Windows Hello for Businessに関する一般的な質問

Windows Helloは、Windows で提供される生体認証フレームワークを表します。 Windows Helloを使用すると、ユーザーは生体認証を使用してユーザー名とパスワードを安全に保存し、ユーザーが生体認証を使用して自分を識別したときに認証のために解放することで、生体認証を使用してデバイスにサインインできます。 Windows Hello for Business の場合は、認証にユーザー ジェスチャ (暗証番号 (PIN) または生体認証) を必要とするデバイスのセキュリティ モジュールによって保護される非対称キーを使います。

3 つのメイン理由:

1. PIN はデバイスに関連付けられています。オンライン パスワードと Hello PIN の 1 つの重要な違いは、PIN が設定されている特定のデバイスに関連付けられている点です。 その PIN は、その特定のハードウェアを持っていない人には役に立ちません。 オンライン パスワードを取得したユーザーはどこからでもアカウントにサインインできますが、PIN を取得した場合は、デバイスにもアクセスする必要があります。 PIN は、その特定のデバイス以外では使用できません。 複数のデバイスでサインインする場合は、各デバイスで Hello を設定する必要があります
2. PIN はデバイスに対してローカルです。オンライン パスワードがサーバーに送信されます。 パスワードは転送中に傍受することも、サーバーから取得することもできます。 PIN はデバイスに対してローカルであり、どこにも送信されないため、サーバーには格納されません。 PIN の作成時には、ID プロバイダーとの信頼関係が確立され、認証に使われる非対称キー ペアが作成されます。 PIN を入力すると、認証キーのロックを解除します。認証キーは、認証サーバーに送信される要求の署名に使用されます。 Windows Hello for Businessでは、PIN は、トラステッド プラットフォーム モジュール (TPM) で秘密キーを読み込むために使用されるユーザー指定のエントロピです。 サーバーに PIN のコピーがありません。 その場合、Windows クライアントには現在の PIN のコピーもありません。 秘密キーに正常にアクセスするには、エントロピ、TPM で保護されたキー、そのキーを生成した TPM を指定する必要があります
3. PIN はハードウェアによってサポートされます。Hello PIN は、暗号化操作を実行するように設計されたセキュリティで保護された暗号化プロセッサであるトラステッド プラットフォーム モジュール (TPM) チップによってサポートされます。 このチップには、改ざんに強い複数の物理セキュリティ メカニズムが搭載されており、悪意のあるソフトウェアが TPM のセキュリティ機能を破ることはできません。 Windows はローカル パスワードを TPM にリンクしないため、PIN はローカル パスワードよりも安全と見なされます。 ユーザー キー マテリアルが生成され、デバイスの TPM 内で使用できます。 TPM は、キー マテリアルをキャプチャして再利用する攻撃者から保護します。 Hello では非対称キー ペアが使用されるため、ユーザーのアクセスが侵害された ID プロバイダーまたは Web サイトの場合、ユーザーの資格情報を盗むことはありません。 TPM は、PIN ブルート フォース攻撃など、さまざまな既知および潜在的な攻撃から保護します。 誤った推測が多すぎると、デバイスがロックされます

ステートメント PIN がパスワードよりも強い 場合は、PIN によって使用されるエントロピの強度に指示されません。 エントロピの提供と対称キー (パスワード) の使用の継続の違いについて説明します。 TPM には、ブルート フォース PIN 攻撃 (PIN のすべての組み合わせを試行する攻撃者の継続的な試行) を阻止するハンマー対策機能があります。 一部の組織では、肩サーフィンを心配する可能性があります。 これらの組織では、PIN の複雑さを増やすのではなく、 多要素ロック解除 機能を実装します。

TPM が保護するWindows Hello資格情報を侵害するには、攻撃者が物理デバイスにアクセスできる必要があります。 その後、攻撃者はユーザーの生体認証を偽装したり、PIN を推測したりする方法を見つける必要があります。 TPM のハンマリング防止保護によってデバイスがロックされる前に、これらすべてのアクションを実行する必要があります。

Windows Helloは、指紋、虹彩、または顔認識を使用した生体認証サインインを有効にします。 Windows Helloを設定すると、生体認証のセットアップ後に PIN を作成するように求められます。 PIN を使用すると、怪我のため、またはセンサーが使用できない、または正常に動作していないために、優先生体認証を使用できない場合にサインインできます。 生体認証サインインのみが構成されていて、何らかの理由でその方法を使用してサインインできなかった場合は、アカウントとパスワードを使用してサインインする必要があります。これにより、Hello と同じレベルの保護が提供されません。

キー マテリアルが生成されるたびに、攻撃から保護する必要があります。 これを実現する最も堅牢な方法は、ハードウェアをカスタマイズすることです。 ハードウェア セキュリティ モジュール (HSM) を使用して、セキュリティクリティカルなアプリケーションのキーを生成、格納、および処理する長い歴史があります。 スマート カードは特別な種類の HSM で、Trusted Computing Group TPM 標準に準拠しているデバイスでもあります。 可能な限り、Windows Hello for Business実装では、TPM ハードウェアのオンボードを利用してキーを生成および保護します。 管理者は、ソフトウェアでのキー操作を許可することもできますが、TPM ハードウェアの使用をお勧めします。 TPM は、PIN のブルート フォース攻撃など、さまざまな既知の潜在的な攻撃を防げます。 アカウント ロックアウト後も、TPM はさらなる保護を追加します。 TPM でキー マテリアルがロックされている場合、ユーザーは PIN をリセットする必要があります (つまり、IdP で再登録が許可される前に、ユーザーは MFA を使用して IdP に再認証する必要があります)。 PIN をリセットすると、古いキー マテリアルで暗号化されたすべてのキーと証明書は削除されます。

Windows Hello for Businessは、チケット システムを使用して PIN キャッシュ ユーザー エクスペリエンスを提供します。 プロセスは、PIN をキャッシュするのではなく、秘密キーの操作を要求するために使用できるチケットをキャッシュします。 Microsoft Entra IDと Active Directory のサインイン キーはロックの下にキャッシュされます。 つまり、ユーザーが対話形式でサインインしている限り、キーはプロンプトなしで使用できます。 Microsoft アカウントサインイン キーはトランザクション キーです。つまり、キーにアクセスするときにユーザーに常にメッセージが表示されます。

スマート カード (既定で有効になっているスマート カード エミュレーション) として使用されるWindows Hello for Businessは、既定のスマート カード PIN キャッシュと同じユーザー エクスペリエンスを提供します。 秘密キー操作を要求する各プロセスでは、初回使用時に PIN の入力を求められます。 それ以降の秘密キー操作では、ユーザーに PIN の入力を求められません。

Windows Hello for Business のスマート カード エミュレーション機能は、PIN を確認し、チケットと交換で PIN を破棄します。 プロセスは PIN を受け取るのではなく、秘密キー操作を許可するチケットを受け取ります。 キャッシュを調整するポリシー設定はありません。

Windows Helloに登録すると、登録プロファイルと呼ばれる生体認証の表現が作成されます。詳細については、顔認証Windows Hello参照してください。 この登録プロファイルの生体認証データはデバイス固有であり、デバイスにローカルに保存され、デバイスから離れたり、ユーザーとローミングしたりすることはありません。 一部の外部指紋センサーは、Windows デバイスではなく指紋モジュール自体に生体認証データを格納します。 この場合でも、生体認証データは、これらのモジュールにローカルに格納され、デバイス固有であり、ローミングせず、モジュールから離れることはなく、Microsoft クラウドまたは外部サーバーに送信されることはありません。 詳細については、「エンタープライズでの生体認証のWindows Hello」を参照してください。

Windows Hello生体認証データは、暗号化されたテンプレート データベースとしてデバイスに格納されます。 生体認証センサー (顔カメラや指紋リーダーなど) のデータは、デバイスに格納される前に暗号化されたデータ表現 (グラフ) を作成します。 Windows Hello (顔または指紋) によって使用されるデバイス上の各生体認証センサーには、テンプレート データが格納されている独自の生体認証データベース ファイルがあります。 各生体認証データベース ファイルは、SHA256 ハッシュを生成する AES 暗号化を使用してシステムに暗号化される、一意のランダムに生成されたキーで暗号化されます。

Windows Hello生体認証データは暗号化された形式で格納されるため、ユーザーやWindows Hello以外のプロセスはアクセスできなくなります。

Windows Hello生体認証テンプレート データベース ファイルは、ユーザーが生体認証ベースの認証に登録されている場合にのみ、デバイスWindows Hello作成されます。 IT 管理者はポリシー設定を構成できますが、生体認証または PIN を使用する場合は、常にユーザーが選択できます。 ユーザーは、デバイスのサインイン オプションに移動して、現在の登録をWindows Hello生体認証にチェックできます。 [スタート>設定] [アカウント] > の [サインイン オプション] > に移動します。 サインイン オプションにWindows Helloが表示されない場合は、デバイスで使用できないか、ポリシーを使用して管理者によってブロックされている可能性があります。 管理者は、Autopilot 中またはデバイスの初期セットアップ中に、ユーザーにWindows Helloへの登録を要求できます。 管理者は、Windows Hello for Businessポリシー構成を使用して、ユーザーが生体認証に登録することを禁止できます。 ただし、ポリシー構成を使用して許可されている場合、Windows Hello生体認証への登録は常に省略可能です。

デバイスからWindows Helloおよび関連付けられている生体認証識別データを削除するには、[スタート>設定>アカウント>] サインイン オプションを開きます。 削除するWindows Hello生体認証方法を選択し、[削除] を選択します。 このアクションは、Windows Hello生体認証から登録を解除し、関連付けられている生体認証テンプレート データベース ファイルを削除します。 詳細については、「 Windows サインイン オプションとアカウント保護 (microsoft.com)」を参照してください。

バージョン 2203 Configuration Manager以降、Configuration Manager を使用したWindows Hello for Businessデプロイはサポートされなくなりました。

コマンド certutil.exe -deleteHelloContainerを実行して、Windows Hello for Business コンテナーを削除できます。

ユーザーがパスワードでサインインできる場合は、設定アプリの [ PIN を忘れた 場合] リンクを選択するか、ロック画面から PIN 資格情報プロバイダーの [ PIN を忘れた 場合] リンクを選択することで、PIN をリセットできます。

オンプレミス展開の場合、PIN をリセットするには、デバイスをオンプレミス ネットワーク (ドメイン コントローラーまたは証明機関) に接続する必要があります。 ハイブリッド展開では、Microsoft Entra テナントをオンボードして、Windows Hello for Business PIN リセット サービスを使用して PIN をリセットできます。 非破壊的な PIN リセットは、企業ネットワークにアクセスすることなく機能します。 破壊的な PIN リセットには、企業ネットワークへのアクセスが必要です。 破壊的な PIN リセットと非破壊的 PIN リセットの詳細については、「 PIN リセット」を参照してください。

はい、できます。 単純な PIN のアルゴリズムでは、ある数字から別の数字に一定の差分で変化する PIN は検出され、許可されません。 このアルゴリズムは、次の桁に到達するために必要なステップ数をカウントし、10 ('ゼロ') でオーバーフローします。 以下に例を示します。

• PIN 1111 のデルタは定数 (0,0,0) であるため、許可されません
• PIN 1234 には定数デルタ (1,1,1) があるため、許可されません
• PIN 1357 の定数デルタは (2,2,2)であるため、許可されません
• PIN 9630 の定数デルタは (7,7,7)であるため、許可されません
• PIN 1593 の定数デルタは (4,4,4)であるため、許可されません
• PIN 7036 の定数デルタは (3,3,3)であるため、許可されません
• PIN 1231 には定数デルタ (1,1,2) がないため、許可されます
• PIN 1872 には定数デルタ (7,9,5) がないため、許可されます

このチェックでは、繰り返し番号、連続する数値、単純なパターンが防止されます。 常に 100 個の許可されていない PIN の一覧が表示されます (PIN の長さに関係なく)。 このアルゴリズムは英数字 PIN には適用されません。

Microsoft が正常に動作し続け、不正行為の検出と防止を支援し、Windows Helloの改善を続けるために、Windows Helloの使用方法に関する診断データが収集されます。 次に、例を示します。

• ユーザーが顔、虹彩、指紋、または PIN でサインインするかどうかに関するデータ
• ユーザーが使用する回数
• それが機能するかどうかすべてこれは、Microsoft がより良い製品を構築するのに役立つ貴重な情報です。 データは仮名化され、生体情報は含まれません。Microsoft に送信される前に暗号化されます。 診断データの Microsoft への送信はいつでも停止できます。 Windows の診断データの詳細については、こちらをご覧ください。

いいえ、そうではありません。 パスワードからの移行は、パスワードの使用を徐々に少なくすることによって実現されます。 生体認証を使用して認証できない状況では、パスワードではないフォールバック メカニズムが必要です。 PIN はフォールバック メカニズムです。 PIN 資格情報プロバイダーを無効または非表示にすると、生体認証の使用が無効になります。

承認されていないユーザーは生体認証オプションを利用できず、PIN を入力する唯一のオプションがあります。

ユーザーがランダム PIN を入力してデバイスのロックを解除しようとすると、3 回失敗した後、資格情報プロバイダーに次のメッセージが表示されます。 間違った PIN を複数回入力しました。もう一度やり直すには、下の「A1B2C3」と入力します。 チャレンジ フレーズ A1B2C3 を入力すると、ユーザーには PIN を入力する機会がもう 1 つ付与されます。 失敗した場合、プロバイダーは無効になり、ユーザーはデバイスを再起動するための唯一のオプションを残します。 再起動後、前述のパターンが繰り返されます。

試行が失敗した場合、デバイスはロックアウト状態になり、最初の再起動後 1 分、4 回目の再起動後 2 分、5 回目の再起動から 10 分後に続きます。 各ロックアウトの期間は、それに応じて増加します。 この動作は、TPM 2.0 のハンマリング防止機能の結果です。 TPM のハンマリング防止機能の詳細については、「 TPM 2.0 のハンマリング防止」を参照してください。

はい、できます。 オンプレミスのWindows Hello for Business展開を使用し、インターネット接続を必要としない Microsoft 以外の MFA プロバイダーと組み合わせて、エアギャップWindows Hello for Business展開を実現できます。

1 つのデバイスでサポートされている登録の最大数は 10 です。 これにより、10 人のユーザーがそれぞれ顔と最大 10 個の指紋を登録できます。 ユーザーが 10 人を超えるデバイスの場合、または多数のデバイス (サポート技術者など) にサインインするユーザーの場合は、FIDO2 セキュリティ キーの使用をお勧めします。

いいえ、そうではありません。 organizationが Microsoft クラウド サービスを使用している場合は、ハイブリッド デプロイ モデルを使用する必要があります。 オンプレミスのデプロイは、クラウドに移行する前に時間を必要とし、Active Directory のみを使用する組織に限定されます。

Microsoft Entra接続同期: Microsoft Entra IDに同期される属性に関するページで、シナリオに基づいて同期する属性の一覧を確認します。 Windows Hello for Businessを含む基本シナリオは、Windows 10シナリオとデバイス ライトバック シナリオです。 環境には、他の属性が含まれている場合があります。

はい。フェデレーション ハイブリッド展開を使用している場合は、AD FS MFA アダプターを提供する Microsoft 以外の任意のアダプターを使用できます。 Microsoft 以外の MFA アダプターの一覧については、 こちらを参照してください。

Windows Hello for Businessは、プロビジョニング エクスペリエンス中に使用されるプロトコルをサポートする Microsoft 以外のフェデレーション サーバーと連携します。

Windows Hello for Businessは、ローカル アカウントで動作するようには設計されていません。

詳細については、Windows Hello生体認証要件に関するページを参照してください。

同様のマスクを装着している他のユーザーがデバイスのロックを解除できる可能性があるため、登録するマスクを着用することはセキュリティ上の問題です。 顔認証を使用して登録またはロック解除するときにマスクを装着している場合は、マスクWindows Hello削除します。 作業環境でマスクを一時的に削除できない場合は、顔認証からの登録を解除し、PIN または指紋のみを使用することを検討してください。

ポリシーによって機能が有効になっている場合、ユーザーは、Microsoft Entra登録済みデバイスにWindows Hello for Business キーを設定するように求められます。 ユーザーが既存のWindows Hello コンテナーを持っている場合、Windows Hello for Business キーはそのコンテナーに登録され、既存のジェスチャを使用して保護されます。

ユーザーがWindows Helloを使用してMicrosoft Entra登録済みデバイスにサインインした場合、Microsoft Entra リソースを使用しようとしたときに、そのWindows Hello for Business キーを使用してユーザーの仕事用 ID が認証されます。 Windows Hello for Business キーは、多要素認証 (MFA) 要件Microsoft Entra満たし、リソースにアクセスするときにユーザーに表示される MFA プロンプトの数を減らします。

ドメインに参加しているデバイスをMicrosoft Entra登録できます。 ドメインに参加しているデバイスに便利な PIN がある場合、便利な PIN でサインインしても機能しなくなります。 この構成は、Windows Hello for Businessではサポートされていません。

詳細については、「登録済みデバイスのMicrosoft Entra」を参照してください。

Windows Hello for Businessは、Windows プラットフォームの機能です。

いいえ、Microsoft Entra Domain Servicesは Azure で個別に管理される環境であり、クラウド Microsoft Entra IDへのハイブリッド デバイス登録は、Microsoft Entra Connect を介して利用できません。 したがって、Windows Hello for BusinessはMicrosoft Entra Domain Servicesでは機能しません。

Windows Hello for Businessは、自分が持っているもの、知っていること、および自分の一部であるという、観察された認証要素に基づく 2 要素認証です。 Windows Hello for Business は、これらの認証要素のうち、ユーザーが所有しているもの (デバイスのセキュリティ モジュールによって保護されるユーザーの秘密キー) とユーザーが知っていること (ユーザーの PIN) の 2 つを実装しています。 適切なハードウェアがあれば、生体認証を導入して、ユーザー エクスペリエンスを向上できます。 生体認証を使用すると、"知っているもの" の認証要素を "自分の一部である" 要素に置き換えることができます。ユーザーが "既知の要素" にフォールバックできることを保証します。

どちらの種類の認証も同じセキュリティを提供します。1 つは他のものよりも安全ではありません。 デプロイの信頼モデルによって、Active Directory に対する認証方法が決まります。 キー信頼と証明書信頼の両方で、同じハードウェアでサポートされた 2 要素資格情報が使用されます。 2 つの信頼の種類の違いは、エンド エンティティ証明書の発行です。

• キー信頼モデルは、生のキーを使用して Active Directory に対して認証します。 キー信頼にはエンタープライズ発行の証明書は必要ないため、ユーザーに証明書を発行する必要はありません (ドメイン コントローラー証明書は引き続き必要です)
• 証明書信頼モデルは、証明書を使用して Active Directory に対して認証します。 そのため、ユーザーに証明書を発行する必要があります。 証明書信頼で使用される証明書は、TPM で保護された秘密キーを使用して、企業の発行元 CA に証明書を要求します

便利な PIN を使用すると、パスワードよりも簡単に Windows にサインインできますが、認証にはパスワードが引き続き使用されます。 適切な利便性 PIN が Windows に提供されると、パスワード情報がキャッシュから読み込まれ、ユーザーが認証されます。 便利な PIN を使用する組織は、Windows Hello for Businessに移行する必要があります。 新しい Windows 展開では、便利な PIN ではなく、Windows Hello for Businessを展開する必要があります。

いいえ、そうではありません。 Microsoft Entra参加済みデバイスとハイブリッド参加済みデバイスMicrosoft Entraに便利な PIN を設定することは可能ですが、Microsoft Entra ユーザー アカウント (同期された ID を含む) では便利な PIN はサポートされていません。 便利な PIN は、オンプレミスの Active Directory ユーザーとローカル アカウント ユーザーに対してのみサポートされます。

Windows Hello for Business は、Windows の最新の 2 要素認証です。 仮想スマート カードを使用しているお客様は、Windows Hello for Business に移行することを強くお勧めします。

必要な URL の一覧については、「 Microsoft 365 Common and Office Online」を参照してください。

環境でMicrosoft Intuneを使用している場合は、「Microsoft Intuneのネットワーク エンドポイント」を参照してください。

はい。デバイスに内蔵Windows Helloカメラがある場合は、外部Windows Hello対応カメラを使用できます。 両方のカメラが存在する場合、外部カメラは顔認証に使用されます。 詳細については、「Windows 10 バージョン 21H1 をサポートする IT ツール」を参照してください。 ESS が有効になっている場合は、「拡張サインイン セキュリティWindows Hello」を参照してください。

閉じたキーボードを備えたノート PC やタブレットの中には、外部Windows Hello互換性のあるカメラや、コンピューターが蓋を閉じた状態でドッキングされている場合、その他のWindows Hello互換性のあるアクセサリが使用されていない場合があります。 この問題は、バージョン 22H2 Windows 11で解決されました。

Windows Hello for Business資格情報は、プライベート ブラウザー モードまたはシークレット モードでは使用できないデバイスの状態にアクセスする必要があります。 そのため、プライベート ブラウザーまたはシークレット モードでは使用できません。

多要素ロック解除を使用して、ユーザーがデバイスのロックを解除するための追加の要素を提供することを要求できます。 認証は 2 要素のままですが、Windows でユーザーがデスクトップに到達するまでに、もう 1 つの要素が必要です。 詳細については、「 多要素ロック解除」を参照してください。

Windows Hello for Businessクラウド Kerberos 信頼は、ハイブリッド参加済みデバイスとオンプレミス リソース アクセスMicrosoft Entraセキュリティ キー サインインをサポートするために導入されたインフラストラクチャを使用して、Windows Hello for Businessデプロイを可能にする信頼モデルです参加済みデバイスMicrosoft Entra。 証明書認証シナリオをサポートする必要がない場合は、Cloud Kerberos 信頼が推奨されるデプロイ モデルです。 詳細については、「 Cloud Kerberos trust deployment」を参照してください。

この機能は、純粋なオンプレミス AD ドメイン サービス環境では機能しません。

クラウド Kerberos 信頼Windows Hello for Business、部分的な TGT を交換する書き込み可能な DC を探します。 サイトごとに少なくとも 1 つの書き込み可能な DC がある限り、クラウド Kerberos 信頼を使用したログインは機能します。

クラウド Kerberos の信頼Windows Hello for Business、次の場合にドメイン コントローラーへの視線が必要です。

• ユーザーが初めてサインインするか、プロビジョニング後にWindows Hello for Businessでロックを解除する
• Active Directory によってセキュリティ保護されたオンプレミス リソースにアクセスしようとしています

クラウド Kerberos 信頼Windows Hello for Business RDP/VDI で指定された資格情報として使用することはできません。 キーの信頼と同様に、この目的のために証明書が Windows Hello for Business に登録されている場合は、クラウド Kerberos 信頼を RDP に使用できます。 別の方法として、証明書を展開する必要のない リモート資格情報ガード の使用を検討してください。

いいえ。すべてのクラウド Kerberos 信頼デバイスからの負荷を処理するために必要な数だけです。

ハイブリッド展開では、ドメイン コントローラーに対する認証に使用する前に、ユーザーの公開キーを Microsoft Entra ID から Active Directory に同期する必要があります。 この同期は、Microsoft Entra Connect によって処理され、通常の同期サイクル中に発生します。

リモート デスクトップ プロトコル (RDP) では、指定された資格情報としてのキーベースの認証の使用はサポートされていません。 ただし、キー信頼モデルに証明書をデプロイして RDP を有効にすることはできます。 詳細については、「 キー信頼ユーザーに証明書を展開して RDP を有効にする」を参照してください。 別の方法として、証明書を展開する必要のない リモート資格情報ガード の使用を検討してください。