Windows Hello for Businessデプロイを計画する
この計画ガイドは、Windows Hello for Business のインフラストラクチャを取り巻くさまざまなトポロジ、アーキテクチャ、コンポーネントを理解するのに役立ちます。
このガイドでは、Windows Hello for Business の各コンポーネントの役割と、特定の展開に関する決定がインフラストラクチャの他の側面に与える影響について説明します。
ヒント
Microsoft Entra IDテナントをお持ちの場合は、以下の手動ガイドを使用するのではなく、同じ選択肢を説明するオンラインの対話型パスワードレス ウィザードを使用できます。 パスワードレス ウィザードは、Microsoft 365 管理センターで利用できます。
このガイドの使用方法
Windows Hello for Businessをデプロイし、さまざまな組織インフラストラクチャとの互換性を確保するために、多くのオプションを使用できます。 デプロイ プロセスは複雑に見えるかもしれませんが、ほとんどの組織は、必要なインフラストラクチャを既に実装していることがわかります。 Windows Hello for Businessは分散システムであり、organization内の複数のチーム間で適切な計画が必要であることに注意することが重要です。
このガイドでは、Windows Hello for Businessデプロイの各側面に関する情報に基づいた意思決定を行うことで、デプロイ プロセスを簡略化することを目的としています。 利用可能なオプションに関する情報が提供され、環境に最適なデプロイ アプローチの選択に役立ちます。
続行する方法
このドキュメントを読み、決定事項を記録します。 完了したら、使用可能なオプションを評価し、Windows Hello for Businessデプロイの要件を決定するために必要なすべての情報が必要です。
Windows Hello for Business展開を計画する際に考慮すべきメイン領域は 7 つあります。
展開オプション
Windows Hello for Business の目標は、規模やシナリオに関係なくすべての組織に展開できるようにすることです。 このような詳細な展開を提供するために、Windows Hello for Business では多様な展開オプションを選択できます。
展開モデル
正常に展開させるために基本的に重要なのは、どの展開モデルを使用するかを理解することです。 デプロイの一部の側面は、現在のインフラストラクチャに基づいて既に決定されている可能性があります。
選択できるデプロイ モデルは 3 つあります。
| デプロイ モデル | 説明 | |
|---|---|---|
| 🔲 | クラウド専用 | クラウド ID のみを持ち、オンプレミス リソースにアクセスしない組織の場合。 これらの組織は通常、デバイスをクラウドに参加させ、SharePoint Online、OneDrive などのクラウド内のリソースのみを使用します。 また、ユーザーはオンプレミスのリソースを使用しないため、必要なものはすべてクラウド サービスでホストされているため、VPN などの証明書は必要ありません。 |
| 🔲 | ハイブリッド | Active Directory からMicrosoft Entra IDに同期された ID を持つ組織の場合。 これらの組織は、Microsoft Entra IDに登録されているアプリケーションを使用し、オンプレミスリソースとMicrosoft Entraリソースの両方にシングル サインオン (SSO) エクスペリエンスを提供する必要があります。 |
| 🔲 | オンプレミス | クラウド ID を持たない組織や、Microsoft Entra IDでホストされているアプリケーションを使用している組織の場合。 これらの組織は、Active Directory に統合されたオンプレミス のアプリケーションを使用し、それらにアクセスするときに SSO ユーザー エクスペリエンスを必要とします。 |
注
- オンプレミス展開の主なユース ケースは、"Red Forests" とも呼ばれる "セキュリティ管理環境の強化" です
- オンプレミスからハイブリッドデプロイへの移行には、再デプロイが必要です
信頼の種類
展開の信頼の種類は、クライアントが Active Directory に対して認証Windows Hello for Business方法を定義します。 信頼の種類は、Microsoft Entra IDへの認証には影響しません。 このため、信頼の種類はクラウドのみのデプロイ モデルには適用されません。
Microsoft Entra IDへのWindows Hello for Business認証では、証明書ではなくキーが常に使用されます (フェデレーション環境でのスマート カード認証は除きます)。
信頼の種類は、認証証明書をユーザーに発行するかどうかを決定します。 1 つの信頼モデルは、他の信頼モデルよりも安全ではありません。
ユーザーとドメイン コントローラーへの証明書の展開には、より多くの構成とインフラストラクチャが必要です。これは、決定で考慮すべき要因となる可能性もあります。 証明書信頼のデプロイに必要なその他のインフラストラクチャには、証明書登録機関が含まれます。 フェデレーション環境では、Microsoft Entra Connect で [デバイス ライトバック] オプションをアクティブにする必要があります。
選択できる信頼の種類は 3 つあります。
| 信頼の種類 | 説明 | |
|---|---|---|
| 🔲 | Cloud Kerberos | ユーザーは、Microsoft Entra Kerberos を使用して、Microsoft Entra IDから TGT を要求して Active Directory に対して認証します。 オンプレミスのドメイン コントローラーは、Kerberos サービス のチケットと承認を引き続き担当します。 Cloud Kerberos 信頼では、FIDO2 セキュリティ キーのサインインに必要なインフラストラクチャと同じインフラストラクチャが使用され、新規または既存のWindows Hello for Business展開に使用できます。 |
| 🔲 | キー | ユーザーは、Windows Hello プロビジョニング エクスペリエンス中に作成されたデバイス バインド キー (ハードウェアまたはソフトウェア) を使用して、オンプレミスの Active Directoryに対して認証を行います。 ドメイン コントローラーに証明書を配布する必要があります。 |
| 🔲 | 証明書 | 証明書信頼の種類は、認証証明書をユーザーに発行します。 ユーザーは、Windows Hello プロビジョニング エクスペリエンス中に作成されたデバイス バインド キー (ハードウェアまたはソフトウェア) を使用して要求された証明書を使用して認証します。 |
キー信頼 と 証明書信頼 では、オンプレミス認証に kerberos ticket-granting-tickets (TGT) を要求するときに、証明書認証ベースの Kerberos が使用されます。 この種類の認証には、DC 証明書の PKI が必要であり、証明書の信頼にはエンド ユーザー証明書が必要です。
クラウド Kerberos 信頼Windows Hello for Businessの目標は、他の信頼の種類と比較して、より簡単なデプロイ エクスペリエンスを提供することです。
- 公開キー インフラストラクチャ (PKI) をデプロイする必要も、既存の PKI を変更する必要もありません
- ユーザーがオンプレミスのリソースにアクセスするために、Microsoft Entra IDと Active Directory の間で公開キーを同期する必要はありません。 ユーザーのWindows Hello for Businessプロビジョニングと Active Directory に対する認証の間に遅延はありません
- FIDO2 セキュリティ キーのサインイン は、最小限の追加セットアップでデプロイできます
ヒント
Windows Hello for Businessクラウド Kerberos 信頼は、キー信頼モデルと比較した場合に推奨されるデプロイ モデルです。 また、証明書認証シナリオをサポートする必要がない場合は、推奨されるデプロイ モデルでもあります。
Cloud Kerberos の信頼には、Microsoft Entra Kerberos のデプロイが必要です。 Kerberos Microsoft Entraオンプレミス リソースへのアクセスを有効にする方法の詳細については、「オンプレミス リソースへのパスワードレス セキュリティ キー サインインの有効化」を参照してください。
PKI 要件
Cloud Kerberos 信頼は、証明書のデプロイを必要としない唯一のハイブリッド展開オプションです。 他のハイブリッド モデルとオンプレミス モデルは、認証のトラスト アンカーとしてエンタープライズ PKI に依存します。
- ハイブリッドおよびオンプレミス展開用のドメイン コントローラーには、正当なドメイン コントローラーとして信頼する Windows デバイス用の証明書が必要です
- 証明書信頼の種類を使用するデプロイでは、エンタープライズ PKI と証明書登録機関 (CRA) がユーザーに認証証明書を発行する必要があります。 AD FS は CRA として使用されます
- ハイブリッド展開では、オンプレミス リソースの接続を有効にするために VPN 証明書をユーザーに発行する必要がある場合があります
| デプロイ モデル | 信頼の種類 | PKI は必要ですか? | |
|---|---|---|---|
| 🔲 | クラウド専用 | 該当なし | × |
| 🔲 | ハイブリッド | Cloud Kerberos | × |
| 🔲 | ハイブリッド | キー | ○ |
| 🔲 | ハイブリッド | 証明書 | ○ |
| 🔲 | オンプレミス | キー | ○ |
| 🔲 | オンプレミス | 証明書 | ○ |
Microsoft Entra IDへの認証
ユーザーは、フェデレーション認証またはクラウド (非フェデレーション) 認証を使用して、Microsoft Entra IDに対して認証できます。 要件は、信頼の種類によって異なります。
| デプロイ モデル | 信頼の種類 | Microsoft Entra IDへの認証 | 要件 | |
|---|---|---|---|---|
| 🔲 | クラウド専用 | 該当なし | クラウド認証 | 該当なし |
| 🔲 | クラウド専用 | 該当なし | フェデレーション認証 | Microsoft 以外のフェデレーション サービス |
| 🔲 | ハイブリッド | Cloud Kerberos の信頼 | クラウド認証 | パスワード ハッシュ同期 (PHS) またはパススルー認証 (PTA) |
| 🔲 | ハイブリッド | Cloud Kerberos の信頼 | フェデレーション認証 | AD FS または Microsoft 以外のフェデレーション サービス |
| 🔲 | ハイブリッド | キー信頼 | クラウド認証 | パスワード ハッシュ同期 (PHS) またはパススルー認証 (PTA) |
| 🔲 | ハイブリッド | キー信頼 | フェデレーション認証 | AD FS または Microsoft 以外のフェデレーション サービス |
| 🔲 | ハイブリッド | 証明書信頼 | フェデレーション認証 | このデプロイ モデルでは、PTA または PHS はサポートされていません。 Active Directory は、AD FS を使用してMicrosoft Entra IDとフェデレーションする必要があります |
詳細については、以下を参照してください。
デバイスの登録
オンプレミスの展開では、Active Directory フェデレーション サービス (AD FS) (AD FS) ロールを実行しているサーバーがデバイスの登録を担当します。 クラウドのみのデプロイとハイブリッド展開の場合、デバイスはMicrosoft Entra IDに登録する必要があります。
| デプロイ モデル | サポートされている結合の種類 | デバイス登録サービス プロバイダー |
|---|---|---|
| クラウド専用 | Microsoft Entra参加済み 登録Microsoft Entra |
Microsoft Entra ID |
| ハイブリッド | Microsoft Entra参加済み Microsoft Entraハイブリッド参加済み 登録Microsoft Entra |
Microsoft Entra ID |
| オンプレミス | Active Directory ドメイン参加済み | AD FS |
重要
ハイブリッド参加済みガイダンスMicrosoft Entraについては、「Microsoft Entraハイブリッド参加の実装を計画する」を参照してください。
多要素認証
Windows Hello for Businessの目標は、2 要素認証を簡単に行える強力な資格情報を組織に提供することで、組織をパスワードから離れることです。 組み込みのプロビジョニング エクスペリエンスでは、ユーザーの脆弱な資格情報 (ユーザー名とパスワード) を第 1 要素認証として受け入れます。 ただし、Windows が強力な資格情報をプロビジョニングする前に、ユーザーは認証の 2 番目の要素を指定する必要があります。
- クラウドのみのデプロイとハイブリッドデプロイの場合、多要素認証には、Microsoft Entra MFA など、さまざまな選択肢があります
- オンプレミスのデプロイでは、AD FS 多要素アダプターとして統合できる多要素オプションを使用する必要があります。 組織は、AD FS MFA アダプターを提供する Microsoft 以外のオプションから選択できます。 詳細については、「Microsoft および Microsoft 以外の追加認証方法」を参照してください。
重要
2019 年 7 月 1 日の時点で、Microsoft は新しいデプロイ用に MFA Server を提供していません。 多要素認証を必要とする新しいデプロイでは、クラウドベースのMicrosoft Entra多要素認証を使用する必要があります。 2019 年 7 月 1 日より前に MFA サーバーがアクティブ化された既存のデプロイでは、最新バージョン、将来の更新プログラムをダウンロードし、アクティブ化資格情報を生成できます。 詳細については、「 Azure Multi-Factor Authentication Server の概要」を参照してください。
| デプロイ モデル | MFA オプション | |
|---|---|---|
| 🔲 | クラウド専用 | MFA のMicrosoft Entra |
| 🔲 | クラウド専用 | カスタム コントロールまたはフェデレーションをMicrosoft Entra IDした Microsoft 以外の MFA |
| 🔲 | ハイブリッド | MFA のMicrosoft Entra |
| 🔲 | ハイブリッド | カスタム コントロールまたはフェデレーションをMicrosoft Entra IDした Microsoft 以外の MFA |
| 🔲 | オンプレミス | AD FS MFA アダプター |
多要素認証Microsoft Entra構成する方法の詳細については、「多要素認証設定Microsoft Entra構成する」を参照してください。
多要素認証を提供するように AD FS を構成する方法の詳細については、「 AD FS で認証プロバイダーとして Azure MFA を構成する」を参照してください。
MFA とフェデレーション認証
フェデレーション ドメインでは、 FederatedIdpMfaBehavior フラグを構成できます。 フラグは、フェデレーション IdP からの MFA チャレンジを受け入れる、適用する、または拒否するようにMicrosoft Entra IDに指示します。 詳細については、「 federatedIdpMfaBehavior 値」を参照してください。 この設定をチェックするには、次の PowerShell コマンドを使用します。
Connect-MgGraph
$DomainId = "<your federated domain name>"
Get-MgDomainFederationConfiguration -DomainId $DomainId |fl
フェデレーション IdP から MFA 要求を拒否するには、次のコマンドを使用します。 この変更は、フェデレーション ドメインのすべての MFA シナリオに影響します。
Update-MgDomainFederationConfiguration -DomainId $DomainId -FederatedIdpMfaBehavior rejectMfaByFederatedIdp
(既定値) または enforceMfaByFederatedIdpのいずれかのacceptIfMfaDoneByFederatedIdp値を使用してフラグを構成する場合は、フェデレーション IDP が正しく構成され、IdP によって使用される MFA アダプターとプロバイダーと連携していることを確認する必要があります。
キーの登録
組み込みのWindows Hello for Business プロビジョニング エクスペリエンスでは、ユーザーの資格情報としてデバイス バインド非対称キー ペアが作成されます。 秘密キーは、デバイスのセキュリティ モジュールによって保護されます。 資格情報は ユーザー キーであり、 デバイス キーではありません。 プロビジョニング エクスペリエンスでは、ユーザーの公開キーが ID プロバイダーに登録されます。
| デプロイ モデル | キー登録サービス プロバイダー |
|---|---|
| クラウド専用 | Microsoft Entra ID |
| ハイブリッド | Microsoft Entra ID |
| オンプレミス | AD FS |
ディレクトリ同期
ハイブリッドとオンプレミスのデプロイではディレクトリ同期が使用されますが、それぞれ異なる目的で使用されます。
- ハイブリッド展開では、Microsoft Entra Connect Sync を使用して、Active Directory ID (ユーザーとデバイス) または資格情報をそれ自体とMicrosoft Entra IDの間で同期します。 Window Hello for Business プロビジョニング プロセス中に、ユーザーはWindows Hello for Business資格情報のパブリック部分をMicrosoft Entra IDに登録します。 Microsoft Entra Connect Sync は、Windows Hello for Business公開キーを Active Directory に同期します。 この同期により、SSO とそのフェデレーション コンポーネントをMicrosoft Entra IDできます。
重要
Windows Hello for Businessは、ユーザーとデバイスの間で関連付けられています。 ユーザー オブジェクトとデバイス オブジェクトの両方を、Microsoft Entra IDと Active Directory の間で同期する必要があります。
- オンプレミスのデプロイでは、ディレクトリ同期を使用して Active Directory から Azure MFA サーバーにユーザーをインポートし、MFA クラウド サービスにデータを送信して検証を実行します
| デプロイ モデル | ディレクトリ同期オプション |
|---|---|
| クラウド専用 | 該当なし |
| ハイブリッド | Microsoft Entra Connect Sync |
| オンプレミス | Azure MFA サーバー |
デバイス構成オプション
Windows Hello for Businessは、きめ細かいポリシー設定の豊富なセットを提供します。 Windows Hello for Businessを構成するには、構成サービス プロバイダー (CSP) とグループ ポリシー (GPO) の 2 つのメインオプションがあります。
- CSP オプションは、Microsoft Intuneなどのモバイル デバイス管理 (MDM) ソリューションを介して管理されるデバイスに最適です。 CSP はプロビジョニング パッケージで構成することもできます
- GPO を使用して、ドメインに参加しているデバイスと、MDM を使用してデバイスを管理しない場所を構成できます
| デプロイ モデル | デバイス構成オプション | |
|---|---|---|
| 🔲 | クラウド専用 | CSP |
| 🔲 | クラウド専用 | GPO (ローカル) |
| 🔲 | ハイブリッド | CSP |
| 🔲 | ハイブリッド | GPO (Active Directory またはローカル) |
| 🔲 | オンプレミス | CSP |
| 🔲 | オンプレミス | GPO (Active Directory またはローカル) |
クラウド サービス要件のライセンス
クラウド サービスのライセンス要件に関する考慮事項を次に示します。
- Windows Hello for Businessには、Microsoft Entra ID P1 または P2 サブスクリプションは必要ありません。 ただし、 MDM の自動登録 や 条件付きアクセス など、一部の依存関係では、
- MDM 経由で管理されるデバイスでは、Microsoft Entra ID P1 または P2 サブスクリプションは必要ありません。 サブスクリプションを継続するには、ユーザーは、Microsoft Intuneやサポートされている Microsoft 以外の MDM など、MDM ソリューションにデバイスを手動で登録する必要があります
- Microsoft Entra ID Free レベルを使用して、Windows Hello for Businessをデプロイできます。 すべてのMicrosoft Entra ID無料アカウントでは、Windows パスワードレス機能Microsoft Entra多要素認証を使用できます
- 一部のMicrosoft Entra多要素認証機能にはライセンスが必要です。 詳細については、「Microsoft Entra多要素認証の機能とライセンス」を参照してください。
- AD FS 登録機関を使用して証明書を登録するには、デバイスが AD FS サーバーに対して認証される必要があります。これには、デバイスの書き戻し、Microsoft Entra ID P1 または P2 機能が必要です
| デプロイ モデル | 信頼の種類 | クラウド サービス ライセンス (最小) | |
|---|---|---|---|
| 🔲 | クラウド専用 | 該当なし | 必須ではありません |
| 🔲 | ハイブリッド | Cloud Kerberos | 必須ではありません |
| 🔲 | ハイブリッド | キー | 必須ではありません |
| 🔲 | ハイブリッド | 証明書 | Microsoft Entra ID P1 |
| 🔲 | オンプレミス | キー | AZURE MFA (MFA ソリューションとして使用される場合) |
| 🔲 | オンプレミス | 証明書 | AZURE MFA (MFA ソリューションとして使用される場合) |
オペレーティング システムの要件
Windows の要件
サポートされているすべての Windows バージョンは、Windows Hello for Businessで使用できます。 ただし、クラウド Kerberos 信頼には最小バージョンが必要です。
| デプロイ モデル | 信頼の種類 | Windows のバージョン | |
|---|---|---|---|
| 🔲 | クラウド専用 | 該当なし | サポートされているすべてのバージョン |
| 🔲 | ハイブリッド | Cloud Kerberos | - Windows 10 21H2(KB5010415以降) - Windows 11 21H2(KB5010414 以降) |
| 🔲 | ハイブリッド | キー | サポートされているすべてのバージョン |
| 🔲 | ハイブリッド | 証明書 | サポートされているすべてのバージョン |
| 🔲 | オンプレミス | キー | サポートされているすべてのバージョン |
| 🔲 | オンプレミス | 証明書 | サポートされているすべてのバージョン |
Windows Server の要件
サポートされているすべての Windows Server バージョンは、ドメイン コントローラーとしてWindows Hello for Businessで使用できます。 ただし、クラウド Kerberos 信頼には最小バージョンが必要です。
| デプロイ モデル | 信頼の種類 | ドメイン コントローラー OS のバージョン | |
|---|---|---|---|
| 🔲 | クラウド専用 | 該当なし | サポートされているすべてのバージョン |
| 🔲 | ハイブリッド | Cloud Kerberos | - Windows Server 2016、KB3534307以降 - Windows Server 2019( KB4534321 以降) - Windows Server 2022 |
| 🔲 | ハイブリッド | キー | サポートされているすべてのバージョン |
| 🔲 | ハイブリッド | 証明書 | サポートされているすべてのバージョン |
| 🔲 | オンプレミス | キー | サポートされているすべてのバージョン |
| 🔲 | オンプレミス | 証明書 | サポートされているすべてのバージョン |
ユーザーを準備する
organizationでWindows Hello for Businessを有効にする準備ができたら、Windows Helloをプロビジョニングして使用する方法を説明して、ユーザーを準備してください。
詳細については、「ユーザーの 準備」を参照してください。
次のステップ
さまざまなデプロイ オプションと要件について説明したので、organizationに最適な実装を選択できます。
デプロイ プロセスの詳細については、次のドロップダウン リストからデプロイ モデルと信頼の種類を選択します。
フィードバック
近日公開予定: 2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub イシューを段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、以下を参照してください: https://aka.ms/ContentUserFeedback。
フィードバックの送信と表示