Windows デバイスでの Windows Hello for Business のしくみ
Windows Hello for Businessは、パスワードに代わるより安全な 2 要素資格情報です。 クラウドでもオンプレミスでも、Windows Hello for Business には展開オプションがあります。 クラウドデプロイの場合、Azure Active Directory 参加済み、Hybrid Azure Active Directory 参加済み、または Azure AD 登録済みデバイスで Windows Hello for Business を使用できます。 Windows Hello for Business は、ドメインに参加しているデバイスでも機能します。
Pieter Wigleven が Windows Hello for Business のしくみとそのサポート機能の一部について簡単に説明するこのクイック ビデオをご覧ください。
技術的な詳細情報
Windows Hello for Business は、複数のコンポーネントを使用してデバイスの登録、プロビジョニング、認証を行う分散システムです。 各カテゴリとそれらが Windows Hello for Business をサポートする方法について理解を深めるために、このセクションを使用してください。
デバイスの登録
登録は、Windows Hello for Business の基本的な前提条件です。 登録しなければ、Windows Hello for Businessプロビジョニングを開始できません。 登録は、デバイスが ID プロバイダーに ID を 登録する 場所です。 クラウドおよびハイブリッド展開の場合、ID プロバイダーはAzure Active Directory、そして デバイスは Azure Device Registration Service (ADRS) で登録されます。 オンプレミス展開の場合、ID プロバイダーはActive Directory フェデレーション サービス (AD FS) (AD FS) で、デバイスはフェデレーション サーバー (AD FS) でホストされているエンタープライズ デバイス登録サービスで登録されます。
詳細については、デバイス登録のしくみ を参照してください。
プロビジョニング
プロビジョニングとは、ユーザーが 1 つの形式の認証を使用して新しいWindows Hello for Business 資格情報を要求する場合のことです。 通常、ユーザーはユーザー名とパスワードを使用して Windows にサインインします。 プロビジョニング フローでは、強力な 2 要素 Windows Hello for Business 資格情報を作成する前に、2 番目の認証要素が必要となります。
Windows Hello for Business プロビジョニングのしくみについて、Matthew Palko と Ravi Vennapnapnap の説明をご覧ください。
詳細については、プロビジョニングのしくみ を参照してください。
認証
デバイスの登録とプロビジョニングが完了したら、ユーザーは生体認証または PIN を使用して Windows にサインインできます。 PIN は最も一般的なジェスチャであり、TPM を必要とするポリシーによって制限されていない限り、すべてのコンピューターで使用できます。 使用されるジェスチャに関係なく、認証は Windows Hello for Business 資格情報のプライベート部分を使用して行われます。 PIN や資格情報のプライベート部分が ID プロバイダーには送信されることはなく、PIN はデバイスに保存されません。 資格情報のプライベート部分を使用する操作を実行するときに、ユーザーが提供するエントロピーです。
Matthew Palko と Ravi Vennapnapnap による、Windows Hello for Business 認証のしくみについての説明をご覧ください。
詳細については 認証のしくみ を参照してください。