Windows Hello for Businessの構成とプロビジョニング - ハイブリッド証明書の信頼

• 適用対象:

  ✅ Windows 10 and later

このドキュメントでは、次Windows Hello for Business適用される機能またはシナリオについて説明します。

• デプロイの種類:
• 信頼の種類:
• 結合の種類:。Azure AD 参加済ハイブリッド Azure AD 参加の両方にシングル サインオンします

---

ポリシーの構成

前提条件が満たされ、PKI と AD FS の構成が検証されたら、Windows デバイスでビジネスWindows Helloを有効にする必要があります。 次の手順に従って、Microsoft Intuneまたはグループ ポリシー (GPO) を使用してデバイスを構成します。

Gpo

重要

このセクションの情報は、ハイブリッド Azure AD 参加済みデバイスにのみ適用されます。

ハイブリッド Azure AD 参加済みデバイスの場合は、グループ ポリシーを使用してWindows Hello for Businessを構成できます。 フェーズでWindows Hello for Businessを簡単に展開できるように、セキュリティ グループ (ユーザー Windows Hello for Businessなど) を作成することをお勧めします。 ユーザーをグループに追加して展開を簡略化するには、このグループにグループ ポリシーと証明書テンプレートのアクセス許可を割り当てます。 これにより、Windows Hello for Business をプロビジョニングし、Windows Hello for Business 認証証明書を登録するための適切なアクセス許可がユーザーに提供されます。

グループ ポリシー設定Windows Hello for Business有効にする

[グループWindows Hello for Business有効にする] ポリシー設定は、ユーザーがWindows Hello for Businessに登録を試みる必要があるかどうかを Windows が判断するために必要な構成です。 ユーザーは、このポリシー設定が 有効に構成されている場合にのみ登録を試みます。
コンピューターまたはユーザーの [Windows Hello for Businessを有効にする] 設定を構成できます。

• このポリシー設定をコンピューター (またはコンピューターのグループ) に展開すると、そのコンピューターにサインインするすべてのユーザーがWindows Hello for Business登録を試みます
• このポリシー設定をユーザー (またはユーザーのグループ) に展開すると、そのユーザーのみがWindows Hello for Business登録を試行します

ユーザーとコンピューターの両方のポリシー設定が展開される場合は、ユーザーのポリシー設定が優先されます。

オンプレミス認証グループ ポリシー設定に証明書を使用する

[ 証明書をオンプレミス認証グループに使用 する] ポリシー設定は、展開で キー信頼 認証モデルと 証明書 信頼認証モデルのどちらを使用するかを決定します。 Windows に Windows Hello for Business の認証証明書を登録を構成するには、このグループ ポリシー設定を構成する必要があります。 このポリシー設定を構成しない場合、Windows はキー信頼認証を使用するように展開を検討します。

証明書グループ ポリシー設定の自動登録を有効にする

Windows Hello for Business のプロビジョニング中に、Windows Hello for Business 認証証明書の初期登録が実行されます。 この証明書は、Windows Hello for Business認証証明書テンプレートで構成された期間に基づいて有効期限が切れます。

このプロセスでは、ユーザーがWindows Hello for Businessを使用してサインインする場合、ユーザーの操作は必要ありません。 証明書は有効期限が切れる前に、バックグラウンドで更新されます。

Windows Hello for Businessを有効にして構成する

ドメイン管理者と同等の資格情報を使用して、ドメイン コントローラーまたは管理ワークステーションにサインインします。

1. グループ ポリシー管理コンソール (gpmc.msc) を開始します。
2. ドメインを展開し、ナビゲーション ウィンドウで [グループ ポリシー オブジェクト] ノードを選択します
3. [グループ ポリシー オブジェクト] を右クリックして [新規] を選択します。
4. [名前] ボックスに「Windows Hello for Businessを有効にする」と入力し、[OK] を選択します。
5. コンテンツ ウィンドウで、グループ ポリシー オブジェクトWindows Hello for Business有効にする] を右クリックし、[編集] を選択します。
6. ナビゲーション ウィンドウで、[ユーザー構成] の下の [ポリシー] を展開します
7. [管理用テンプレート] [Windows コンポーネント] の順に>展開し、[Windows Hello for Business] を選択します
8. コンテンツ ウィンドウで、[use Windows Hello for Business] を開きます。 [ OK を有効にする] を選択 > します
9. [ オンプレミス認証に証明書を使用する] を開きます。 [ OK を有効にする] を選択 > します
10. [Windows 設定] [セキュリティ設定>] [公開キー ポリシー] > の展開
11. 詳細ウィンドウで、[Certificate Services クライアント - 自動登録] を右クリックし、[プロパティ] を選択します。
12. [構成モデル] の一覧から [有効] を選択します
13. [ 期限切れの証明書の更新]、[ 保留中の証明書の更新]、[ 失効した証明書の削除 ] チェック ボックスをオンにします。
14. [ 証明書テンプレートを使用する証明書を更新する ] チェック ボックスをオンにします
15. [ OK] を選択します
16. グループ ポリシー管理エディターを閉じる

注

Windows Hello for Businessは、さまざまなポリシーを使用して構成できます。 これらのポリシーを構成する場合は省略可能ですが、[ ハードウェア セキュリティ デバイスを使用する] を有効にすることをお勧めします。

これらのポリシーの詳細については、「Windows Hello for Businessのグループ ポリシー設定」を参照してください。

GPO のセキュリティを構成する

Windows Hello for Business GPO を展開する最善の方法は、セキュリティ グループのフィルター処理を使用することです。 ターゲット セキュリティ グループのメンバーのみがWindows Hello for Businessをプロビジョニングし、段階的なロールアウトを有効にします。

1. グループ ポリシー管理コンソール (gpmc.msc) を開始します。
2. ドメインを展開し、ナビゲーション ウィンドウで [グループ ポリシー オブジェクト] ノードを選択します
3. WINDOWS HELLO FOR BUSINESS GPO を有効にする
4. コンテンツ ウィンドウの [ セキュリティ フィルター] セクションで、[ 追加] を選択します。 前に作成したセキュリティ グループの名前 (ユーザー Windows Hello for Businessなど) を入力し、[OK] を選択します
5. [ 委任 ] タブを選択します。[ 認証されたユーザーの詳細設定] を > 選択します
6. [グループ名またはユーザー名] ボックスの一覧の [Authenticated Users] をクリックします。 [Authenticated Users のアクセス許可] ボックスの一覧で、[グループ ポリシーの適用] アクセス許可の [許可] チェック ボックスをオフにします。 [ OK] を選択します

Windows Hello for Business グループ ポリシー オブジェクトを展開する

グループ ポリシー オブジェクトのアプリケーションでは、セキュリティ グループのフィルター処理が使用されます。 このソリューションを使用すると、GPO をドメインにリンクし、GPO のスコープをすべてのユーザーに設定できます。 セキュリティ グループのフィルター処理により、Windows Hello for Business Users グローバル グループのメンバーのみが GPO を受け取って適用し、その結果、Windows Hello for Businessのプロビジョニングが行われます。

1. グループ ポリシー管理コンソール (gpmc.msc) を開始します。
2. ナビゲーション ウィンドウで、ドメインを展開し、Active Directory ドメイン名を持つノードを右クリックし、[既存の GPO をリンクする] を選択します
3. [GPO の選択] ダイアログ ボックスで、[Windows Hello for Businessを有効にする] または前に作成したWindows Hello for Business グループ ポリシー オブジェクトの名前を選択し、[OK] を選択します。

対象グループにメンバーを追加する

ユーザー (またはデバイス) は、Windows Hello for Business グループ ポリシー設定を受け取り、Windows Hello for Businessをプロビジョニングするための適切なアクセス許可を持っている必要があります。 これらの設定とアクセス許可をユーザーに提供するには、Windows Hello for Business Users グループにメンバーを追加します。 このグループのメンバーではないユーザーとグループは、Windows Hello for Businessの登録を試みることはありません。

Intune

Microsoft Intuneを使用してWindows Hello for Businessを構成する

重要

このセクションの情報は、Intuneによって管理される Azure AD 参加済みデバイスに適用されます。 続行する前に、次の手順を完了していることを確認してください。

• Azure AD 参加済みデバイスのシングル サインオンを構成する
• AADJ オンプレミス シングル サインオンに証明書を使用する

Intuneに登録されている Azure AD 参加済みデバイスの場合は、Intune ポリシーを使用してWindows Hello for Businessを管理できます。

IntuneでWindows Hello for Businessを有効にして構成するには、さまざまな方法があります。

• テナント レベルで適用されるポリシーの使用。 テナント ポリシー:
  • は登録時にのみ適用され、その構成に対する変更は、Intuneに既に登録されているデバイスには適用されません。
  • これは、Intuneに登録されているすべてのデバイスに適用されます。 このため、ポリシーは通常無効になり、セキュリティ グループを対象とするポリシーを使用してWindows Hello for Businessが有効になります
• デバイス登録 後 に適用されるデバイス構成ポリシー。 ポリシーに対する変更は、通常のポリシー更新間隔中にデバイスに適用されます。 次のポリシーの種類から選択します。
  • 設定カタログ
  • セキュリティ ベースライン
  • PassportForWork CSP を使用したカスタム ポリシー
  • アカウント保護ポリシー
  • ID 保護ポリシー テンプレート

テナント全体のポリシーを確認する

登録時に適用されるWindows Hello for Business ポリシーを確認するには:

1. Microsoft Intune管理センターにサインインします。
2. [デバイス][Windows Windows>登録] > の選択
3. [Windows Hello for Business] を選択します
4. [Windows Hello for Businessの構成] の状態と、構成可能な設定を確認します

テナント全体のポリシーが有効になっていて、ニーズに合わせて構成されている場合は、「Windows Hello for Businessに登録する」に進むことができます。 それ以外の場合は、次の手順に従って、 アカウント保護 ポリシーを使用してポリシーを作成します。

Windows Hello for Businessを有効にして構成する

アカウント保護ポリシーを使用してWindows Hello for Businessを構成するには:

1. Microsoft Intune管理センターに移動します。
2. [エンドポイント セキュリティ>アカウント保護] を選択します
3. [+ ポリシーの作成] を選択します
4. [プラットフォーム*] で[Windows 10以降] を選択し、[プロファイル] で [アカウント保護] を選択します
5. [作成] を選択します
6. [名前] を指定し、必要に応じて [説明] [次へ] > を指定します
7. [ブロック Windows Hello for Business] で、[無効] を選択し、複数のポリシーが使用可能になります
   • これらのポリシーを構成するには省略可能ですが、信頼されたプラットフォーム モジュール (TPM) を使用するように [有効にする] を [はい] に構成することをお勧めします
   • これらのポリシーの詳細については、「Windows Hello for Businessの MDM ポリシー設定」を参照してください。
8. [ オンプレミス リソースの証明書に対して有効にする] で、[ 無効] を選択し、複数のポリシーが使用可能になります
9. [次へ] を選択します
10. 必要に応じて、 スコープ タグ>を追加次へ
11. 次に構成>するデバイスまたはユーザーをメンバーとして含むセキュリティ グループにポリシーを割り当てる
12. ポリシーの構成を確認し、[作成] を選択します

Windows Hello for Businessに登録する

Windows Hello for Business プロビジョニング プロセスは、ユーザー プロファイルが読み込まれた直後と、ユーザーがデスクトップを受け取る前に開始されます。 プロビジョニング プロセスを開始するには、すべての前提条件チェックに合格する必要があります。

前提条件のチェックの状態を確認するには、[アプリケーションとサービス ログ>] Microsoft > Windows の [ユーザー デバイス登録] 管理者ログを表示します。
この情報は、コンソールの コマンドを dsregcmd /status 使用して入手することもできます。 詳細については、「 dsregcmd」を参照してください。

PIN のセットアップ

これは、ユーザーがサインインした後に、Windows Hello for Businessに登録するプロセスです。

1. ユーザーには、組織アカウントでWindows Helloを使用するための全画面表示ページが表示されます。 ユーザーが [OK] を選択する
2. プロビジョニング フローは、登録の多要素認証部分に進みます。 プロビジョニングは、構成済みの MFA 形式でユーザーに積極的に連絡しようとしていることをユーザーに通知します。 プロビジョニング プロセスは、認証が成功、失敗、またはタイムアウトするまで続行されません。MFA が失敗またはタイムアウトするとエラーが発生し、ユーザーに再試行を求められます
3. MFA に成功した場合は、プロビジョニング フローは、ユーザーに PIN の作成と確認を求めます。 この PIN は、デバイスで構成されている PIN の複雑さのポリシーを確認する必要があります
4. プロビジョニングの残りの部分では、Windows Hello for Business がユーザーの非対称キー ペアを要求します。TPM の非対称キー ペアをお勧めします (またはポリシーで明示的に設定されている場合は必須です)。 キーのペアが取得されると、Windows は Azure Active Directory と通信して公開キーを登録します。 キーの登録が完了すると、プロビジョニングWindows Hello for Business、PIN を使用してサインインできることをユーザーに通知します。 ユーザーはプロビジョニング アプリケーションを閉じて、デスクトップを表示できます。 ユーザーがプロビジョニングを完了している間、Azure AD Connect はユーザーのキーを Active Directory に同期します

重要

Windows Server 2016 の更新プログラム KB4088889 (14393.2155) より前の登録の動作は次のとおりです。

Azure Active Directory からオンプレミスの Active Directory にユーザーの公開キーを同期するのに必要な最小時間は 30 分です。 Azure AD Connect スケジューラが、同期間隔を制御します。 この同期待機時間は、ユーザーの公開キーが Active Directory に同期されるまで、ユーザーがオンプレミス リソースを認証して使用する機能を遅延させます。 同期されると、ユーザーは認証し、オンプレミス リソースを使用できます。 組織の同期サイクルを表示および調整する方法については、「Azure AD Connect 同期: スケジューラ」をご覧ください。

注

Windows Server 2016 の更新プログラム KB4088889 (14393.2155) は、ハイブリッド証明書信頼のプロビジョニング中に同期的な証明書の登録を実行します。 この更新プログラムにより、ユーザーは Azure AD Connect がオンプレミスで公開キーを同期するのを待つ必要がなくなりました。 ユーザーはプロビジョニング中に証明書を登録し、プロビジョニングが完了した直後に証明書を使用してサインインできます。 更新プログラムは、フェデレーション サーバーにインストールする必要があります。

キーの登録が完了した後、Windows は、同じキー ペアを使用して証明書を要求する証明書の要求を作成します。 Windows では、証明書の登録用の AD FS サーバーに証明書の要求を送信します。

AD FS 登録機関は、証明書の要求で使用されているキーが以前に登録されたキーと一致することを確認します。 照合が成功すると、AD FS 登録機関は登録エージェント証明書を使用して証明書要求に署名し、それを証明機関に送信します。

注

AD FS が証明書要求で使用されるキーを確認するには、エンドポイントにアクセス https://enterpriseregistration.windows.net できる必要があります。

証明機関は、証明書が登録機関によって署名されていることを検証します。 署名の検証に成功したら、要求に基づいて証明書を発行し、AD FS 登録機関に証明書を返します。 登録機関は、証明書を Windows に返し、現在のユーザーの証明書ストアに証明書をインストールします。 このプロセスが完了すると、Windows Hello for Business プロビジョニング ワークフローは、PIN を使用して Windows アクション センターを介してサインインできることをユーザーに通知します。