Windows パスワードレスエクスペリエンス

[アーティクル]
03/12/2024
適用対象:

✅ Windows 11

KB5030310を使用したバージョン 22H2 Windows 11以降、Windows パスワードレスエクスペリエンスは、Microsoft Entra参加しているデバイスでパスワードのないユーザーエクスペリエンスを促進するセキュリティポリシーです。
ポリシーが有効になっている場合、特定のWindows 認証シナリオでは、ユーザーにパスワードを使用するオプションが提供されないため、組織を支援し、ユーザーがパスワードから徐々に移行する準備を行うことができます。

Windows パスワードレスエクスペリエンスでは、Windows Helloまたは FIDO2 セキュリティキーを使用してサインインするユーザー:

Windows ロック画面でパスワード資格情報プロバイダーを使用できない
セッション内認証中にパスワードを使用するように求められません (たとえば、UAC 昇格、ブラウザーのパスワードマネージャーなど)
[設定] アプリの [ アカウント] [パスワードの > 変更 ] オプションがありません

注

ユーザーは CTRL ALT++DEL> アカウントの管理を使用してパスワードをリセットできます

Windows パスワードレスエクスペリエンスは、初期サインインエクスペリエンスとローカルアカウントには影響しません。これは、Microsoft Entra アカウントの後続のサインインにのみ適用されます。また、ロック画面で [その他のユーザー] オプションを使用しても 、ユーザー がパスワードでサインインできなくなります。
パスワード資格情報プロバイダーは、Windows Helloまたは FIDO2 セキュリティキーにサインインした最後にサインインしたユーザーに対してのみ非表示になります。 Windows パスワードレスエクスペリエンスは、ユーザーがパスワードを使用できないようにすることではなく、パスワードを使用しないようにガイドして教育することです。

この記事では、Windows パスワードレスエクスペリエンスを有効にする方法と、ユーザーエクスペリエンスについて説明します。

ヒント

Windows Hello for Businessユーザーは、Web サインイン機能を使用して、最初のサインインからパスワードレスサインインを実現できます。 Web サインインの詳細については、「 Windows デバイスの Web サインイン」を参照してください。

システム要件

Windows パスワードレスエクスペリエンスには、次の要件があります。

Windows 11 バージョン 22H2 (KB5030310 以降)
Microsoft Entra参加済み
ユーザー Windows Hello for Business登録されている資格情報、または FIDO2 セキュリティキー
MDM 管理: Microsoft Intuneまたはその他の MDM ソリューション

注

Microsoft Entraハイブリッド参加済みデバイスと Active Directory ドメイン参加済みデバイスは現在スコープ外です。

Windows エディションとライセンスに関する要件

次の表に、Windows パスワードレスエクスペリエンスをサポートする Windows エディションを示します。

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
はい	はい	○	○

Windows パスワードレスエクスペリエンスライセンスの権利は、次のライセンスによって付与されます。

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
○	はい	○	○	はい

Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。

Intuneで Windows パスワードレスエクスペリエンスを有効にする

Microsoft Intuneを使用してデバイスを構成するには、設定カタログポリシーを作成し、次の設定を使用します。

カテゴリ	設定名	値
認証	パスワードレスエクスペリエンスを有効にする	有効

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

または、ポリシー CSP でカスタムポリシーを使用してデバイスを構成することもできます。

設定
- OMA-URI:`./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience` - データ型: int - 値：`1`

ユーザーエクスペリエンス

ロック画面エクスペリエンス

パスワードレスエクスペリエンスがオフになっている: ユーザーは、Windows ロック画面にパスワード資格情報プロバイダーが存在することで示されているように、パスワードを使用してサインインできます。

パスワードレスエクスペリエンスが有効になっている: 強力な資格情報でサインインした最後のユーザーのパスワード資格情報プロバイダーがありません。ユーザーは、強力な資格情報を使用してサインインするか、[ その他のユーザー ] オプションを使用してパスワードでサインインすることを選択できます。

セッション内認証エクスペリエンス

Windows パスワードレスエクスペリエンスが有効になっている場合、ユーザーはセッション内認証シナリオでパスワード資格情報プロバイダーを使用できません。セッション内認証のシナリオは次のとおりです。

Web ブラウザーのパスワードマネージャー
ファイル共有またはイントラネットサイトへの接続
ローカルユーザーアカウントが昇格に使用されている場合を除き、ユーザーアカウント制御 (UAC) の昇格

注

RDP サインインの既定値は、サインイン時に使用される資格情報プロバイダーです。ただし、ユーザーは [ 別のアカウントを使用して パスワードでサインインする] オプションを選択できます。

別のユーザーとして実行 することは、Windows パスワードレスエクスペリエンスの影響を受けません。

UAC 昇格エクスペリエンスの例:

パスワードレスエクスペリエンスがオフになっている: UAC 昇格により、ユーザーはパスワードを使用して認証できます。

パスワードレスエクスペリエンスが有効になっている: UAC 昇格では、ユーザーは現在ログオンしているユーザーのパスワード資格情報プロバイダーを使用できません。ユーザーは、Windows Hello、FIDO2 セキュリティキー、またはローカルユーザーアカウント (使用可能な場合) を使用して認証できます。

推奨事項

Windows パスワードレスエクスペリエンスを有効にする前に考慮すべき推奨事項の一覧を次に示します。

Windows Hello for Businessが有効になっている場合は、ユーザーがロック画面から PIN をリセットできるように PIN リセット機能を構成します。 WINDOWS 11 バージョン 22H2 以降では、KB5030310 で PIN リセットエクスペリエンスが向上しています
セキュリティポリシーを構成しない 対話型ログオン: Windows パスワードレスエクスペリエンスが機能しなくなるため、最後にサインインした状態を表示しない
[資格情報プロバイダーの除外] ポリシーを使用して、パスワード 資格情報プロバイダーを 無効にしないでください。 2 つのポリシーの主な違いは次のとおりです。
- [資格情報プロバイダーの除外] ポリシーでは、ローカルアカウントを含 むすべてのアカウントのパスワードが無効になります。 Windows パスワードレスエクスペリエンスは、Windows Helloまたは FIDO2 セキュリティキーを使用してサインインするMicrosoft Entra アカウントにのみ適用されます。また、他の ユーザー がポリシーから除外されるため、ユーザーにはバックアップサインインオプションがあります
- 資格情報プロバイダーを除外ポリシーを使用すると、RDP と 認証として実行 のシナリオでパスワードを使用できなくなります
ヘルプデスクのサポート操作を容易にするには、ローカル管理者アカウントを有効にするか、別のアカウントを作成し、Windows ローカル管理者パスワードソリューション (LAPS) を使用してそのパスワードをランダム化することを検討してください

既知の問題

FIDO2 セキュリティキーを使用する場合、セッション内認証エクスペリエンスに影響する既知の問題があります。セキュリティキーは常に使用可能なオプションとは限りません。製品グループはこの動作を認識しており、今後これを改善する予定です。

フィードバックを提供する

Windows パスワードレスエクスペリエンスに関するフィードバックを提供するには、 Feedback Hub を 開き、「 セキュリティとプライバシー > のパスワードレスエクスペリエンス」カテゴリを使用します。

Windows パスワードレス エクスペリエンス