デュアル登録
この記事では、次Windows Hello for Business適用される機能またはシナリオについて説明します。
- 展開の種類:オンプレミスを使用して行われます。ハイブリッドを介して行われます
- 信頼の種類:
- 結合の種類:。ハイブリッド参加ハイブリッド参加の両方にシングル サインオンしますMicrosoft Entra
重要
デュアル登録では、Privileged Access Workstations 機能と同じセキュリティが置き換えられるか、提供されません。 Microsoft は、特権アクセス ワークステーションを特権資格情報ユーザーに使用することを組織に推奨します。 組織は、Privileged Access 機能を使用できない状況で、Windows Hello for Business二重登録を検討できます。 詳細については、「 Privileged Access Workstations」を参照してください。
デュアル登録を使用すると、管理者は特権のない資格情報と特権を持つ資格情報の両方をデバイスに登録することで、管理者特権の管理機能を実行できます。
設計上、Windows はユーザーのセッション内からすべてのWindows Hello for Businessユーザーを列挙するわけではありません。 グループ ポリシー設定 [エミュレートされたスマート カードの列挙をすべてのユーザーに許可する] を使用して、選択したデバイスに登録されているすべてのWindows Hello for Business資格情報を列挙するようにデバイスを構成できます。
この設定を使用すると、管理ユーザーは、メールなどの通常のワークフローの特権のないWindows Hello資格情報を使用して Windows にサインインできますが、[別のユーザーとして実行] または [管理者として実行] を選択し、特権ユーザー アカウントを選択し、PIN を指定することで、Microsoft 管理コンソール (MMC)、リモート デスクトップ サービス クライアント、およびその他のアプリケーションを起動できます。 管理者は、 引数と組み合わせてを使用 runas.exe
して、コマンド ライン アプリケーションでこの機能を /smartcard
利用することもできます。 これにより、管理者は、サインインやサインアウトを必要とせずに日常的な操作を実行したり、特権ワークロードと非特権ワークロードを交互に切り替えるときに高速なユーザー切り替えを使用したりできます。
重要
ユーザー (特権または非特権) のプロビジョニングをWindows Hello for Businessする前に、Windows Hello for Businessデュアル登録用に Windows コンピューターを構成する必要があります。 デュアル登録は、作成時にWindows Hello コンテナーで構成される特別な設定です。
デュアル登録Windows Hello for Business構成する
デュアル登録を有効にする手順を次に示します。
- ドメイン管理者の登録をサポートするように Active Directory を構成する
- グループ ポリシーを使用してデュアル登録を構成する
ドメイン管理者の登録をサポートするように Active Directory を構成する
設計されたWindows Hello for Business構成では、属性に対するKey Admins
読み取りおよび書き込みアクセス許可がグループにmsDS-KeyCredentialsLink
付与されます。 ドメインのルートでこれらのアクセス許可を指定し、オブジェクトの継承を使用して、ドメイン階層内の場所に関係なく、ドメイン内のすべてのユーザーにアクセス許可が確実に適用されるようにしました。
Active Directory Domain Servicesを使用AdminSDHolder
して、特権ユーザーとグループのセキュリティを比較し、1 時間ごとに AdminSDHolder オブジェクトで定義されているものと一致するように置き換えることによって、意図しない変更から特権ユーザーとグループをセキュリティで保護します。 Windows Hello for Businessの場合、ドメイン管理者アカウントはアクセス許可を受け取る可能性がありますが、属性に読み取りおよび書き込みアクセス許可msDS-KeyCredential
を付与AdminSDHolder
しない限り、ユーザー オブジェクトから消えます。
ドメイン管理者と同等のアクセス権を持つ ドメイン コントローラーまたは管理ワークステーションにサインインします。
次のコマンドを入力して、オブジェクトのグループの msDS-KeyCredentialLink 属性の読み取りおよび書き込み許可プロパティのアクセス許可を
Key Admins
AdminSDHolder
追加しますdsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink
は
DC=domain,DC=com
Active Directory ドメインの LDAP パスであり、domainName\keyAdminGroup
ドメインの NetBIOS 名と、デプロイに基づいてキーへのアクセスを許可するために使用するグループの名前です。 次に、例を示します。dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink
セキュリティ記述子の伝達をトリガーするには、
ldp.exe
[ 接続] を選択し、[ 接続]を選択します。 [ サーバー] の横に、ドメインの PDC ロールを保持するドメイン コントローラーの名前を入力します。 [ポート] の横に「389」と入力し、[OK] を選択します。
[ 接続] を選択し、[ バインド]を選択します。 [ OK] を 選択して、現在サインインしているユーザーとしてバインドします
[ ブラウザー ] を選択し、[変更] を選択 します。 [DN] テキスト ボックスは空白のままにします。 [属性] の横に「RunProtectAdminGroupsTask」と入力します。 [ 値] の横に「」と入力します
1
。 [Enter] を選択して、エントリ リストに追加します[ 実行] を 選択してタスクを開始します
LDP を閉じる
グループ ポリシーを使用してデュアル登録を構成する
グループ ポリシー オブジェクトのコンピューター構成部分を使用して、デュアル登録をサポートするように Windows を構成します。
- グループ ポリシー管理コンソール (GPMC) を使用して、新しいドメイン ベースのグループ ポリシー オブジェクトを作成し、特権ユーザーが使用する Active Directory コンピューター オブジェクトを含む組織単位にリンクします
- 手順 1 からグループ ポリシー オブジェクトを編集する
- [コンピューターの構成>] [管理用テンプレート] -[Windows コンポーネント>] -Windows Hello for Businessにある [エミュレートされたスマート カードの列挙をすべてのユーザーに許可する] ポリシー設定を>有効にする
- グループ ポリシー管理エディターを閉じて、グループ ポリシー オブジェクトを保存します。 GPMC を閉じる
- このグループ ポリシー オブジェクトの対象となるコンピューターを再起動する
コンピューターはデュアル登録の準備ができています。 最初に特権ユーザーとしてサインインし、Windows Hello for Businessに登録します。 完了したら、サインアウトして特権のないユーザーとしてサインインし、Windows Hello for Businessに登録します。 パスワードを使用せずに、ユーザーを切り替えることなく、特権資格情報を使用して特権タスクを実行できるようになりました。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示