組織での Windows Hello for Business の管理
グループ ポリシーまたはモバイル デバイス管理 (MDM) ポリシーを作成して、Windows デバイスでWindows Hello for Businessを構成できます。
重要
便利な PIN としてのWindows Helloは、参加しているすべてのドメインと参加済みデバイスMicrosoft Entra既定で無効になっています。 便利な PIN を有効にするには、グループ ポリシー設定 [便利な PIN サインインを有効にする] を有効にします。
Windows Hello for Business 用に PIN を管理するには、[PIN の複雑さ] のポリシー設定を使用してください。
Windows Hello for Business のグループ ポリシー設定
次の表に、organizationで使用Windows Hello構成できるグループ ポリシー設定を示します。 これらのポリシー設定は、[ユーザーの構成] と [コンピューターの構成] の [ポリシー>] [管理用テンプレート>] Windows コンポーネント>Windows Hello for Businessで使用できます。
注
グループ ポリシーの [PIN の複雑さ] セクションの場所は、コンピューター構成>管理用テンプレート>システム > PIN の複雑さです。
| ポリシー | Scope | オプション |
|---|---|---|
| Windows Hello for Business の使用 | コンピューターまたはユーザー | - 未構成: デバイスは、どのユーザーにもWindows Hello for Businessをプロビジョニングしません。 - 有効: すべてのユーザーのキーまたは証明書を使用Windows Hello for Businessデバイス プロビジョニング。 - 無効: デバイスはどのユーザーにもWindows Hello for Businessをプロビジョニングしません。 |
| ハードウェアのセキュリティ デバイスを使用する | コンピューター | - 未構成: Windows Hello for Businessは、使用可能な場合は TPM を使用してプロビジョニングされ、TPM が使用できない場合はソフトウェアを使用してプロビジョニングされます。 - 有効: Windows Hello for Businessは TPM のみを使用してプロビジョニングされます。 この機能は、TPM 1.2 を除外するオプションが明示的に設定されている場合を除き、これを使用して Windows Hello for Business をプロビジョニングします。 - 無効: Windows Hello for Businessは、使用可能な場合は TPM を使用してプロビジョニングされ、TPM が使用できない場合はソフトウェアを使用してプロビジョニングされます。 |
| オンプレミスの認証に証明書を使用する | コンピューターまたはユーザー | - 未構成: Windows Hello for Businessは、オンプレミス認証に使用されるキーを登録します。 - 有効: Windows Hello for Businessは、オンプレミス認証に使用される ADFS を使用してサインイン証明書を登録します。 - 無効: Windows Hello for Businessは、オンプレミス認証に使用されるキーを登録します。 |
| PIN 回復を使用する | コンピューター | - Windows 10 バージョン 1703 で追加 - 未構成: Windows Hello for Businessは PIN 回復シークレットを作成または格納しません。 PIN リセットで Azure ベースの PIN 回復サービスが使用されない - 有効: Windows Hello for Businessは、PIN リセットに Azure ベースの PIN 回復サービスを使用します - 無効: Windows Hello for Businessは PIN 回復シークレットを作成または格納しません。 PIN リセットでは、Azure ベースの PIN 回復サービスは使用されません。 - PIN リセットに PIN 回復サービスを使用する方法の詳細については、「PIN リセットのWindows Hello for Business」を参照してください。 |
| 生体認証を使用する | コンピューター | - 未構成: PIN の代わりに生体認証をジェスチャとして使用できます - 有効: 生体認証は、PIN の代わりにジェスチャとして使用できます。 - 無効: ジェスチャとして使用できるのは PIN のみです。 |
PIN の複雑さ
| ポリシー | Scope | オプション |
|---|---|---|
| 数字を要求する | コンピューター | - 未構成: ユーザーは PIN に数字を含める必要があります。 - 有効: ユーザーは PIN に数字を含める必要があります。 - 無効: ユーザーは PIN に数字を使用できません。 |
| 小文字を要求する | コンピューター | - 未構成: ユーザーは PIN で小文字を使用できません - 有効: ユーザーは PIN に少なくとも 1 つの小文字を含める必要があります。 - 無効: ユーザーは PIN で小文字を使用できません。 |
| PIN の最大桁数 | コンピューター | - 未構成: PIN の長さは 127 以下にする必要があります。 - 有効: PIN の長さは、指定した数値以下にする必要があります。 - 無効: PIN の長さは 127 以下にする必要があります。 |
| PIN の最小桁数 | コンピューター | - 未構成: PIN の長さは 4 以上である必要があります。 - 有効: PIN の長さは、指定した数値以上である必要があります。 - 無効: PIN の長さは 4 以上である必要があります。 |
| 有効期限 | コンピューター | - 未構成: PIN の有効期限が切れない。 - 有効: PIN は、1 から 730 までの任意の日数の後に期限切れに設定できます。または、ポリシーを 0 に設定することで PIN を期限切れにならないように設定できます。 - 無効: PIN の有効期限が切れない。 |
| 履歴 | コンピューター | - 未構成: 以前の PIN は格納されません。 - 有効: 再利用できないユーザー アカウントに関連付けることができる以前の PIN の数を指定します。 - 無効: 以前の PIN は格納されません。 メモ 現在の PIN は PIN 履歴に含まれています。 |
| 特殊文字を要求する | コンピューター | - 未構成: Windows では PIN で特殊文字が許可されますが、必要ありません。 - 有効: Windows では、ユーザーが PIN に少なくとも 1 つの特殊文字を含める必要があります。 - 無効: Windows では、ユーザーが PIN に特殊文字を含めることはできません。 |
| 大文字を要求する | コンピューター | - 未構成: ユーザーは PIN に大文字を含めることはできません。 - 有効: ユーザーは PIN に少なくとも 1 つの大文字を含める必要があります。 - 無効: ユーザーは PIN に大文字を含めることはできません。 |
スマートフォン サインイン
| ポリシー | Scope | オプション |
|---|---|---|
| スマートフォン サインインの使用 | コンピューター | 現在サポートされていません。 |
Windows Hello for Business の MDM ポリシー設定
次の表は、職場で Windows Hello for Business を使うために構成できる MDM ポリシー設定の一覧です。 これらの MDM ポリシー設定では、PassportForWork 構成サービス プロバイダー (CSP) が使われます。
重要
すべてのデバイスには、Windows Hello for Businessに関連付けられている PIN が 1 つだけです。 つまり、デバイス上の任意の PIN は、PassportForWork CSP で指定されているポリシーの対象になることを意味します。 指定されている値は、Exchange ActiveSync や DeviceLock CSP で設定されているどのような複雑さの規則よりも優先されます。
| ポリシー | 適用範囲 | 既定値 | オプション |
|---|---|---|---|
| UsePassportForWork | デバイスまたはユーザー | True | - True: Windows Hello for Businessは、デバイス上のすべてのユーザーに対してプロビジョニングされます。 - False: ユーザーはWindows Hello for Businessをプロビジョニングできません。 メモ:Windows Hello for Businessが有効になっていて、ポリシーが False に変更された場合、以前にWindows Hello for Businessを設定したユーザーは引き続き使用できますが、他のデバイスでWindows Hello for Businessを設定することはできません |
| RequireSecurityDevice | デバイスまたはユーザー | False | - True: Windows Hello for Businessは TPM のみを使用してプロビジョニングされます。 - False: Windows Hello for Businessは、使用可能な場合は TPM を使用してプロビジョニングされ、TPM が使用できない場合はソフトウェアを使用してプロビジョニングされます。 |
| ExcludeSecurityDevice - TPM12 |
デバイス | False | Windows 10 バージョン 1703 で追加 - True: TPM リビジョン 1.2 モジュールは、Windows Hello for Businessで使用できません。 - False: TPM リビジョン 1.2 モジュールは、Windows Hello for Businessで使用できます。 |
| EnablePinRecovery | デバイスまたは使用 | False | - Windows 10 バージョン 1703 で追加 - True: Windows Hello for Businessは、PIN リセットに Azure ベースの PIN 回復サービスを使用します。 - False: Windows Hello for Businessは PIN 回復シークレットを作成または格納しません。 PIN リセットでは、Azure ベースの PIN 回復サービスは使用されません。 PIN リセットのための PIN 回復サービスの使用の詳細は、「Windows Hello for Business PIN のリセット」を参照してください。 |
生体認証
| ポリシー | 適用範囲 | 既定値 | オプション |
|---|---|---|---|
| UseBiometrics | デバイス | False | - True: 生体認証は、ドメイン サインインの PIN の代わりにジェスチャとして使用できます。 - False: PIN のみをドメイン サインインのジェスチャとして使用できます。 |
| - FacialFeaturesUser - EnhancedAntiSpoofing |
デバイス | 未構成 | - 未構成: ユーザーは、強化されたなりすまし対策を有効にするかどうかを選択できます。 - True: 強化されたなりすまし対策は、それをサポートするデバイスで必要です。 - False: ユーザーは、強化されたなりすまし対策を有効にできません。 |
PINComplexity
| ポリシー | 適用範囲 | 既定値 | オプション |
|---|---|---|---|
| 数字 | デバイスまたはユーザー | 1 | - 0: 数字を使用できます。 - 1: 少なくとも 1 桁が必要です。 - 2: 数字は使用できません。 |
| 小文字 | デバイスまたはユーザー | 2 | - 0: 小文字を使用できます。 - 1: 少なくとも 1 つの小文字が必要です。 - 2: 小文字は使用できません。 |
| 特殊文字 | デバイスまたはユーザー | 2 | - 0: 特殊文字を使用できます。 - 1: 少なくとも 1 つの特殊文字が必要です。 - 2: 特殊文字は使用できません。 |
| 大文字 | デバイスまたはユーザー | 2 | - 0: 大文字を使用できます。 - 1: 少なくとも 1 つの大文字が必要です。 - 2: 大文字は使用できません。 |
| PIN の最大桁数 | デバイスまたはユーザー | 127 | - 設定できる最大長は 127 です。 最大長を最小設定より小さくすることはできません。 |
| PIN の最小桁数 | デバイスまたはユーザー | 6 | - 設定できる最小長は 6 です。 最小長を最大設定より大きくすることはできません。 |
| 有効期限 | デバイスまたはユーザー | 0 | - 整数値は、ユーザーが PIN を変更する前に使用できる期間 (日数) を指定します。 このポリシー設定に構成できる最大数は 730 です。 このポリシー設定に構成できる最小数は 0 です。 このポリシーを 0 に設定するとユーザーの PIN は期限切れになりません。 |
| 履歴 | デバイスまたはユーザー | 0 | - 再利用できないユーザー アカウントに関連付けることができる過去の PIN の数を指定する整数値。 このポリシー設定に構成できる最大数は 50 です。 このポリシー設定に構成できる最小数は 0 です。 このポリシーが 0 に設定されている場合、以前の PIN のストレージは必要ありません。 |
リモート アクセスとサーバー管理
| ポリシー | 適用範囲 | 既定値 | オプション |
|---|---|---|---|
| UseRemotePassport | デバイスまたはユーザー | False | 現在サポートされていません。 |
注
文字または特殊文字を要求するようにポリシーが明示的に構成されていない場合、ユーザーは必要に応じて英数字 PIN を設定できます。
複数のポリシー ソースでのポリシーの競合
Windows Hello for Businessは、グループ ポリシーまたは MDM によって管理されるように設計されていますが、両方の組み合わせではありません。 Windows Hello for Businessのグループ ポリシーと MDM ポリシー設定を混在させないでください。 グループ ポリシーと MDM ポリシー設定を混在させる場合、すべてのグループ ポリシー設定がクリアされるまで、MDM 設定は無視されます。
重要
MDMWinsOverGP ポリシー設定は、Windows Hello for Businessには適用されません。 MDMWinsOverGP はポリシー CSP のポリシーにのみ適用されますが、Windows Hello for Business ポリシーは PassportForWork CSP にあります。
ポリシーの優先順位
Windows Hello for Businessユーザー ポリシーがコンピューター ポリシーよりも優先されます。 ユーザー ポリシーが設定されている場合、対応するコンピューター ポリシーは無視されます。 ユーザー ポリシーが設定されていない場合は、コンピューター ポリシーが使用されます。