Windows Hello for Businessを使用してオンプレミス Single-Sign On 用に Azure AD 参加済みデバイスを構成する

前提条件

Azure Active Directory (Azure AD) 参加済みデバイスを既存のハイブリッド デプロイに追加する前に、既存のデプロイが Azure AD 参加済みデバイスをサポートできることを確認する必要があります。 ハイブリッド Azure AD 参加済みデバイスとは異なり、Azure AD 参加済みデバイスには Active Directory ドメインとの関係はありません。 この要素により、ユーザーの Active Directory に対する認証方法が変わります。 次の構成を検証して、Azure AD 参加済みデバイスがサポートされていることを確認します。

  • Azure Active Directory Connect の同期
  • デバイスの登録
  • 証明書失効リスト (CRL) 配布ポイント (CDP)
  • 2016 ドメイン コントローラー
  • ドメイン コントローラー証明書
  • オンプレミスのドメイン コントローラーに到達するためのネットワーク インフラストラクチャの配置。 外部コンピューターの場合は、VPN ソリューションを使用して実現できます。

Azure Active Directory Connect の同期

Azure AD 参加およびハイブリッド Azure AD 参加デバイスによって、ユーザーの Windows Hello for Business の資格情報が Azure に登録されます。 オンプレミスの認証を有効にするには、キーまたは証明書のどちらを使用しているかに関係なく、資格情報をオンプレミスの Active Directory に同期する必要があります。 Azure AD Connect が正常にインストールされ、機能していることを確認します。 Azure AD Connect について詳しくは、「オンプレミスのディレクトリを Azure Active Directory と統合する」をご覧ください。

Azure AD Connect をインストールした後で、Active Directory スキーマを Windows Server 2016 スキーマにアップグレードした場合は、Azure AD Connect を実行し、タスクの一覧から [ディレクトリ スキーマの更新] を実行します。 Azure AD Connect スキーマの更新。

Azure Active Directory Device Registration

すべてのクラウドおよびハイブリッド Windows Hello for Business 展開の基本的な前提条件は、デバイスの登録です。 プロビジョニングしようとしているデバイスが Azure Active Directory に登録されていない限り、ユーザーは Windows Hello for Business をプロビジョニングできません。 デバイス登録について詳しくは、「Azure Active Directory のデバイス管理の概要」をご覧ください。

デバイスが Azure Active Directory に登録されているかどうかを判断するには、dsregcmd.exe コマンドを使用できます。 dsregcmd 出力。

CRL 配布ポイント (CDP)

証明機関によって発行された証明書は失効させることができます。 証明機関が証明書を失効すると、証明書に関する情報が失効リストに書き込まれます。 証明書の検証中、Windows は証明書内の CRL 配布ポイントを参照して、失効した証明書の一覧を取得します。 検証では、証明書が引き続き有効であるかどうかを判断するために、現在の証明書と証明書失効リストの情報が比較されます。

LDAP CDP を使用したドメイン コントローラー証明書。

上記のドメイン コントローラー証明書には、Active Directory を使用した CRL 配布パス (CDP) が示されています。 これを判断できるのは、URL の値が ldap で始まるためです。 ドメインに参加しているデバイスに Active Directory を使用すると、高可用性 CRL 配布ポイントが提供されます。 ただし、Azure Active Directory に参加しているデバイスと Azure Active Directory 参加済みデバイス上のユーザーは Active Directory からデータを読み取ることができません。証明書の検証では、証明書失効リストを読み取る前に認証する機会はありません。 これは、ユーザーが認証を試行しており、認証を完了するために Active Directory を読み取る必要があるが、認証されていないために Active Directory を読み取ることができない場合に、循環的な問題になります。

この問題を解決するには、CRL 配布ポイントは、認証を必要としない Azure Active Directory 参加済みデバイスからアクセスできる場所である必要があります。 最も簡単な解決策は、HTTP (HTTPS ではなく) を使用する Web サーバーで CRL 配布ポイントを公開することです。

CRL 配布ポイントに HTTP 配布ポイントが表示されない場合は、発行元証明機関が HTTP CRL 配布ポイントを含めるように再構成する必要があります (可能であれば配布ポイントの一覧の先頭にします)。

注意

CA で Base CRL と Delta CRL の両方が公開されている場合は、公開されている Delta CRL が HTTP パスに含まれていることを確認してください。 Delta CRL を取得できるように Web サーバーを含めるには、(IIS) Web サーバーでダブル エスケープを許可します。

Windows Server 2016 ドメイン コントローラー

証明書ではなく Windows Hello for Business キーを使用する環境の構成に関心がある場合は、環境に十分な数の Windows Server 2016 ドメイン コントローラーが必要です。 Windows Hello for Business キーを使用してユーザーを認証できるのは、Windows Server 2016 ドメイン コントローラーのみです。 "十分な" とは何を意味するのでしょうか? よくぞ聞いてくれました。 詳しくは、「Windows Hello for Business 展開用の適切な数の Windows Server 2016 ドメイン コントローラーの計画」をご覧ください。

キーではなく Windows Hello for Business 証明書を使用するように環境を構成することに関心がある場合、適切な場所を参照しています。 Windows Server 2016 ドメイン コントローラーを使用しているか、または以前のバージョンの Windows Server を実行しているドメイン コントローラーを使用しているかどうかにかかわらず、ドメイン コントローラーで同じ証明書の構成が必要になります。 Windows Server 2016 ドメイン コントローラーの要件は単に無視できます。

ドメイン コントローラー証明書

証明機関は、証明書の発行時に CRL 配布ポイントを証明書に書き込みます。 配布ポイントが変更された場合は、証明機関が新しい CRL 配布ポイントを含めるように、以前に発行した証明書を再発行する必要があります。 ドメイン コントローラー証明書は、Active Directory への認証を行う Azure AD 参加済みデバイスの重要なコンポーネントの 1 つです。

Windows がドメイン コントローラー証明書を検証する必要があるのはなぜですか?

Windows Hello for Businessは、Azure AD 参加済みデバイスからドメインへの認証時に、厳密な KDC 検証セキュリティ機能を適用します。 この適用により、キー配布センター (KDC) で満たす必要があるより制限の厳しい条件が課されます。 Azure AD 参加済みデバイスでWindows Hello for Businessを使用して認証する場合、Windows クライアントは、次のすべてが満たされていることを確認することで、ドメイン コントローラーからの応答を検証します。

  • ドメイン コント ローラーに、証明書の秘密キーが提供されている。
  • ドメイン コントローラーの証明書を発行したルート CA が、デバイスの信頼されたルート証明機関に含まれている。
  • 他の古いテンプレートの代わりに Kerberos 認証証明書テンプレートを使用する。
  • ドメイン コントローラーの証明書には、 KDC 認証 強化キー使用法 (EKU) があります。
  • ドメイン コントローラーの証明書のサブジェクト代替名には、ドメインの名前に一致する DNS 名がある。
  • ドメイン コントローラーの証明書の署名ハッシュ アルゴリズムは sha256 です
  • ドメイン コントローラーの証明書の公開キーは RSA (2048 ビット) です

Windows Hello for Businessを使用してハイブリッド Azure AD 参加済みデバイスからドメインへの認証では、ドメイン コントローラー証明書に KDC 認証 EKU が含まれているという強制は行われません。 既存のドメイン環境に Azure AD 参加済みデバイスを追加する場合は、 KDC 認証 EKU を含むドメイン コントローラー証明書が更新されていることを確認してください。 KDC 認証 EKU を含めるためにドメイン コントローラー証明書を更新する必要がある場合は、「ハイブリッド Windows Hello for Businessの構成: 公開キー インフラストラクチャ」の手順に従います。

ヒント

Windows Server 2008 を使用している場合、Kerberos 認証は既定のテンプレートではないため、証明書を発行または再発行するときは必ず正しいテンプレートを使用してください。

発行元証明機関の CRL 配布ポイントを構成する

この一連の手順を使用して、ドメイン コントローラー証明書を発行して、http ベースの CRL 配布ポイントを含める証明機関を更新します。

次のような手順を実行します。

インターネット インフォメーション サービスが CRL 配布ポイントをホストするように構成する

Azure AD 参加済みデバイスが認証なしで証明書を簡単に検証できるように、Web サーバーの新しい証明書失効リストをホストする必要があります。 これらのファイルは、Web サーバーでさまざまな方法でホストできます。 次の手順はそのうちの 1 つで、新しい CRL 配布ポイントの追加に習熟していないユーザーに役立つ可能性があります。

重要

CRL 配布ポイントをホストしている IIS サーバーが https またはサーバー認証証明書を使用するように構成しないでください。 クライアントは、http を使用して配布ポイントにアクセスする必要があります。

Web サーバーのインストール

  1. ローカル管理者としてサーバーにサインインし、[サーバー マネージャー] を起動します (サインイン時に起動しなかった場合)。
  2. ナビゲーション ウィンドウで [ローカル サーバー] ノードをクリックします。 [管理] をクリックし、[役割と機能の追加] をクリックします。
  3. [役割と機能の追加ウィザード] で、[サーバーの選択] をクリックします。 選択したサーバーがローカル サーバーであることを確認します。 [サーバー ロール] をクリックします。 [Web サーバー (IIS)] の横のチェック ボックスをオンにします。
  4. ウィザードの残りのオプションで [次へ] をクリックし、既定値を受け入れて、Web サーバーの役割をインストールします。

Web サーバーを構成する

  1. [Windows 管理ツール] で、[インターネット インフォメーション サービス (IIS) マネージャー] を開きます。

  2. ナビゲーション ウィンドウを展開して、[Default Web Site] を表示します。 [既定の Web サイト] を選択して右クリックし、[仮想ディレクトリの追加] をクリックします。

  3. [仮想ディレクトリの追加] ダイアログ ボックスで、[エイリアス] に「cdp」と入力します。 物理パスで、証明書失効リストをホストする物理ファイルの場所を入力または参照します。 この例では、パス c:\cdpが使用されています。 [OK] をクリックします。 Virtual Directory を追加します。

    注意

    後で共有とファイルのアクセス許可を構成するときに使用するため、このパスをメモしておきます。

  4. ナビゲーション ウィンドウの [Default Web Site][CDP] を選択します。 コンテンツ ウィンドウで [ディレクトリの参照] をダブルクリックします。 詳細ウィンドウで、[有効] をクリックします。

  5. ナビゲーション ウィンドウの [Default Web Site][CDP] を選択します。 [構成エディター] をダブルクリックします。

  6. [セクション] の一覧で、system.webServer/security/requestFiltering に移動します。 IIS 構成エディター requestFiltering。
    コンテンツ ウィンドウの名前付きの値ペアの一覧で、[allowDoubleEscaping][True] に構成します。 操作ペインで [適用] をクリックします。 IIS 構成エディターのダブル エスケープ。

  7. インターネット インフォメーション サービス (IIS) マネージャーを閉じます。

CRL 配布ポイント URL の DNS リソース レコードを作成する

  1. DNS サーバーまたは管理ワークステーションで、[管理ツール] から [DNS マネージャー] を開きます。
  2. [前方参照ゾーン] を展開して、ドメインの DNS ゾーンを表示します。 ナビゲーション ウィンドウでドメイン名を右クリックし、[新しいホスト (A または AAAA)] をクリックします。
  3. [新しいホスト] ダイアログ ボックスで、[名前] に「crl」と入力します。 [IP アドレス] に、構成した Web サーバーの IP アドレスを入力します。 [ホストの追加] をクリックします。 [OK] をクリックして、[DNS] ダイアログ ボックスを閉じます。 [完了] をクリックします。 DNS ホスト レコードを作成します。
  4. DNS マネージャーを閉じます。

証明書失効リストをホストするファイル共有を準備する

これらの手順では、証明機関が証明書失効リストを自動的に公開できるように、Web サーバーに NTFS と共有のアクセス許可を構成します。

CDP ファイル共有を構成する

  1. Web サーバーで、エクスプローラーを開き、Web サーバーを構成するの手順 3 で作成した cdp フォルダーに移動します。
  2. cdp フォルダーを右クリックし、[プロパティ] をクリックします。 [共有] タブをクリックし、[詳細な共有] をクリックします。
  3. [このフォルダを共有する] を選択します。 [共有名] に「cdp$」と入力します。 [アクセス許可] をクリックします。 cdp 共有。
  4. [cdp$ のアクセス許可] ダイアログ ボックスで、[追加] をクリックします。
  5. [ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスで、[オブジェクトの種類] をクリックします。 [オブジェクトの種類] ダイアログ ボックスで、[コンピューター] を選択し、[OK] をクリックします。
  6. [ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスの [選択するオブジェクト名を入力してください] に、証明書失効リストを発行する証明機関を実行しているサーバーの名前を入力し、[名前の確認] をクリックします。 [OK] をクリックします。
  7. [cdp$ のアクセス許可] ダイアログ ボックスで、[グループ名またはユーザー名] の一覧から証明機関を選択します。 [権限の適用先] セクションで、[フル コントロール][許可] を選択します。 [OK] をクリックします。 CDP 共有アクセス許可。
  8. [詳細な共有] ダイアログ ボックスで、[OK] をクリックします。

ヒント

ユーザーが \\Server FQDN\sharename にアクセスできることを確認します。

キャッシュの無効化

  1. Web サーバーで、エクスプローラーを開き、Web サーバーを構成するの手順 3 で作成した cdp フォルダーに移動します。
  2. cdp フォルダーを右クリックし、[プロパティ] をクリックします。 [共有] タブをクリックし、[詳細な共有] をクリックします。
  3. [キャッシュ] をクリックします。 [共有フォルダーにあるファイルやプログラムはオフラインで利用可能にしない] を選択します。 CDP では、キャッシュを無効にします。
  4. [OK] をクリックします。

CDP フォルダーの NTFS アクセス許可を構成する

  1. Web サーバーでエクスプローラーを開き、Web サーバーを構成するの手順 3 で作成した cdp フォルダーに移動します。
  2. cdp フォルダーを右クリックし、[プロパティ] をクリックします。 [セキュリティ] タブをクリックします。
  3. [セキュリティ] タブで、[編集] をクリックします。
  4. [cdp のアクセス許可] ダイアログ ボックスで、[追加] をクリックします。 CDP NTFS アクセス許可。
  5. [ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスで、[オブジェクトの種類] をクリックします。 [オブジェクトの種類] ダイアログ ボックスで、[コンピューター] を選択します。 [OK] をクリックします。
  6. [ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスの [選択するオブジェクト名を入力してください] に、証明機関の名前を入力し、[名前の確認] をクリックします。 [OK] をクリックします。
  7. [cdp のアクセス許可] ダイアログ ボックスで、[グループ名またはユーザー名] の一覧から証明機関の名前を選択します。 [権限の適用先] セクションで、[フル コントロール][許可] を選択します。 [OK] をクリックします。
  8. [CDP プロパティ] ダイアログ ボックスで、[閉じる] をクリックします。

発行元証明機関に新しい CRL 配布ポイントと公開場所を構成する

Web サーバーは、CRL 配布ポイントをホストする準備ができました。 次に、発行元証明機が新しい場所で CRL を公開し、新しい CRL 配布ポイントを含めるように構成します。

CRL 配布ポイントを構成する

  1. 発行元証明機関で、ローカル管理者としてサインインします。 [管理ツール] から [証明機関] コンソールを起動します。
  2. ナビゲーション ウィンドウで、証明機関の名前を右クリックし、[プロパティ] をクリックします。
  3. [拡張機能] をクリックします。 [拡張機能] タブで、[拡張機能を選択してください] の一覧から [CRL 配布ポイント (CDP)] を選択します。
  4. [拡張機能] タブで、[追加] をクリックします。 [場所] に「http://crl.[domainname]/cdp/」と入力します。 たとえば、<http://crl.corp.contoso.com/cdp/> または <http://crl.contoso.com/cdp/> のように入力します (末尾のスラッシュを忘れないでください)。 [CDP の新しい場所] ダイアログ ボックス。
  5. [変数] ボックスの一覧から選択**<CaName>** し、[挿入] をクリックします。 [変数] ボックスの一覧から選択**<CRLNameSuffix>** し、[挿入] をクリックします。 [変数] ボックスの一覧から選択**<DeltaCRLAllowed>** し、[挿入] をクリックします。
  6. [場所] にあるテキストの最後に「.crl」と入力します。 [OK] をクリックします。
  7. 作成した CDP を選択します。 CDP は http を完了します。
  8. [CRL に含め、クライアントでは、これを使って Delta CRL の場所を検索する] を選択します。
  9. [発行された証明書の CDP 拡張機能に含める] を選択します。
  10. [適用] をクリックして選択内容を保存します。 サーバーを再起動するよう求められたら、[いいえ] をクリックします。

注意

必要に応じて、使用されていない CRL 配布ポイントや公開場所を削除することができます。

CRL の公開場所を構成する

  1. 発行元証明機関で、ローカル管理者としてサインインします。 [管理ツール] から [証明機関] コンソールを起動します。
  2. ナビゲーション ウィンドウで、証明機関の名前を右クリックし、[プロパティ] をクリックします。
  3. [拡張機能] をクリックします。 [拡張機能] タブで、[拡張機能を選択してください] の一覧から [CRL 配布ポイント (CDP)] を選択します。
  4. [拡張機能] タブで、[追加] をクリックします。 CDP ファイル共有を構成するで CRL 配布ポイント用に作成したコンピューターと共有の名前を入力します。 たとえば、「\\app\cdp$\」のように入力します (末尾のスラッシュを忘れないでください)。
  5. [変数] ボックスの一覧から選択**<CaName>** し、[挿入] をクリックします。 [変数] ボックスの一覧から選択**<CRLNameSuffix>** し、[挿入] をクリックします。 [変数] ボックスの一覧から選択**<DeltaCRLAllowed>** し、[挿入] をクリックします。
  6. [場所] にあるテキストの最後に「.crl」と入力します。 [OK] をクリックします。
  7. 作成した CDP を選択します。
    CDP 発行場所。
  8. [この場所に CRL を公開する] を選択します。
  9. [Delta CRL をこの場所に公開する] を選択します。
  10. [適用] をクリックして選択内容を保存します。 サーバーを再起動するように求められたら、[はい] をクリックします。 [OK] をクリックして、[プロパティ] ダイアログ ボックスを閉じます。

新しい CRL の公開

  1. 発行元証明機関で、ローカル管理者としてサインインします。 [管理ツール] から [証明機関] コンソールを起動します。
  2. ナビゲーション ウィンドウで、[ 失効した証明書] を右クリックし、[ すべてのタスク] にマウス ポインターを合わせ、新しい CRL の発行 ![] をクリックします。
  3. [CRL の公開] ダイアログ ボックスで [新しい CRL] を選択し、[OK] をクリックします。

CDP 公開の検証

新しい CRL 配布ポイントが機能していることを検証します。

  1. Web ブラウザーを開きます。 http://crl.[yourdomain].com/cdp に移動します。 新しい CRL の公開から作成された 2 つのファイルが表示されます。 新しい CRL を検証します。

ドメイン コントローラー証明書を再発行する

有効な HTTP ベースの CRL 配布ポイントで CA が適切に構成された状態で、ドメイン コントローラーに証明書を再発行する必要があります。これは古い証明書に更新された CRL 配布ポイントがないためです。

  1. 管理者の資格情報を使って、ドメイン コントローラーにサインインします。
  2. [ファイル名を指定して実行] ダイアログ ボックスを開きます。 「certlm.msc」と入力してローカル コンピューターの証明書マネージャーを開きます。
  3. ナビゲーション ウィンドウで、[個人用] を展開します。 [証明書] をクリックします。 詳細ウィンドウで、既存のドメイン コントローラー証明書を選択し、[目的] の一覧の [KDC 認証] を含めます。 証明書マネージャー個人用ストア。
  4. 選択した証明書を右クリックします。 [すべてのタスク] をポイントし、[新しいキーで証明書を書き換え] を選択します。[証明書の登録] ウィザードで、[次へ] をクリックします。 新しいキーを使用して更新します。
  5. ウィザードの [証明書の要求] ページで、選択した証明書に正しい証明書テンプレートがあることを確認し、状態が利用可能であることを確認します。 [登録] をクリックします。
  6. 登録が完了したら、[完了] をクリックしてウィザードを閉じます。
  7. すべてのドメイン コントローラーでこの手順を繰り返します。

注意

ドメイン コントローラーで証明書を自動的に登録して更新するように構成することができます。 証明書の自動登録は、期限切れの証明書による認証の機能停止を防ぐのに役立ちます。 ドメイン コントローラーの証明書の自動登録を展開する方法については、「Windows Hello for Business 展開ガイド」をご覧ください。

重要

証明書の自動登録を使用していない場合は、証明書有効期限の 2 か月前に通知するカレンダーのアラームを作成します。 証明書の有効期限が切れたときに、1 人または 2 人以上のユーザーに通知されるように、組織内の複数の人に通知を送信します。

新しい証明書で CDP を検証する

  1. 管理者の資格情報を使って、ドメイン コントローラーにサインインします。
  2. [ファイル名を指定して実行] ダイアログ ボックスを開きます。 「certlm.msc」と入力してローカル コンピューターの証明書マネージャーを開きます。
  3. ナビゲーション ウィンドウで、[個人用] を展開します。 [証明書] をクリックします。 詳細ウィンドウで、既存のドメイン コントローラー証明書をダブルクリックし、[目的] の一覧の [KDC 認証] を含めます。
  4. [詳細] タブをクリックします。一覧の [フィールド] 列に [CRL 配布ポイント] が表示されるまで、一覧を下へスクロールします。 [CRL 配布ポイント] を選択します。
  5. フィールドの一覧の下にある情報を確認し、CRL 配布ポイントの新しい URL が証明書に存在することを確認します。 [OK] をクリックします。
    CDP が更新された新しい証明書。

信頼された証明書デバイス構成プロファイルを構成して割り当てる

ドメイン コントローラーに新しい CRL 配布ポイントが含まれている新しい証明書があります。 次に、Azure AD 参加済みデバイスにデプロイできるように、エンタープライズ ルート証明書が必要です。 エンタープライズのルート証明書をデバイスに展開すると、デバイスが証明機関によって発行されたすべての証明書を信頼するようになります。 証明書がない場合、Azure AD 参加済みデバイスはドメイン コントローラー証明書を信頼せず、認証は失敗します。

次のような手順を実行します。

エンタープライズ ルート証明書をエクスポートする

  1. 管理者の資格情報を使って、ドメイン コントローラーにサインインします。
  2. [ファイル名を指定して実行] ダイアログ ボックスを開きます。 「certlm.msc」と入力してローカル コンピューターの証明書マネージャーを開きます。
  3. ナビゲーション ウィンドウで、[個人用] を展開します。 [証明書] をクリックします。 詳細ウィンドウで、既存のドメイン コントローラー証明書をダブルクリックし、[目的] の一覧の [KDC 認証] を含めます。
  4. [証明のパス] タブをクリックします。[証明のパス] ビューで、最上位ノードを選択し、[証明書を表示する] をクリックします。 証明書パス。
  5. 新しい [証明書] ダイアログ ボックスで、[詳細] タブをクリックします。[ファイルへコピー] をクリックします。 [詳細] タブと [ファイルにコピー]。
  6. 証明書のエクスポート ウィザードで、[次へ] をクリックします。
  7. ウィザードの [エクスポートファイルの形式] ページで、[次へ] をクリックします。
  8. ウィザードの [エクスポートするファイル] ページで、ルート証明書の名前と場所を入力して、[次へ] をクリックします。 [完了] をクリックし、[OK] をクリックして成功を知らせるダイアログ ボックスを閉じます。
    ルート証明書をエクスポートします。
  9. [OK] を 2 回クリックし、ローカル コンピューターの 証明書マネージャーに戻ります。 証明書マネージャーを閉じます。

信頼された証明書デバイス構成プロファイルを作成して割り当てる

信頼された証明書デバイス構成プロファイルは、信頼された証明書を Azure AD 参加済みデバイスにデプロイする方法です。

  1. Microsoft Azure Portal にサインインし、[Microsoft Intune] を選択します。
  2. [デバイスの構成] をクリックします。 [デバイスの構成] ブレードで、[プロファイルの作成] をクリックします。 プロファイルの作成Intune。
  3. [プロファイルの作成] ブレードで、[名前] に「エンタープライズ ルート証明書」と入力します。 説明を入力します。 [プラットフォーム] 一覧から [Windows 10 以降] を選択します。 [プロファイルの種類] 一覧から [信頼済み証明書] を選択します。 [構成] をクリックします。
  4. [信頼済み証明書] ブレードで、フォルダー アイコンを使用して、エンタープライズ ルート証明書をエクスポートするの手順 8 で作成したエンタープライズ ルート証明書ファイルの場所を参照します。 [OK] をクリックします。 [作成] をクリックします。 信頼された証明書プロファイルをIntuneします。
  5. [エンタープライズ ルート証明書] ブレードで、[割り当て] をクリックします。 [含める] タブで、[割り当て先] の一覧から [すべてのデバイス] を選択します。 [保存] をクリックします。 Intune プロファイルの割り当て。
  6. Microsoft Azure Portal からサインアウトします。

注意

作成後、プロファイルのサポートされているプラットフォーム パラメーターには、Windows 8.1とWindows 10の証明書の構成が同じであるため、値 "Windows 8.1 以降" が含まれます。

Windows Hello for Business のデバイス登録を構成する

domain user に相当するアクセス権でワークステーションにサインインします。

  1. Microsoft エンドポイント マネージャー 管理センターにサインインします。

  2. [ デバイス] を選択します

  3. [ デバイスの登録] を選択します。

  4. [Windows 登録] を選択します。

  5. Windows 登録で、Windows Hello for Businessを選択します。 Windows Hello for Business ポリシーを作成します。

  6. [Windows Hello for Business の構成] の一覧から [有効] を選択します。

  7. [トラステッド プラットフォーム モジュール (TPM) を使用する] の横の [必須] を選択します。 既定では、Windows Hello for Business では TPM 2.0 が優先されるか、ソフトウェアにフォールバックします。 [必須] を選択すると、TPM 2.0 または TPM 1.2 のみを使用Windows Hello for Business、ソフトウェア ベースのキーへのフォールバックは許可されません。

  8. 必要な 最小 PIN 長最大 PIN 長を入力します

    重要

    Windows 10とWindows 11のWindows Hello for Businessの既定の最小 PIN 長は 6 です。 Microsoft Intune既定では、PIN の最小長が 4 に設定されます。これにより、ユーザーの PIN のセキュリティが低下します。 必要な PIN 長がない場合は、PIN の最小長を 6 に設定します。

  9. 次の設定に適した構成を選択します。

    • PIN の小文字
    • PIN の大文字
    • PIN の特殊文字
    • PIN の有効期間 (日)
    • PIN の履歴を保存する

    注意

    Windows Hello for Business 用の PIN は対称キー (パスワード) ではありません。 現在の PIN のコピーは、パスワードの場合のようにローカルまたはサーバーに保存されていません。 PIN をパスワードと同様に複雑にして頻繁に変更すると、PIN を忘れてしまう可能性が高くなります。 さらに、PIN 履歴を有効にすることは、Windows が古い PIN の組み合わせを格納する必要がある唯一のシナリオです (現在の PIN に保護されています)。 Windows Hello for Business を TPM と組み合わせると、ユーザーの PIN のブルート フォース攻撃を阻止するハンマリング対策機能が提供されます。 ユーザー間のショルダー サーフィンについて懸念がある場合は、頻繁に変更される複雑な PIN を強制するのではなく、多要素のロック解除機能を使用することを検討してください。

  10. ユーザーが生体認証 (指紋や顔認識) を使用してデバイスのロックを解除できるようにする場合は、[生体認証を許可する] の横の [はい] を選択してください。 生体認証の使用のセキュリティを強化するには、[拡張スプーフィング対策が利用可能な場合に使用する][はい] を選択します。

  11. [電話によるサインインを許可する][いいえ] を選択します。 この機能は廃止されました。

  12. [ 保存] を選択します

  13. Microsoft エンドポイント マネージャー管理センターからサインアウトします。

重要

すべてを構成した後の実際のエクスペリエンスの詳細については、「Windows Hello for Business and Authentication」(Windows Hello for Business と認証) を参照してください。

注意

VPN のコンテキストにおけるアクセスの問題については、「 ユーザー セキュリティ コンテキストとアクセス制御の回避策」で説明されている解決策と回避策を確認してください。

セクションの確認

  • インターネット インフォメーション サービスが CRL 配布ポイントをホストするように構成する
  • 証明書失効リストをホストするファイル共有を準備する
  • 発行元証明機関の CRL 配布ポイントを構成する
  • CRL を公開する
  • ドメイン コントローラー証明書を再発行する
  • エンタープライズ ルート証明書をエクスポートする
  • 信頼された証明書デバイス構成プロファイルを作成して割り当てる
  • Windows Hello for Business のデバイス登録を構成する

オンプレミス シングル サインオン用に証明書を使用する場合は、オンプレミス シングル サインオン用の証明書の使用の追加の手順を実行してください。