Windows Hello for Business の展開を計画する
この計画ガイドは、Windows Hello for Business のインフラストラクチャを取り巻くさまざまなトポロジ、アーキテクチャ、コンポーネントを理解するのに役立ちます。
このガイドでは、Windows Hello for Business の各コンポーネントの役割と、特定の展開に関する決定がインフラストラクチャの他の側面に与える影響について説明します。
ヒント
Microsoft Entra ID テナントをお持ちの場合は、以下の手動ガイドを使用するのではなく、同じ選択肢を説明するオンラインの対話型パスワードレス ウィザードを使用できます。 パスワードレス ウィザードは、Microsoft 365 管理センターで利用できます。
このガイドの使用方法
Windows Hello for Business を展開し、さまざまな組織インフラストラクチャとの互換性を確保するために、多くのオプションを使用できます。 デプロイ プロセスは複雑に見えるかもしれませんが、ほとんどの組織は、必要なインフラストラクチャを既に実装していることがわかります。 Windows Hello for Business は分散システムであり、組織内の複数のチーム間で適切な計画が必要であることに注意してください。
このガイドでは、Windows Hello for Business 展開の各側面に関する情報に基づいた意思決定を行うことで、展開プロセスを簡略化することを目的としています。 利用可能なオプションに関する情報が提供され、環境に最適なデプロイ アプローチの選択に役立ちます。
続行する方法
このドキュメントを読み、決定事項を記録します。 完了したら、使用可能なオプションを評価し、Windows Hello for Business 展開の要件を決定するために必要なすべての情報が必要です。
Windows Hello for Business の展開を計画する際に考慮すべき主な領域は 7 つあります。
展開オプション
Windows Hello for Business の目標は、規模やシナリオに関係なくすべての組織に展開できるようにすることです。 このような詳細な展開を提供するために、Windows Hello for Business では多様な展開オプションを選択できます。
展開モデル
正常に展開させるために基本的に重要なのは、どの展開モデルを使用するかを理解することです。 デプロイの一部の側面は、現在のインフラストラクチャに基づいて既に決定されている可能性があります。
選択できるデプロイ モデルは 3 つあります。
| デプロイ モデル | 説明 | |
|---|---|---|
| 🔲 | クラウド専用 | クラウド ID のみを持ち、オンプレミス リソースにアクセスしない組織の場合。 これらの組織は通常、デバイスをクラウドに参加させ、SharePoint Online、OneDrive などのクラウド内のリソースのみを使用します。 また、ユーザーはオンプレミスのリソースを使用しないため、必要なものはすべてクラウド サービスでホストされているため、VPN などの証明書は必要ありません。 |
| 🔲 | ハイブリッド | Active Directory から Microsoft Entra ID に同期された ID を持つ組織の場合。 これらの組織は、Microsoft Entra ID に登録されているアプリケーションを使用し、オンプレミスと Microsoft Entra の両方のリソースにシングル サインオン (SSO) エクスペリエンスを提供する必要があります。 |
| 🔲 | オンプレミス | クラウド ID を持たない組織、または Microsoft Entra ID でホストされているアプリケーションを使用している組織の場合。 これらの組織は、Active Directory に統合されたオンプレミス のアプリケーションを使用し、それらにアクセスするときに SSO ユーザー エクスペリエンスを必要とします。 |
注
- オンプレミス展開の主なユース ケースは、"Red Forests" とも呼ばれる "セキュリティ管理環境の強化" です
- オンプレミスからハイブリッドデプロイへの移行には、再デプロイが必要です
信頼の種類
展開の信頼の種類は、Windows Hello for Business クライアントが Active Directory に対して認証する方法を定義します。 信頼の種類は、Microsoft Entra ID への認証には影響しません。 このため、信頼の種類はクラウドのみのデプロイ モデルには適用されません。
Microsoft Entra ID に対する Windows Hello for Business 認証では、証明書ではなくキーが常に使用されます (フェデレーション環境でのスマート カード認証は除きます)。
信頼の種類は、認証証明書をユーザーに発行するかどうかを決定します。 1 つの信頼モデルは、他の信頼モデルよりも安全ではありません。
ユーザーとドメイン コントローラーへの証明書の展開には、より多くの構成とインフラストラクチャが必要です。これは、決定で考慮すべき要因となる可能性もあります。 証明書信頼のデプロイに必要なその他のインフラストラクチャには、証明書登録機関が含まれます。 フェデレーション環境では、Microsoft Entra Connect で [デバイス ライトバック] オプションをアクティブにする必要があります。
選択できる信頼の種類は 3 つあります。
| 信頼の種類 | 説明 | |
|---|---|---|
| 🔲 | Cloud Kerberos | ユーザーは、Microsoft Entra Kerberos を使用して、Microsoft Entra ID に TGT を要求することで Active Directory に対して認証を行います。 オンプレミスのドメイン コントローラーは、Kerberos サービス のチケットと承認を引き続き担当します。 Cloud Kerberos 信頼では、FIDO2 セキュリティ キーのサインインに必要なインフラストラクチャと同じインフラストラクチャが使用され、新規または既存の Windows Hello for Business の展開に使用できます。 |
| 🔲 | キー | ユーザーは、Windows Hello プロビジョニング エクスペリエンス中に作成されたデバイス バインド キー (ハードウェアまたはソフトウェア) を使用して、オンプレミスの Active Directory に対して認証を行います。 ドメイン コントローラーに証明書を配布する必要があります。 |
| 🔲 | 証明書 | 証明書信頼の種類は、認証証明書をユーザーに発行します。 ユーザーは、Windows Hello プロビジョニング エクスペリエンス中に作成されたデバイス バインド キー (ハードウェアまたはソフトウェア) を使用して要求された証明書を使用して認証します。 |
キー信頼 と 証明書信頼 では、オンプレミス認証に kerberos ticket-granting-tickets (TGT) を要求するときに、証明書認証ベースの Kerberos が使用されます。 この種類の認証には、DC 証明書の PKI が必要であり、証明書の信頼にはエンド ユーザー証明書が必要です。
Windows Hello for Business クラウド Kerberos 信頼の目標は、他の信頼の種類と比較して、より簡単な展開エクスペリエンスを提供することです。
- 公開キー インフラストラクチャ (PKI) をデプロイする必要も、既存の PKI を変更する必要もありません
- ユーザーがオンプレミスのリソースにアクセスするために、Microsoft Entra ID と Active Directory の間で公開キーを同期する必要はありません。 ユーザーの Windows Hello for Business プロビジョニングと Active Directory への認証の間に遅延はありません
- FIDO2 セキュリティ キーのサインイン は、最小限の追加セットアップでデプロイできます
ヒント
Windows Hello for Business クラウド Kerberos 信頼は、 キー信頼モデルと比較した場合に推奨されるデプロイ モデルです。 また、証明書認証シナリオをサポートする必要がない場合は、推奨されるデプロイ モデルでもあります。
Cloud Kerberos の信頼には、Microsoft Entra Kerberos の展開が必要です。 Microsoft Entra Kerberos がオンプレミス リソースへのアクセスを有効にする方法の詳細については、「オンプレミス リソース へのパスワードレス セキュリティ キー サインインの有効化」を参照してください。
PKI 要件
Cloud Kerberos 信頼は、証明書のデプロイを必要としない唯一のハイブリッド展開オプションです。 他のハイブリッド モデルとオンプレミス モデルは、認証のトラスト アンカーとしてエンタープライズ PKI に依存します。
- ハイブリッドおよびオンプレミス展開用のドメイン コントローラーには、正当なドメイン コントローラーとして信頼する Windows デバイス用の証明書が必要です
- 証明書信頼の種類を使用するデプロイでは、エンタープライズ PKI と証明書登録機関 (CRA) がユーザーに認証証明書を発行する必要があります。 AD FS は CRA として使用されます
- ハイブリッド展開では、オンプレミス リソースの接続を有効にするために VPN 証明書をユーザーに発行する必要がある場合があります
| デプロイ モデル | 信頼の種類 | PKI は必要ですか? | |
|---|---|---|---|
| 🔲 | クラウド専用 | 該当なし | × |
| 🔲 | ハイブリッド | Cloud Kerberos | × |
| 🔲 | ハイブリッド | キー | ○ |
| 🔲 | ハイブリッド | 証明書 | ○ |
| 🔲 | オンプレミス | キー | ○ |
| 🔲 | オンプレミス | 証明書 | ○ |
Microsoft Entra ID への認証
ユーザーは、フェデレーション認証またはクラウド (非フェデレーション) 認証を使用して Microsoft Entra ID に対して認証できます。 要件は、信頼の種類によって異なります。
| デプロイ モデル | 信頼の種類 | Microsoft Entra ID への認証 | 要件 | |
|---|---|---|---|---|
| 🔲 | クラウド専用 | 該当なし | クラウド認証 | 該当なし |
| 🔲 | クラウド専用 | 該当なし | フェデレーション認証 | Microsoft 以外のフェデレーション サービス |
| 🔲 | ハイブリッド | Cloud Kerberos の信頼 | クラウド認証 | パスワード ハッシュ同期 (PHS) またはパススルー認証 (PTA) |
| 🔲 | ハイブリッド | Cloud Kerberos の信頼 | フェデレーション認証 | AD FS または Microsoft 以外のフェデレーション サービス |
| 🔲 | ハイブリッド | キー信頼 | クラウド認証 | パスワード ハッシュ同期 (PHS) またはパススルー認証 (PTA) |
| 🔲 | ハイブリッド | キー信頼 | フェデレーション認証 | AD FS または Microsoft 以外のフェデレーション サービス |
| 🔲 | ハイブリッド | 証明書信頼 | フェデレーション認証 | このデプロイ モデルでは、PTA または PHS はサポートされていません。 Active Directory は、AD FS を使用して Microsoft Entra ID とフェデレーションする必要があります |
詳細については、以下を参照してください。
デバイスの登録
オンプレミス展開の場合、Active Directory フェデレーション サービス (AD FS) ロールを実行しているサーバーは、デバイスの登録を担当します。 クラウドのみのデプロイとハイブリッド展開の場合、デバイスは Microsoft Entra ID に登録する必要があります。
| デプロイ モデル | サポートされている結合の種類 | デバイス登録サービス プロバイダー |
|---|---|---|
| クラウド専用 | Microsoft Entra 参加済み Microsoft Entra 登録済み |
Microsoft Entra ID |
| ハイブリッド | Microsoft Entra 参加済み Microsoft Entra ハイブリッド参加済み Microsoft Entra 登録済み |
Microsoft Entra ID |
| オンプレミス | Active Directory ドメイン参加済み | AD FS |
重要
Microsoft Entra ハイブリッド参加済みガイダンスについては、「Microsoft Entra ハイブリッド参加の実装を計画する」を参照してください。
多要素認証
Windows Hello for Business の目標は、2 要素認証を簡単に行える 強力な資格情報 を組織に提供することで、組織をパスワードから離れることです。 組み込みのプロビジョニング エクスペリエンスでは、ユーザーの脆弱な資格情報 (ユーザー名とパスワード) を第 1 要素認証として受け入れます。 ただし、Windows が強力な資格情報をプロビジョニングする前に、ユーザーは認証の 2 番目の要素を指定する必要があります。
- クラウドのみのデプロイとハイブリッド展開の場合、Microsoft Entra MFA など、多要素認証にはさまざまな選択肢があります
- オンプレミスのデプロイでは、AD FS 多要素アダプターとして統合できる多要素オプションを使用する必要があります。 組織は、AD FS MFA アダプターを提供する Microsoft 以外のオプションから選択できます。 詳細については、「Microsoft および Microsoft 以外の追加認証方法」を参照してください。
重要
2019 年 7 月 1 日以降、Microsoft は新しいデプロイ用に MFA Server を提供していません。 多要素認証を必要とする新しいデプロイでは、クラウドベースの Microsoft Entra 多要素認証を使用する必要があります。
2024 年 9 月 30 日より、Azure Multi-Factor Authentication Server デプロイは MFA 要求をサービスしなくなります。 中断のない認証サービスを確保し、サポートされている状態を維持するには、組織は ユーザーの認証データをクラウドベースの Azure MFA に移行する必要があります。
| デプロイ モデル | MFA オプション | |
|---|---|---|
| 🔲 | クラウド専用 | Microsoft Entra MFA |
| 🔲 | クラウド専用 | Microsoft Entra ID またはフェデレーションの外部認証方法を使用した Microsoft 以外の MFA |
| 🔲 | ハイブリッド | Microsoft Entra MFA |
| 🔲 | ハイブリッド | Microsoft Entra ID またはフェデレーションの外部認証方法を使用した Microsoft 以外の MFA |
| 🔲 | オンプレミス | AD FS MFA アダプター |
詳しくは、次のトピックをご覧ください。
MFA とフェデレーション認証
フェデレーション ドメインでは、 FederatedIdpMfaBehavior フラグを構成できます。 フラグは、フェデレーション IdP からの MFA チャレンジを受け入れる、強制する、または拒否するように Microsoft Entra ID に指示します。 詳細については、「 federatedIdpMfaBehavior 値」を参照してください。 この設定を確認するには、次の PowerShell コマンドを使用します。
Connect-MgGraph
$DomainId = "<your federated domain name>"
Get-MgDomainFederationConfiguration -DomainId $DomainId |fl
フェデレーション IdP から MFA 要求を拒否するには、次のコマンドを使用します。 この変更は、フェデレーション ドメインのすべての MFA シナリオに影響します。
Update-MgDomainFederationConfiguration -DomainId $DomainId -FederatedIdpMfaBehavior rejectMfaByFederatedIdp
acceptIfMfaDoneByFederatedIdp (既定値) またはenforceMfaByFederatedIdpのいずれかの値でフラグを構成する場合は、フェデレーション IDP が正しく構成され、IdP によって使用される MFA アダプターとプロバイダーと連携していることを確認する必要があります。
キーの登録
組み込みの Windows Hello for Business プロビジョニング エクスペリエンスでは、ユーザーの資格情報としてデバイス バインド非対称キー ペアが作成されます。 秘密キーは、デバイスのセキュリティ モジュールによって保護されます。 資格情報は ユーザー キーであり、 デバイス キーではありません。 プロビジョニング エクスペリエンスでは、ユーザーの公開キーが ID プロバイダーに登録されます。
| デプロイ モデル | キー登録サービス プロバイダー |
|---|---|
| クラウド専用 | Microsoft Entra ID |
| ハイブリッド | Microsoft Entra ID |
| オンプレミス | AD FS |
ディレクトリ同期
ハイブリッドとオンプレミスのデプロイではディレクトリ同期が使用されますが、それぞれ異なる目的で使用されます。
- ハイブリッド展開では 、Microsoft Entra Connect Sync を使用して、Active Directory ID (ユーザーとデバイス) または資格情報をそれ自体と Microsoft Entra ID の間で同期します。 Window Hello for Business プロビジョニング プロセス中に、ユーザーは Windows Hello for Business 資格情報のパブリック部分を Microsoft Entra ID で登録します。 Microsoft Entra Connect Sync は、Windows Hello for Business 公開キーを Active Directory に同期します。 この同期により、Microsoft Entra ID とそのフェデレーション コンポーネントへの SSO が有効になります。
重要
Windows Hello for Business は、ユーザーとデバイスの間で関連付けられています。 ユーザーとデバイス の両方のオブジェクトは、Microsoft Entra ID と Active Directory の間で同期する必要があります。
- オンプレミスのデプロイでは、ディレクトリ同期を使用して Active Directory から Azure MFA サーバーにユーザーをインポートし、MFA クラウド サービスにデータを送信して検証を実行します
| デプロイ モデル | ディレクトリ同期オプション |
|---|---|
| クラウド専用 | 該当なし |
| ハイブリッド | Microsoft Entra Connect Sync |
| オンプレミス | Azure MFA サーバー |
重要
2024 年 9 月 30 日より、Azure Multi-Factor Authentication Server デプロイは MFA 要求をサービスしなくなります。 中断のない認証サービスを確保し、サポートされている状態を維持するには、組織は ユーザーの認証データをクラウドベースの Azure MFA に移行する必要があります。
デバイス構成オプション
Windows Hello for Business には、きめ細かいポリシー設定の豊富なセットが用意されています。 Windows Hello for Business を構成するには、構成サービス プロバイダー (CSP) とグループ ポリシー (GPO) の 2 つの主なオプションがあります。
- CSP オプションは、Microsoft Intune などのモバイル デバイス管理 (MDM) ソリューションを使用して管理されるデバイスに最適です。 CSP はプロビジョニング パッケージで構成することもできます
- GPO を使用して、ドメインに参加しているデバイスと、MDM を使用してデバイスを管理しない場所を構成できます
| デプロイ モデル | デバイス構成オプション | |
|---|---|---|
| 🔲 | クラウド専用 | CSP |
| 🔲 | クラウド専用 | GPO (ローカル) |
| 🔲 | ハイブリッド | CSP |
| 🔲 | ハイブリッド | GPO (Active Directory またはローカル) |
| 🔲 | オンプレミス | CSP |
| 🔲 | オンプレミス | GPO (Active Directory またはローカル) |
クラウド サービス要件のライセンス
クラウド サービスのライセンス要件に関する考慮事項を次に示します。
- Windows Hello for Business では、Microsoft Entra ID P1 または P2 サブスクリプションは必要ありません。 ただし、 MDM の自動登録 や 条件付きアクセス など、一部の依存関係では、
- MDM 経由で管理されるデバイスには、Microsoft Entra ID P1 または P2 サブスクリプションは必要ありません。 サブスクリプションを継続するには、Microsoft Intune やサポートされている Microsoft 以外の MDM など、MDM ソリューションにデバイスを手動で登録する必要があります
- Microsoft Entra ID Free レベルを使用して、Windows Hello for Business を展開できます。 すべての Microsoft Entra ID Free アカウントでは、Windows パスワードレス機能に Microsoft Entra 多要素認証を使用できます
- 一部の Microsoft Entra 多要素認証機能にはライセンスが必要です。 詳細については、「 Microsoft Entra 多要素認証の機能とライセンス」を参照してください。
- AD FS 登録機関を使用して証明書を登録するには、デバイスが AD FS サーバーに対して認証される必要があります。これには、デバイスの書き戻し、Microsoft Entra ID P1 または P2 機能が必要です
| デプロイ モデル | 信頼の種類 | クラウド サービス ライセンス (最小) | |
|---|---|---|---|
| 🔲 | クラウド専用 | 該当なし | 必須ではありません |
| 🔲 | ハイブリッド | Cloud Kerberos | 必須ではありません |
| 🔲 | ハイブリッド | キー | 必須ではありません |
| 🔲 | ハイブリッド | 証明書 | Microsoft Entra ID P1 |
| 🔲 | オンプレミス | キー | AZURE MFA (MFA ソリューションとして使用される場合) |
| 🔲 | オンプレミス | 証明書 | AZURE MFA (MFA ソリューションとして使用される場合) |
重要
2024 年 9 月 30 日より、Azure Multi-Factor Authentication Server デプロイは MFA 要求をサービスしなくなります。 中断のない認証サービスを確保し、サポートされている状態を維持するには、組織は ユーザーの認証データをクラウドベースの Azure MFA に移行する必要があります。
オペレーティング システムの要件
Windows の要件
サポートされているすべての Windows バージョンは、Windows Hello for Business で使用できます。 ただし、クラウド Kerberos 信頼には最小バージョンが必要です。
| デプロイ モデル | 信頼の種類 | Windows のバージョン | |
|---|---|---|---|
| 🔲 | クラウド専用 | 該当なし | サポートされているすべてのバージョン |
| 🔲 | ハイブリッド | Cloud Kerberos | - Windows 10 21H2( KB5010415 以降) - Windows 11 21H2( KB5010414 以降) |
| 🔲 | ハイブリッド | キー | サポートされているすべてのバージョン |
| 🔲 | ハイブリッド | 証明書 | サポートされているすべてのバージョン |
| 🔲 | オンプレミス | キー | サポートされているすべてのバージョン |
| 🔲 | オンプレミス | 証明書 | サポートされているすべてのバージョン |
Windows Server の要件
サポートされているすべての Windows Server バージョンは、Windows Hello for Business をドメイン コントローラーとして使用できます。 ただし、クラウド Kerberos 信頼には最小バージョンが必要です。
| デプロイ モデル | 信頼の種類 | ドメイン コントローラー OS のバージョン | |
|---|---|---|---|
| 🔲 | クラウド専用 | 該当なし | サポートされているすべてのバージョン |
| 🔲 | ハイブリッド | Cloud Kerberos | - Windows Server 2016( KB3534307 以降) - Windows Server 2019( KB4534321 以降) - Windows Server 2022 |
| 🔲 | ハイブリッド | キー | サポートされているすべてのバージョン |
| 🔲 | ハイブリッド | 証明書 | サポートされているすべてのバージョン |
| 🔲 | オンプレミス | キー | サポートされているすべてのバージョン |
| 🔲 | オンプレミス | 証明書 | サポートされているすべてのバージョン |
ユーザーを準備する
組織で Windows Hello for Business を有効にする準備ができたら、Windows Hello をプロビジョニングして使用する方法を説明して、ユーザーを準備してください。
詳細については、「ユーザーの 準備」を参照してください。
次のステップ
さまざまな展開オプションと要件について説明したので、組織に最適な実装を選択できます。
デプロイ プロセスの詳細については、次のドロップダウン リストからデプロイ モデルと信頼の種類を選択します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示