多要素ロック解除

  • [アーティクル]
  • 適用対象:
    Windows 11, ✅ Windows 10

Windows Hello for Businessでは、デバイスのロックを解除するための 1 つの資格情報 (PIN と生体認証) の使用がサポートされています。 そのため、それらのいずれかの資格情報が侵害 (のぞき見) された場合、攻撃者はシステムにアクセスできます。

Windows Hello for Businessは、信頼された信号でWindows Helloを拡張することで、多要素ロック解除を使用して構成できます。 管理者は、デバイスのロックを解除するための要因と信頼できる信号の組み合わせを要求するようにデバイスを構成できます。

多要素ロック解除は、次の組織に最適です。

  • PIN だけではセキュリティ ニーズを満たさないと表明しました
  • インフォメーション ワーカーが資格情報を共有できないようにする
  • 組織が規制の 2 要素認証ポリシーに準拠するようにする
  • 使い慣れた Windows サインイン ユーザー エクスペリエンスを維持し、カスタム ソリューションを解決しない

動作のしくみ

最初のロック解除要素資格情報プロバイダー2 番目のロック解除資格情報プロバイダー は、構成の大部分を担当します。 これらの各コンポーネントには、異なる Windows 資格情報プロバイダーを表すグローバル一意識別子 (GUID) が含まれています。 ポリシー設定を有効にすると、ユーザーは、Windows がデスクトップに進む前に、各カテゴリから少なくとも 1 つの資格情報プロバイダーを使用してデバイスのロックを解除します。

ポリシー設定には、3 つのコンポーネントがあります。

  • 第 1 のロック解除要素の資格情報プロバイダー
  • 第 2 のロック解除要素の資格情報プロバイダー
  • デバイスのロック解除用の信号規則

ロック解除要素を構成する

注意

DontDisplayLastUserName セキュリティ ポリシーが有効になっている場合、多要素ロック解除を使用する機能を妨げることがわかされています。

ポリシー設定の第 1 のロック解除要素の資格情報プロバイダー第 2 のロック解除要素の資格情報プロバイダーの部分には、資格情報プロバイダーのコンマ区切りリストが含まれています。

サポートされる資格情報プロバイダーは次のとおりです。

資格情報プロバイダー GUID
PIN {D6886603-9D2F-4EB2-B667-1971041FA96B}
Fingerprint {BEC09223-B018-416D-A0AC-523971B639F5}
顔認識 {8AF662BF-65A0-4D0A-A540-A338A999D36F}
信頼された信号
(スマートフォンの近接通信、ネットワークの場所)		 {27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}

多要素ロック解除では、上記の表に記載されていない Microsoft 以外の資格情報プロバイダーまたは資格情報プロバイダーはサポートされていません。

第 1 のロック解除要素の資格情報プロバイダーの既定の資格情報プロバイダーは、次のとおりです。

  • PIN
  • Fingerprint
  • 顔認識

第 2 のロック解除要素の資格情報プロバイダーの既定の資格情報プロバイダーは、次のとおりです。

  • 信頼された信号
  • PIN

第 1 および第 2 のロック解除要素として使用する資格情報プロバイダーの GUID のコンマ区切りリストを構成します。 資格情報プロバイダーは両方のリストに表示できますが、そのプロバイダーでサポートされている資格情報は、ロック解除要素の 1 つのみを満たすことができます。 一覧表示された資格情報プロバイダーは、特定の順序である必要はありません。

たとえば、暗証番号 (PIN) と指紋の資格情報プロバイダーを、第 1 要素と第 2 要素の両方のリストに含めた場合、ユーザーは指紋または PIN を第 1 のロック解除要素として使用できます。 最初のロック解除係数を満たすために使用する要素は、2 番目のロック解除係数を満たすために使用できません。 したがって、各要素を使用できるのは 1 回だけです。 信頼された信号のプロバイダーは、第 2 のロック解除要素の資格情報プロバイダーのリストでのみ指定できます。

信頼された信号の資格情報プロバイダーの信号規則を構成する

[Signal rules for device unlock] (デバイスのロック解除用の信号規則) 設定には、デバイスのロック解除の条件を満たすために、信頼された信号の資格情報プロバイダーが使用する規則が含まれています。

rule 要素

信号規則は XML で表します。 各シグナル ルールには、属性と値を含むschemaVersion開始要素と終了rule要素があります。 現在サポートされているスキーマ バージョンは です 1.0

<rule schemaVersion="1.0">
</rule>

signal 要素

各ルール要素には、要素があります signal 。 すべてのシグナル要素には、 type 要素と があります value。 サポートされる値は次のとおりです。

  • Bluetooth
  • Ipconfig
  • wifi

Bluetooth

signal 要素では、より多くの属性を持つ Bluetooth 信号を定義します。 Bluetooth 構成では、他の要素は使用されません。 シグナル要素は、短い終了タグ />で終了できます。

属性 設定値 必須
bluetooth
scenario Authentication
classOfDevice "数値" ×
rssiMin "数値" ×
rssiMaxDelta "数値" ×

次に、例を示します。

<rule schemaVersion="1.0">
    <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

classofDevice 属性の既定値は Phone で、次の表の値を使用します。

説明 設定値
その他 0
コンピューター 256
スマートフォン 512
LAN/ネットワーク アクセス ポイント 768
オーディオ/ビデオ 1024
周辺装置 1280
イメージング 1536
ウェアラブル 1792
玩具 2048
ヘルス 2304
カテゴリ化されていない 7936

rssiMin 属性の値は、デバイスが「範囲内」にあると判断されるために必要な信号強度です。 既定値の -10 の場合、ユーザーが平均的な広さのオフィスやブース内を移動しても、Windows によってデバイスのロックがトリガーされることはありません。 rssiMaxDelta の既定値は -10 で、信号強度が 10 を超えて弱まったらデバイスをロックするように Windows に指示します。

RSSI の測定値は相対的であり、ペアリングされた 2 つのデバイス間の Bluetooth 信号が減少するため、低くなります。 0 の測定値は-10 より強くなります。 -10 の測定値は -60 より強く、デバイスが互いにさらに離れて移動していることを示します。

重要

Microsoft では、このポリシー設定に既定値を使用することをお勧めします。 測定値は相対的であり、各環境のさまざまな条件に基づいています。 そのため、同じ値でも結果が異なる場合があります。 この設定を広く展開する前に、それぞれの環境でポリシー設定をテストします。 グループ ポリシー管理エディターによって作成された XML ファイルの rssiMIN と rssiMaxDelta の値を使用するか、両方の属性を削除して既定値を使用します。

IP 構成

1 つまたは複数の ipConfiguration 要素を使用して IP 構成信号を定義します。 各要素には文字列値が含まれます。 IpConfiguration 要素には属性や入れ子になった要素がありません。

IPv4Prefix

インターネット標準のドット区切り 10 進表記で表される IPv4 ネットワーク プレフィックスです。 クラスレス ドメイン間ルーティング (CIDR) 表記を使用するネットワーク プレフィックスは、ネットワーク文字列の一部として必要です。 ネットワーク ポートは、ネットワーク文字列に含めないでください。 signal 要素に含めることができる ipv4Prefix 要素は 1 つだけです。 次に、例を示します。

<ipv4Prefix>192.168.100.0/24</ipv4Prefix>

192.168.100.1 ~ 192.168.100.254 の範囲で割り当てられている IPv4 アドレスは、この信号の構成と一致します。

IPv4Gateway

インターネット標準のドット区切り 10 進表記で表される IPv4 ネットワーク ゲートウェイです。 ネットワーク ポートやプレフィックスは、ネットワーク文字列に含めないでください。 signal 要素に含めることができる ipv4Gateway 要素は 1 つだけです。 次に、例を示します。

<ipv4Gateway>192.168.100.10</ipv4Gateway>
IPv4DhcpServer

インターネット標準のドット区切り 10 進表記で表される IPv4 DHCP サーバーです。 ネットワーク ポートやプレフィックスは、ネットワーク文字列に含めないでください。 signal 要素に含めることができる ipv4DhcpServer 要素は 1 つだけです。 次に、例を示します。

<ipv4DhcpServer>192.168.100.10</ipv4DhcpServer>
IPv4DnsServer

インターネット標準のドット区切り 10 進表記で表される IPv4 DNS サーバーです。 ネットワーク ポートやプレフィックスは、ネットワーク文字列に含めないでください。signal 要素には、1 つまたは複数の ipv4DnsServer 要素を含めることができます。

例:

<ipv4DnsServer>192.168.100.10</ipv4DnsServer>
IPv6Prefix

インターネット標準の 16 進数エンコーディングを使用して表される IPv6 ネットワーク プレフィックスです。 CIDR 表記のネットワーク プレフィックスは、ネットワーク文字列の一部として必要です。 ネットワーク ポートやスコープ ID は、ネットワーク文字列に含めないでください。 signal 要素に含めることができる ipv6Prefix 要素は 1 つだけです。 次に、例を示します。

<ipv6Prefix>21DA:D3::/48</ipv6Prefix>
IPv6Gateway

インターネット標準の 16 進数エンコーディングで表される IPv6 ネットワーク ゲートウェイです。 IPv6 スコープ ID は、ネットワーク文字列に含めることができます。 ネットワーク ポートやプレフィックスは、ネットワーク文字列に含めないでください。 signal 要素に含めることができる ipv6Gateway 要素は 1 つだけです。 次に、例を示します。

<ipv6Gateway>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6Gateway>
IPv6DhcpServer

インターネット標準の 16 進数エンコーディングで表される IPv6 DNS サーバーです。 IPv6 スコープ ID は、ネットワーク文字列に含めることができます。 ネットワーク ポートやプレフィックスは、ネットワーク文字列に含めないでください。 signal 要素に含めることができる ipv6DhcpServer 要素は 1 つだけです。 次に、例を示します。

<ipv6DhcpServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DhcpServer
IPv6DnsServer

インターネット標準の 16 進数エンコーディングで表される IPv6 DNS サーバーです。 IPv6 スコープ ID は、ネットワーク文字列に含めることができます。 ネットワーク ポートやプレフィックスは、ネットワーク文字列に含めないでください。 signal 要素には、1 つまたは複数の ipv6DnsServer 要素を含めることができます。 次に、例を示します。

<ipv6DnsServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DnsServer>
dnsSuffix

この設定の完全修飾ドメイン名の一部がコンピューターのプライマリ DNS サフィックスに存在する、organizationの内部 DNS サフィックスの完全修飾ドメイン名。 signal 要素には、1 つまたは複数の dnsSuffix 要素を含めることができます。 次に、例を示します。

<dnsSuffix>corp.contoso.com</dnsSuffix>

Wi-Fi

Wi-Fi 信号は、1 つ以上の wifi 要素を使用して定義します。 各要素には文字列値が含まれます。 Wifi 要素には属性や入れ子になった要素がありません。

Ssid

ワイヤレス ネットワークのサービス セット識別子 (SSID) が含まれます。 SSID はワイヤレス ネットワークの名前です。 SSID 要素が必要です。 次に、例を示します。

<ssid>corpnetwifi</ssid>
Bssid

ワイヤレス アクセス ポイントの基本的なサービス セット識別子 (BSSID) が含まれます。 BSSID はワイヤレス アクセス ポイントの mac アドレスです。 BSSID 要素は省略可能です。 次に、例を示します。

<bssid>12-ab-34-ff-e5-46</bssid>
セキュリティ

クライアントがワイヤレス ネットワークに接続するときに使用するセキュリティの種類が含まれます。 security 要素は必須であり、次のいずれかの値を含む必要があります。

説明
Open ワイヤレス ネットワークは、認証や暗号化を必要としないオープン ネットワークです。
Wep ワイヤレス ネットワークは、有線同等のプライバシーを使用して保護されます。
WPA-Personal ワイヤレス ネットワークは、保護されたアクセス Wi-Fi 使用して保護されます。
WPA-Enterprise ワイヤレス ネットワークは、保護された Access-Enterprise Wi-Fi 使用して保護されます。
WPA2-Personal ワイヤレス ネットワークは、Wi-Fi Protected Access 2 を使用して保護されます。これは通常、事前共有キーを使用します。
WPA2-Enterprise ワイヤレス ネットワークは、Wi-Fi Protected Access 2-Enterprise を使用して保護されます。

次に、例を示します。

<security>WPA2-Enterprise</security>

TrustedRootCA

ワイヤレス ネットワークの信頼されたルート証明書の拇印が含まれています。 任意の有効な信頼されたルート証明書を使用できます。 値は 16 進文字列として表され、文字列内の各バイトは 1 つのスペースで区切られます。 要素は省略可能です。 次に、例を示します。

<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>

Sig_quality

信頼された信号と見なすために必要なワイヤレス ネットワークの信号強度を表す、0 ~ 100 の範囲の数値が含まれます。

次に、例を示します。

<sig_quality>80</sig_quality>

信頼されたシグナル構成の例

重要

これらの例は、読みやすくするために改行されています。 正しい形式では、XML コンテンツ全体が 1 行になっている必要があります。

例 1

次の例では、Ipv4PrefixIpv4DnsServerDnsSuffix 要素を使用して IPConfig 信号の種類を構成します。

<rule schemaVersion="1.0">
    <signal type="ipConfig">
        <ipv4Prefix>10.10.10.0/24</ipv4Prefix>
        <ipv4DnsServer>10.10.0.1</ipv4DnsServer>
        <ipv4DnsServer>10.10.0.2</ipv4DnsServer>
        <dnsSuffix>corp.contoso.com</dnsSuffix>
    </signal>
</rule>

例 2

次の例では、dnsSuffix 要素と電話用の Bluetooth 信号を使用して IpConfig 信号の種類を構成します。 この例では、結果として得られる信号評価が true になるには、IpConfig または Bluetooth ルールのいずれかが true と評価される必要があることを意味します。

コンマを使用して各 rule 要素を区切ります。

<rule schemaVersion="1.0">
    <signal type="ipConfig">
        <dnsSuffix>corp.contoso.com</dnsSuffix>
    </signal>
</rule>,
<rule schemaVersion="1.0">
    <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

例 3

次の例では、複合要素を使用して例 2 と同じを and 構成します。 この例は、結果として得られる信号評価が true になるには、IpConfig Bluetooth ルールが true と評価される必要があることを意味します。

<rule schemaVersion="1.0">
<and>
  <signal type="ipConfig">
   <dnsSuffix>corp.microsoft.com</dnsSuffix>
  </signal>
  <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</and>
</rule>

例 4

次の例では、 Wi-Fi を 信頼された信号として構成します。

<rule schemaVersion="1.0">
  <signal type="wifi">
    <ssid>contoso</ssid>
    <bssid>12-ab-34-ff-e5-46</bssid>
    <security>WPA2-Enterprise</security>
    <trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
    <sig_quality>80</sig_quality>
  </signal>
</rule>

多要素ロック解除を構成する

多要素ロック解除を構成するには、次を使用できます。

  • Microsoft Intune/CSP
  • グループ ポリシー

重要

  • PIN は少なくとも 1 つのグループに含まれている必要があります
  • 信頼された信号は、別の資格情報プロバイダーと組み合わせる必要があります
  • 両方のカテゴリを満たすために同じロック解除係数を使用することはできません。 したがって、両方のカテゴリに資格情報プロバイダーを含める場合は、どちらのカテゴリも満たすことができますが、両方を満たさないことを意味します

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。

カテゴリ 設定名
管理用テンプレート>Windows Hello for Business デバイスロック解除プラグイン
  1. 「ロック解除要因の構成」の情報を使用して、1 番目と 2 番目のロック解除要素を構成する
  2. 信頼されたシグナルを使用する場合は、「信頼されたシグナル資格情報プロバイダーのシグナル 規則を構成する」の情報を使用して、ロック解除係数によって使用 される信頼されたシグナルを構成します

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

または、PassportForWork CSPカスタム ポリシーを使用してデバイスを構成することもできます。

設定
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock

重要

必要な要素がない場合は、ユーザーがデバイスのロックを解除できないように、Microsoft 以外のすべての資格情報プロバイダーを削除する必要があります。 フォールバック オプションとしてパスワードまたはスマート カードを使用できます (どちらも必要に応じて無効にすることができます)。

ユーザー エクスペリエンス

多要素ロック解除が有効になっている場合のユーザー エクスペリエンスを示す簡単なビデオを次に示します。

  1. ユーザーは最初に指紋 + Bluetooth ペアリングされた電話でサインインします
  2. その後、ユーザーは指紋 + PIN を使用してサインインします

トラブルシューティング

多要素ロック解除では、 アプリケーションとサービス ログ\Microsoft\Windows\HelloForBusiness の下のイベント ログにイベントを書き込み、カテゴリ名 Device Unlock を指定します。

イベント

イベント ID 詳細
3520 ロック解除の試行を開始しました
5520 ロック解除ポリシーが構成されていません
6520 警告イベント
7520 エラー イベント
8520 成功イベント