Microsoft Passport を使うためのユーザーの準備
職場で、Microsoft Passport を要求するポリシーを設定する場合は、Passport の使用方法を説明して従業員に準備させる必要があります。
Passport での登録後、ユーザーは、ジェスチャ (PIN や指紋など) を使って企業リソースにアクセスする必要があります。ジェスチャは、登録済みのデバイスでのみ有効です。
組織がユーザーに、Active Directory アカウントまたは Azure Active Directory (AD) アカウントのパスワードを定期的に変更するよう求める場合がありますが、パスワードを変更しても、Passport には影響しません。
現在、認証に仮想スマート カードを使っているユーザーは、Passport をセットアップしても、仮想スマート カードを使って身元を確認できます。
組織が所有するデバイスでは
ユーザーは、新しいデバイスを設定すると、デバイスの所有者を選択するよう求められます。企業のデバイスの場合は、[このデバイスは私の組織の所有物です] を選択します。
次に、接続方法を選択します。ここで選択する必要のあるオプションを社内のユーザーに伝えます。
これらでサインインした後、自分の身元を確認するよう求められます。ユーザーは、テキスト メッセージ、電話、認証アプリなどの中から確認方法を選択できます。確認した後、PIN を作成します。長さの最小値など、設定した複雑さの要件が [作業 PIN を作成する] 画面に表示されます。
Passport のセットアップ後に、ユーザーは、PIN を使ってデバイスのロックを解除し、自動的にログオンします。
個人のデバイスでは
個人のデバイスで作業リソースにアクセスするユーザーは、[設定] > [アカウント] > [職場または学校] で、職場または学校のアカウントを追加してから、職場の資格情報でサインインすることができます。 ユーザーは、テキスト メッセージやメールなど、確認コードの受信方法を選択します。確認コードが送信され、ユーザーは、その確認コードを入力します。確認後、ユーザーは、新しい PIN を入力し、確認します。ユーザーは、資格情報を求められることなく、このデバイスを使って、あらゆるトークン ベースのリソースにアクセスできます (この職場のアカウント ジェスチャは、デバイスの PIN のロック解除には影響しません)。
ユーザーに、職場の資格情報と個人の資格情報は個別のコンテナーに格納されており、企業は、個人の資格情報にアクセスできないことを通知します。
ユーザーは、[設定] > [アカウント] > [職場または学校] に移動し、職場のアカウントを選択してから、[削除] を選択してデバイスからアカウントを削除することができます。
Windows Hello と生体認証の使用
ポリシーで許可される場合は、ユーザーが Passport に Windows Hello を追加できます。Windows Hello は、指紋認識、虹彩認識、顔認識のいずれかであり、ユーザーは、ハードウェアがサポートする場合にのみ利用できます。
電話を使って PC にサインインする
電話によるサインインが会社で認められている場合、ユーザーは、Windows 10 Mobile が実行されている電話と Windows 10 が実行されている PC とをペアリングしたうえでその電話のアプリを使い、Microsoft Passport の資格情報で PC にサインインすることができます。
注 電話によるサインインは現在、一部の Technology Adoption Program (TAP) 加盟企業に限られています。
前提条件:
対象となる PC を Active Directory ドメインまたは Azure AD クラウド ドメインに参加させる必要があります。
PC が Bluetooth 接続を備えている必要があります。
電話を Azure AD クラウド ドメインに参加させるか、または職場アカウントをユーザーが各自私用の電話に追加済みであることが必要です。
無料の Phone Sign-in アプリを電話にインストールしておく必要があります。
PC と電話のペアリング
PC で [設定]、[デバイス]、[Bluetooth] の順にタップします。電話の名前をタップし、[ペアリング] をタップしてペアリングを開始します。
電話の [設定]、[デバイス]、[Bluetooth] の順に移動し、電話の [ペアリング] のパスコードと PC に表示されるパスコードとが一致していることを確認して [ok] をタップします。
PC で [はい] をタップします。
電話を使って PC にサインインする
Phone Sign-in アプリを開き、サインインする PC の名前をタップします。
注 Phone-Sign アプリの初回実行時にアカウントを追加する必要があります。
電話をクラウド ドメインに参加させたときまたは職場アカウントを追加するときに設定した職場の PIN を入力します。
関連トピック
Microsoft Passport を使った本人確認の管理