場合は、この設定を選択します。 その後、画面上の他のすべての設定は使用できません。
[有効] - Windows Hello for Business設定を構成する場合は、この設定を選択します。
[有効] に設定すると、次の設定を使用できます。
[PIN の最小の長さ]
デバイスの PIN の最小長を 4 文字から 127 文字まで指定します。 既定では、この設定は [未構成] です。PIN の最大長
デバイスの最大 PIN 長を 4 文字から 127 文字まで指定します。 既定では、この設定は [未構成] です。PIN での小文字
必要に応じて、ユーザー PIN に小文字を少なくとも 1 つ含める必要があります。 既定では、この設定は [未構成] です。- [許可されていません] - PIN でユーザーが小文字を使用できないようにブロックします。 この動作は、設定が構成されていない場合にも発生します。
- 許可 - ユーザーが PIN で小文字を使用することを許可しますが、必須ではありません。
- 必須 - ユーザーは PIN に少なくとも 1 つの小文字を含める必要があります。 たとえば、一般的なのは、少なくとも 1 つの大文字と 1 つの特殊文字の使用を要求する方法です。
PIN での大文字
必要に応じて、ユーザー PIN に少なくとも 1 つの大文字を含める必要があります。 既定では、この設定は [未構成] です。- [許可されていません] - PIN でユーザーが大文字を使用できないようにブロックします。 この動作は、設定が構成されていない場合にも発生します。
- 許可 - ユーザーが PIN で大文字を使用することを許可しますが、必須ではありません。
- 必須 - ユーザーは PIN に少なくとも 1 つの大文字を含める必要があります。 たとえば、一般的なのは、少なくとも 1 つの大文字と 1 つの特殊文字の使用を要求する方法です。
PIN での特殊文字
必要に応じて、ユーザー PIN に少なくとも 1 つの特殊文字を含める必要があります。 特殊文字は次のとおりです。! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- 許可されていません (既定値) - PIN でユーザーが特殊文字を使用できないようにブロックします。 この動作は、設定が構成されていない場合にも発生します。
- 許可 - ユーザーが PIN で大文字を使用することを許可しますが、必須ではありません。
- 必須 - ユーザーは PIN に少なくとも 1 つの大文字を含める必要があります。 たとえば、一般的なのは、少なくとも 1 つの大文字と 1 つの特殊文字の使用を要求する方法です。
PIN の有効期間 (日)
構成されている場合、ユーザーは設定された日数の後に PIN の変更を強制されます。 ユーザーは、有効期限が切れる前に PIN を事前に変更できます。 既定では、この設定は [未構成] です。PIN の履歴を保存
構成されている場合、ユーザーはこの数の以前の PIN を再利用できません。 既定では、この設定は [未構成] です。PIN 回復を有効にする
ユーザーがWindows Hello for Business PIN 回復サービスを使用できるようにします。- 有効にする - PIN 回復シークレットはデバイスに保存され、必要に応じてユーザーは PIN を変更できます。
- 未構成 (既定値) - 回復シークレットは作成または格納されません。
トラステッド プラットフォーム モジュール (TPM) を使用する
TPM チップは、追加のデータのセキュリティ層を提供します。- 有効にする - アクセス可能な TPM を持つデバイスのみがWindows Hello for Businessをプロビジョニングできます。
- 未構成 (既定値) - デバイスは最初に TPM の使用を試みます。 TPM を使用できない場合は、ソフトウェア暗号化を使用できます。
生体認証を許可する
許可されている場合、Windows Hello for Businessは顔や指紋などのジェスチャを使用して認証できます。 エラーが発生した場合でも、ユーザーは PIN を構成する必要があります。- 有効 - Windows Hello for Businessは生体認証を許可します。
- 未構成 (既定値) - Windows Hello for Businessは、生体認証 (すべてのアカウントの種類) を防止します。
拡張なりすまし対策を使用する (使用可能な場合)
有効にした場合、デバイスは、使用可能な場合は強化されたなりすまし対策を使用します (たとえば、実際の顔ではなく顔の写真を検出するなど)。- 有効にする - Windows では、サポートされている場合、すべてのユーザーが顔機能のスプーフィング対策を使用する必要があります。
- [未構成 ] (既定値) - Windows では、デバイス上のスプーフィング対策構成が適用されます。
オンプレミス リソースの証明書
- [有効] - Windows Hello for Businessが証明書を使用してオンプレミスのリソースに対して認証できるようにします。
- [未構成] (既定値) - Windows Hello for Businessが証明書を使用してオンプレミスのリソースに対する認証を行わないようにします。 代わりに、デバイスでは、 オンプレミスのキー信頼認証の既定の動作が使用されます。 詳細については、Windows Helloドキュメントの「オンプレミス認証のユーザー証明書」を参照してください。
サインインにセキュリティ キーを使用する
この設定は、バージョン 1903 以降Windows 10実行されているデバイス、またはWindows 11で使用できます。 これを使用して、サインインにWindows Helloセキュリティ キーを使用するためのサポートを管理します。- 有効にする - ユーザーは、このポリシーを対象とする PC のサインイン資格情報として、Windows Helloセキュリティ キーを使用できます。
- 未構成 - セキュリティ キーは無効になっており、ユーザーはそれらを使用して PC にサインインできません。
次の手順
プロファイルを割り当て、その状態を監視します。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示