Intune に登録するときにデバイスでWindows Hello for Businessを構成する

Microsoft Intuneでは、これらのデバイスが Intune に登録された時点で、Windows 10またはWindows 11デバイスでWindows Hello for Businessの使用を構成するテナント全体のポリシーを作成できます。 このポリシーは、organization全体を対象とし、Windows Autopilot out-of-box-experience (OOBE) をサポートします。

Windows 10/11 デバイスの場合、Windows Hello for Business を使用することは、デバイスで強力な 2 要素認証によるパスワードを使用することに取って代わるものです。 この認証は、デバイスに関連付けられているユーザー資格情報によって構成され、生体認証または PIN を使用します。

デバイスの登録後、またはテナント全体の登録ポリシーを使用しないことを選択した場合、Intune では、デバイスの個別のグループでWindows Helloを管理するための次の方法がサポートされます。

• ID 保護 - デバイス構成ポリシーには ID 保護プロファイルが含まれています。このプロファイルを使用して、Windows Hello用にデバイスのグループを構成できます。

• セキュリティ ベースライン: Windows Helloの一部の設定は、Microsoft Defender for EndpointセキュリティのベースラインやWindows 10以降のセキュリティ ベースラインなど、セキュリティ ベースラインによって管理できます。

• エンドポイント セキュリティ アカウント保護ポリシー: アカウント保護ポリシーには、Windows Helloで使用される設定の一部が含まれています。

重要

Anniversary Update (Windows バージョン 1607) より前には、リソースの認証に使用できる 2 つの異なる PIN を設定できます。

• デバイス PIN をデバイスのロック解除とクラウド リソースへの接続に使用できました。
• 作業 PIN は、ユーザーの個人用デバイス (BYOD) 上Microsoft Entraリソースにアクセスするために使用されました。

Anniversary Update では、これら 2 つの PIN が 1 つのデバイス PIN にまとめられました。 デバイス PIN の制御用に設定済みの Intune の構成ポリシー、さらに構成済みの Windows Hello for Business ポリシーの両方により、この新しい PIN の値が設定されるようになりました。 両方の種類のポリシーを PIN の制御用に設定している場合、Windows Hello for Business ポリシーが適用されます。 ポリシーの競合を解消して PIN ポリシーが適切に適用されるようにするために、構成ポリシーの設定に合わせて Windows Hello for Business ポリシーを更新し、ユーザーに Intune ポータル サイト アプリでデバイスを同期するように伝えてください。

役割ベースのアクセス制御

Windows 登録でWindows Hello for Business ポリシーを作成または編集するには、Intune サービス管理者である必要があります。 その他のすべての Intune ロールには、読み取り専用アクセス権があります。 ロールベースのアクセス制御 (RBAC) の詳細については、「Microsoft Intuneを使用した RBAC」を参照してください。

Windows Hello for Business のポリシーの作成

1. Microsoft Intune 管理センターにサインインします。

2. [デバイス]>[デバイスの登録]>[Windows の登録]>[Windows Hello for Business] の順に移動します。 [Windows Hello for Business] ウィンドウが開きます。

3. [Windows Hello for Business の構成] を次のオプションから選択します:

   • [有効]。 Windows Hello for Business の設定を構成する場合は、この設定を選択します。 [有効] を選択した場合、Windows Hello のその他の設定が表示され、デバイスに対して構成できます。

   • [無効]。 デバイスの登録中に Windows Hello for Business を有効にしない場合、このオプションを選択します。 無効である場合、ユーザーが Windows Hello for Business をプロビジョニングすることはできません。 [無効] に設定されると、このポリシーで Windows Hello for Business が有効にならない場合でも、Windows Hello for Business に後続の設定を構成できます。

   • [未構成]。 Windows Hello for Business の設定の制御に Intune を使用しない場合は、この設定を選択します。 Windows 10/11 デバイス上の既存の Windows Hello for Business の設定は変更されません。 ウィンドウ上の他のすべての設定が使用できなくなります。

4. 前の手順で [有効] を選択した場合は、すべての登録済みの Windows 10/11 デバイスに適用される必須設定を構成します。 これらの設定を構成した後、[保存] を選択します。

   • [Trusted Platform Module (TPM) の使用]:

     TPM チップにより、追加のデータ セキュリティ層が提供されます。 次のいずれかの値を選択します。

     • [必須] (既定)。 アクセス可能な TPM を装備したデバイスのみが Windows Hello for Business をプロビジョニングできます。
     • [優先]。 デバイスは最初に TPM を使用しようとします。 このオプションが使用できない場合、ソフトウェアの暗号化を使用できます。

   • [PIN の長さの最小値][PIN の長さの最大値]:

     サインインをセキュリティで保護するために指定する PIN の最小長と最大長を使用するようにデバイスを構成します。 既定の PIN の長さは 6 文字ですが、最小長を 4 文字にすることができます。 PIN の最大長は 127 文字です。

   • [PIN での小文字の使用]、[PIN での大文字の使用]、および [PIN での特殊文字の使用]。

     大文字、小文字、特殊文字を PIN で使用するように要求することで、PIN をより強力にすることができます。 それぞれに対して、次のいずれかを選択します。

     • [許可]。 ユーザーは PIN で文字を使用できますが、使用は必須ではありません。

     • 必須。 ユーザーは PIN に文字を 1 文字以上含める必要があります。 たとえば、一般的なのは、少なくとも 1 つの大文字と 1 つの特殊文字の使用を要求する方法です。

     • [許可しない] (既定)。 ユーザーは、これらの文字を PIN で使用することができません。 (これは、この設定を構成していない場合の動作でもあります)。

       特殊文字には、 が含まれます。 " # $ % & ' ( ) * + 、 - 。/ : ; < = > ?@ [ \ ] ^ _ ' { | } ~

   • [PIN の有効期間 (日)]:

     その期間が経過したらユーザーが PIN を変更する必要がある有効期間を指定することをお勧めします。 既定は 41 日です。

   • [PIN の履歴を保存]:

     以前に使用した PIN の再利用を制限します。 既定では、直近 5 回の PIN を再利用することはできません。

   • [生体認証を許可する]:

     Windows Hello for Business の PIN の代わりとして、顔認識や指紋などの生体認証を有効にします。 ユーザーは、生体認証に失敗した場合のために、職場の PIN も設定する必要があります。 次から選択します。

     • はい。 Windows Hello for Business で生体認証が使用可能になります。
     • いいえ。 Windows Hello for Business で生体認証を利用できません (すべてのアカウントの種類が対象)。

   • [使用可能な場合は、高度なスプーフィング対策を使用する]:

     サポートされるデバイス上で Windows Hello のスプーフィング対策機能を使用するかどうかを構成します。 たとえば、実際の顔ではなく顔の写真を検出します。

     [はい] に設定されていると、Windows のすべてのユーザーは、顔認証のためのスプーフィング対策 (サポートされている場合) を使用する必要があります。

   • [電話によるサインインの許可]:

     このオプションが [はい] に設定されている場合、ユーザーはデスクトップ コンピューターの認証にポータブル コンパニオン デバイスとして機能するリモートのパスポートを使用することができます。 デスクトップ コンピューターはMicrosoft Entra参加している必要があり、コンパニオン デバイスは Windows Hello for Business PIN で構成する必要があります。

   • 拡張サインイン セキュリティを有効にする:

     対応するハードウェアWindows Helloデバイスで拡張サインイン セキュリティを構成します。 次のようなオプションがあります。

     • 既定値。 拡張サインイン セキュリティは、対応するハードウェアを備えたシステムで有効になります。 デバイス ユーザーは、外部周辺機器を使用して、Windows Helloを使用してデバイスにサインインすることはできません。
     • 強化されたサインイン セキュリティは、すべてのシステムで無効になります。 デバイス ユーザーは、Windows Helloと互換性のある外部周辺機器を使用してデバイスにサインインできます。

   • [サインインのセキュリティ キーを使用]:

     [有効にする] に設定すると、お客様の組織のすべてのコンピューターについて Windows Hello セキュリティ キーの ON/OFF をリモートで切り替えることができます。

Windows Holographic for Business のサポート

Windows Holographic for Business では、Windows Hello for Business の以下の設定がサポートされます。

• Trusted Platform Module (TPM) の使用
• [PIN の最小の長さ]
• PIN の最大長
• PIN での小文字
• PIN での大文字
• PIN での特殊文字
• PIN の有効期間 (日)
• PIN の履歴を保存

次の手順

Windows Helloの詳細については、Windows ドキュメントの次の件名を参照してください。

• Windows Hello for Businessデプロイの計画
• Windows Hello for Business展開の前提条件の概要