次の方法で共有

Intune for Windows Hello for Business の ID 保護プロファイル設定

  • [アーティクル]

重要

2024 年 7 月、ID 保護とアカウント保護の次の Intune プロファイルは非推奨となり、 アカウント保護という名前の新しい統合プロファイルに置き換えられました。 この新しいプロファイルは、エンドポイント セキュリティのアカウント保護ポリシー ノードにあり、ID とアカウント保護の新しいポリシー インスタンスを作成するために引き続き使用できる唯一のプロファイル テンプレートです。 この新しいプロファイルの設定は、設定カタログからも使用できます。

作成した次の古いプロファイルのインスタンスは、引き続き使用および編集できます。

  • ID 保護 – 以前は Devices>Configuration>Create>New Policy>Windows 10 以降>Templates>Identity Protection から入手できます。
  • アカウント保護 (プレビュー)以前はエンドポイント セキュリティ>Account 保護>Windows 10 以降>Account 保護 (プレビュー) から入手できます

注:

Intune では、この記事に記載されている設定よりも多くの設定がサポートされている場合があります。 すべての設定が文書化されているわけではなく、今後も文書化されない可能性があります。 構成できる設定を確認するには、デバイス構成ポリシーを作成し、[設定カタログ] を選択します。 詳細については、「設定カタログ」を参照してください。

この記事では、ID 保護プロファイルで管理できる Windows Hello for Business 設定について説明します。 ID 保護プロファイルは、Microsoft Intune のデバイス構成ポリシーの一部です。 ただし、2024 年 7 月の時点で、 ID 保護 のデバイス構成プロファイルは 、アカウント保護のエンドポイント セキュリティ プロファイルに置き換えられます。 以前に作成した ID 保護プロファイルを引き続き使用できますが、Intune では新しいインスタンスの作成はサポートされなくなりました。 代わりに、ID 保護の設定を管理するには、エンドポイント セキュリティ アカウント保護ポリシーを使用します。

ID 保護プロファイルを使用すると、Windows 10/11 デバイスの個別のグループで設定を構成できます。 デバイス登録の一環として、テナント全体で Windows Hello for Business を構成するには、「Windows Hello for Business と Microsoft Intune の統合」の「Windows Hello for Businessポリシーを作成する」を参照してください。

この記事では、登録ポリシーの設定について説明します。

これらの設定の詳細については、「 Windows Hello for Business Policy の設定を構成する」の Windows Hello ドキュメントを参照してください。

Windows Hello for Business

次の設定の詳細は、ID 保護用のデバイス構成プロファイル テンプレートにのみ適用されます。これは、2024 年 7 月に非推奨となりました。

  • Windows Hello for Business を構成する:

    • [未構成 ] (既定値) - Intune を使用して Windows Hello for Business の設定を制御しない場合は、この設定を選択します。 Windows 10/11 デバイスの既存の Windows Hello for Business 設定は変更されません。 ウィンドウ上の他のすべての設定が使用できなくなります。

    • [無効] - Windows Hello for Business を使用しない場合は、この設定を選択します。 その後、画面上の他のすべての設定は使用できません。

    • [有効] - Windows Hello for Business の設定を構成する場合は、この設定を選択します。

    [有効] に設定すると、次の設定を使用できます。

    • [PIN の最小の長さ]
      デバイスの PIN の最小長を 4 文字から 127 文字まで指定します。 既定では、この設定は [未構成] です

    • PIN の最大長
      デバイスの最大 PIN 長を 4 文字から 127 文字まで指定します。 既定では、この設定は [未構成] です

    • PIN での小文字
      必要に応じて、ユーザー PIN に小文字を少なくとも 1 つ含める必要があります。 既定では、この設定は [未構成] です

      • [許可されていません] - PIN でユーザーが小文字を使用できないようにブロックします。 この動作は、設定が構成されていない場合にも発生します。
      • 許可 - ユーザーが PIN で小文字を使用することを許可しますが、必須ではありません。
      • 必須 - ユーザーは PIN に少なくとも 1 つの小文字を含める必要があります。 たとえば、一般的なのは、少なくとも 1 つの大文字と 1 つの特殊文字の使用を要求する方法です。

    • PIN での大文字
      必要に応じて、ユーザー PIN に少なくとも 1 つの大文字を含める必要があります。 既定では、この設定は [未構成] です

      • [許可されていません] - PIN でユーザーが大文字を使用できないようにブロックします。 この動作は、設定が構成されていない場合にも発生します。
      • 許可 - ユーザーが PIN で大文字を使用することを許可しますが、必須ではありません。
      • 必須 - ユーザーは PIN に少なくとも 1 つの大文字を含める必要があります。 たとえば、一般的なのは、少なくとも 1 つの大文字と 1 つの特殊文字の使用を要求する方法です。

    • PIN での特殊文字
      必要に応じて、ユーザー PIN に少なくとも 1 つの特殊文字を含める必要があります。 特殊文字は次のとおりです。 ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • 許可されていません (既定値) - PIN でユーザーが特殊文字を使用できないようにブロックします。 この動作は、設定が構成されていない場合にも発生します。
      • 許可 - ユーザーが PIN で大文字を使用することを許可しますが、必須ではありません。
      • 必須 - ユーザーは PIN に少なくとも 1 つの大文字を含める必要があります。 たとえば、一般的なのは、少なくとも 1 つの大文字と 1 つの特殊文字の使用を要求する方法です。

    • PIN の有効期間 (日)
      構成されている場合、ユーザーは設定された日数の後に PIN の変更を強制されます。 ユーザーは、有効期限が切れる前に PIN を事前に変更できます。 既定では、この設定は [未構成] です

    • PIN の履歴を保存
      構成されている場合、ユーザーはこの数の以前の PIN を再利用できません。 既定では、この設定は [未構成] です

    • PIN 回復を有効にする
      ユーザーが Windows Hello for Business PIN 回復サービスを使用できるようにします。

      • 有効にする - PIN 回復シークレットはデバイスに保存され、必要に応じてユーザーは PIN を変更できます。
      • 未構成 (既定値) - 回復シークレットは作成または格納されません。

    • トラステッド プラットフォーム モジュール (TPM) を使用する
      TPM チップは、追加のデータのセキュリティ層を提供します。

      • 有効にする - アクセス可能な TPM を持つデバイスのみが Windows Hello for Business をプロビジョニングできます。
      • 未構成 (既定値) - デバイスは最初に TPM の使用を試みます。 TPM を使用できない場合は、ソフトウェア暗号化を使用できます。

    • 生体認証を許可する
      許可されている場合、Windows Hello for Business は、顔や指紋などのジェスチャを使用して認証できます。 エラーが発生した場合でも、ユーザーは PIN を構成する必要があります。

      • [有効] - Windows Hello for Business では、生体認証が許可されます。
      • 未構成 (既定値) - Windows Hello for Business では、生体認証 (すべてのアカウントの種類) が防止されます。

    • 拡張なりすまし対策を使用する (使用可能な場合)
      有効にした場合、デバイスは、使用可能な場合は強化されたなりすまし対策を使用します (たとえば、実際の顔ではなく顔の写真を検出するなど)。

      • 有効にする - Windows では、サポートされている場合、すべてのユーザーが顔機能のスプーフィング対策を使用する必要があります。
      • [未構成 ] (既定値) - Windows では、デバイス上のスプーフィング対策構成が適用されます。

    • オンプレミス リソースの証明書

      • [有効] - Windows Hello for Business が証明書を使用してオンプレミスのリソースに対して認証できるようにします。
      • [未構成 ] (既定値) - Windows Hello for Business が証明書を使用してオンプレミスのリソースに対する認証を行わないようにします。 代わりに、デバイスでは、 オンプレミスのキー信頼認証の既定の動作が使用されます。 詳細については、Windows Hello ドキュメントの 「オンプレミス認証のユーザー証明書 」を参照してください。

  • サインインにセキュリティ キーを使用する
    この設定は、Windows 10 バージョン 1903 以降、または Windows 11 を実行するデバイスで使用できます。 サインインに Windows Hello セキュリティ キーを使用するためのサポートを管理するために使用します。

    • 有効にする - ユーザーは、このポリシーを対象とする PC のサインイン資格情報として Windows Hello セキュリティ キーを使用できます。
    • 未構成 - セキュリティ キーは無効になっており、ユーザーはそれらを使用して PC にサインインできません。

次の手順

プロファイルを割り当てその状態を監視する