Windows Hello for Businessの Intune での ID 保護プロファイルの設定

注:

Intune では、この記事に記載されている設定よりも多くの設定がサポートされる場合があります。 すべての設定が文書化されているわけではないので、文書化されません。 構成できる設定を確認するには、デバイス構成ポリシーを作成し、[ 設定カタログ] を選択します。 詳細については、「 設定カタログ」を参照してください。

この記事では、ID 保護プロファイルで構成できるWindows Hello for Business設定について説明します。 ID 保護プロファイルは、Microsoft Intuneのデバイス構成ポリシーの一部です。 ID 保護プロファイルを使用すると、Windows 10/11 デバイスの個別のグループで設定を構成できます。 デバイス登録の一環としてテナント全体Windows Hello for Business構成するには、「Windows Hello for Business と統合する」の「Windows Hello for Business ポリシーの作成」セクションを参照してください。Microsoft Intune。 このセクションでは、テナント全体の構成ポリシーを作成する方法だけでなく、登録ポリシーの設定についても説明します。

これらの設定の詳細については、Windows Helloドキュメントの「Windows Hello for Business ポリシー設定の構成」を参照してください。

Intune の ID 保護プロファイルの詳細については、「ID 保護の 構成」を参照してください。

開始する前に

構成プロファイルを作成します。

Windows Hello for Business

• Windows Hello for Businessを構成する:

  • [未構成] (既定値) - Intune を使用してWindows Hello for Business設定を制御しない場合は、この設定を選択します。 Windows 10/11 デバイスの既存のWindows Hello for Business設定は変更されません。 ウィンドウ上の他のすべての設定が使用できなくなります。

  • 無効 - Windows Hello for Businessを使用しない場合は、この設定を選択します。 その後、画面上の他のすべての設定は使用できません。

  • [有効] - Windows Hello for Business設定を構成する場合は、この設定を選択します。

  [有効] に設定すると、次の設定を使用できます。

  • [PIN の最小の長さ]
    デバイスの PIN の最小長を 4 文字から 127 文字まで指定します。 既定では、この設定は [未構成] です。

  • PIN の最大長
    デバイスの最大 PIN 長を 4 文字から 127 文字まで指定します。 既定では、この設定は [未構成] です。

  • PIN での小文字
    必要に応じて、ユーザー PIN に小文字を少なくとも 1 つ含める必要があります。 既定では、この設定は [未構成] です。

    • [許可されていません] - PIN でユーザーが小文字を使用できないようにブロックします。 この動作は、設定が構成されていない場合にも発生します。
    • 許可 - ユーザーが PIN で小文字を使用することを許可しますが、必須ではありません。
    • 必須 - ユーザーは PIN に少なくとも 1 つの小文字を含める必要があります。 たとえば、一般的なのは、少なくとも 1 つの大文字と 1 つの特殊文字の使用を要求する方法です。

  • PIN での大文字
    必要に応じて、ユーザー PIN に少なくとも 1 つの大文字を含める必要があります。 既定では、この設定は [未構成] です。

    • [許可されていません] - PIN でユーザーが大文字を使用できないようにブロックします。 この動作は、設定が構成されていない場合にも発生します。
    • 許可 - ユーザーが PIN で大文字を使用することを許可しますが、必須ではありません。
    • 必須 - ユーザーは PIN に少なくとも 1 つの大文字を含める必要があります。 たとえば、一般的なのは、少なくとも 1 つの大文字と 1 つの特殊文字の使用を要求する方法です。

  • PIN での特殊文字
    必要に応じて、ユーザー PIN に少なくとも 1 つの特殊文字を含める必要があります。 特殊文字は次のとおりです。 ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    • 許可されていません (既定値) - PIN でユーザーが特殊文字を使用できないようにブロックします。 この動作は、設定が構成されていない場合にも発生します。
    • 許可 - ユーザーが PIN で大文字を使用することを許可しますが、必須ではありません。
    • 必須 - ユーザーは PIN に少なくとも 1 つの大文字を含める必要があります。 たとえば、一般的なのは、少なくとも 1 つの大文字と 1 つの特殊文字の使用を要求する方法です。

  • PIN の有効期間 (日)
    構成されている場合、ユーザーは設定された日数の後に PIN の変更を強制されます。 ユーザーは、有効期限が切れる前に PIN を事前に変更できます。 既定では、この設定は [未構成] です。

  • PIN の履歴を保存
    構成されている場合、ユーザーはこの数の以前の PIN を再利用できません。 既定では、この設定は [未構成] です。

  • PIN 回復を有効にする
    ユーザーがWindows Hello for Business PIN 回復サービスを使用できるようにします。

    • 有効にする - PIN 回復シークレットはデバイスに保存され、必要に応じてユーザーは PIN を変更できます。
    • 未構成 (既定値) - 回復シークレットは作成または格納されません。

  • トラステッド プラットフォーム モジュール (TPM) を使用する
    TPM チップは、追加のデータのセキュリティ層を提供します。

    • 有効にする - アクセス可能な TPM を持つデバイスのみがWindows Hello for Businessをプロビジョニングできます。
    • 未構成 (既定値) - デバイスは最初に TPM の使用を試みます。 TPM を使用できない場合は、ソフトウェア暗号化を使用できます。

  • 生体認証を許可する
    許可されている場合、Windows Hello for Businessは顔や指紋などのジェスチャを使用して認証できます。 エラーが発生した場合でも、ユーザーは PIN を構成する必要があります。

    • 有効 - Windows Hello for Businessは生体認証を許可します。
    • 未構成 (既定値) - Windows Hello for Businessは、生体認証 (すべてのアカウントの種類) を防止します。

  • 拡張なりすまし対策を使用する (使用可能な場合)
    有効にした場合、デバイスは、使用可能な場合は強化されたなりすまし対策を使用します (たとえば、実際の顔ではなく顔の写真を検出するなど)。

    • 有効にする - Windows では、サポートされている場合、すべてのユーザーが顔機能のスプーフィング対策を使用する必要があります。
    • [未構成 ] (既定値) - Windows では、デバイス上のスプーフィング対策構成が適用されます。

  • オンプレミス リソースの証明書

    • [有効] - Windows Hello for Businessが証明書を使用してオンプレミスのリソースに対して認証できるようにします。
    • [未構成] (既定値) - Windows Hello for Businessが証明書を使用してオンプレミスのリソースに対する認証を行わないようにします。 代わりに、デバイスでは、 オンプレミスのキー信頼認証の既定の動作が使用されます。 詳細については、Windows Helloドキュメントの「オンプレミス認証のユーザー証明書」を参照してください。

• サインインにセキュリティ キーを使用する
  この設定は、バージョン 1903 以降Windows 10実行されているデバイス、またはWindows 11で使用できます。 これを使用して、サインインにWindows Helloセキュリティ キーを使用するためのサポートを管理します。

  • 有効にする - ユーザーは、このポリシーを対象とする PC のサインイン資格情報として、Windows Helloセキュリティ キーを使用できます。
  • 未構成 - セキュリティ キーは無効になっており、ユーザーはそれらを使用して PC にサインインできません。

次の手順

プロファイルを割り当て、その状態を監視します。