Configuration Manager における Windows Hello for Business の設定Windows Hello for Business settings in Configuration Manager

適用対象:Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Configuration Manager は、Windows Hello for Business と統合されます。Configuration Manager integrates with Windows Hello for Business. (この機能は、以前は Microsoft Passport for Work と呼ばれていました。)Windows Hello for Business は、Windows 10 デバイスの代替サインイン方法です。(This feature was formerly known as Microsoft Passport for Work.) Windows Hello for Business is an alternative sign-in method for Windows 10 devices. ここでは、パスワード、スマート カード、または仮想スマート カードの代わりに、Active Directory または Azure Active Directory (Azure AD) アカウントを使用します。It uses Active Directory or an Azure Active Directory (Azure AD) account to replace a password, smart card, or virtual smart card. Hello for Business を使用すると、パスワードの代わりに、"ユーザー ジェスチャ" を使用してサインインできます。Hello for Business lets you use a user gesture to sign in instead of a password. ユーザー ジェスチャには、暗証番号 (PIN)、生体認証、または指紋リーダーなどの外部デバイスがあります。A user gesture might be a PIN, biometric authentication, or an external device such as a fingerprint reader.

重要

バージョン 1910 以降では、Configuration Manager で Windows Hello for Business の設定を使用した証明書ベースの認証はサポートされていません。Starting in version 1910, certificate-based authentication with Windows Hello for Business settings in Configuration Manager isn't supported. 詳しくは、非推奨の機能に関するページをご覧ください。For more information, see deprecated features. キー ベースの認証は引き続き有効です。Key-based authentication is still valid.

Active Directory フェデレーション サービス登録機関 (ADFS RA) の展開の方が簡単で、より優れたユーザー エクスペリエンスを提供しており、より決定論的な証明書の登録エクスペリエンスを備えています。Active Directory Federation Services Registration Authority (ADFS RA) deployment is simpler, provides a better user experience, and has a more deterministic certificate enrollment experience. Windows Hello for Business を使用した証明書ベースの認証には ADFS RA を使用します。Use ADFS RA for certificate-based authentication with Windows Hello for Business.

共同管理デバイスの場合は、リソース アクセス ポリシー ワークロードを Intune に移行することを検討してください。For co-managed devices, consider moving the Resource access policies workload to Intune. 次に、Intune ポリシーを使用してこれらの証明書を管理します。Then use Intune policies to manage these certificates. 詳細については、ワークロードを切り替える方法に関するページをご覧ください。For more information, see How to switch workloads.

詳細については、「Windows Hello for Business」を参照してください。For more information, see Windows Hello for Business.

注意

Configuration Manager では、このオプション機能は既定で無効です。Configuration Manager doesn't enable this optional feature by default. この機能は、使用する前に有効にする必要があります。You must enable this feature before using it. 詳細については、「Enable optional features from updates」 (更新プログラムのオプション機能の有効化) を参照してください。For more information, see Enable optional features from updates.

Configuration Manager と Windows Hello for Business を統合するには、次の方法があります。Configuration Manager integrates with Windows Hello for Business in the following ways:

  • ユーザーがサインインに使用できるジェスチャと使用できないジェスチャを制御します。Control which gestures users can and can't use to sign in.

  • Windows Hello for Business のキー格納プロバイダー (KSP) に認証証明書を格納します。Store authentication certificates in the Windows Hello for Business key storage provider (KSP). 詳細については、「Certificate profiles」 (証明書プロファイル) をご覧ください。For more information, see Certificate profiles.

  • Windows Hello for Business プロファイルを作成して展開し、ドメインに参加しており Configuration Manager クライアントを実行している Windows 10 デバイスの Windows Hello for Business 設定を制御します。Create and deploy a Windows Hello for Business profile to control its settings on domain-joined Windows 10 devices that run the Configuration Manager client. バージョン 1910 以降では、証明書ベースの認証は使用できません。Starting in version 1910, you can't use certificate-based authentication. キー ベースの認証を使用している場合は、証明書プロファイルを展開する必要はありません。When using key-based authentication, you don't need to deploy a certificate profile.

プロファイルの構成Configure a profile

  1. Configuration Manager コンソールで、 [資産とコンプライアンス] ワークスペースに移動します。In the Configuration Manager console, go to the Assets and Compliance workspace. [コンプライアンス設定][会社のリソースへのアクセス] の順に展開して、 [Windows Hello for Business プロファイル] ノードを選択します。Expand Compliance Settings, expand Company Resource Access, and select the Windows Hello for Business Profiles node.

  2. リボンで、 [Windows Hello for Business プロファイルの作成] を選択してプロファイル ウィザードを開始します。In the ribbon, select Create Windows Hello for Business Profile to start the profile wizard.

  3. [全般] ページで、このプロファイルの名前と必要に応じて説明を指定します。On the General page, specify a name and an optional description for this profile.

  4. [サポートされているプラットフォーム] ページで、このプロファイルを適用する OS のバージョンを選択します。On the Supported Platforms page, select the OS versions to which this profile should apply.

  5. [設定] ページで、次の設定を構成します。On the Settings page, configure the following settings:

    • [Windows Hello for Business の構成] :このプロファイルで Hello for Business を有効にするか、無効にするか、または構成しないかを指定します。Configure Windows Hello for Business: Specify whether this profile enables, disables, or doesn't configure Hello for Business.

    • [トラステッド プラットフォーム モジュール (TPM) の使用] :TPM によってデータのセキュリティ層が追加されます。Use a Trusted Platform Module (TPM): A TPM provides an additional layer of data security. 次のいずれかの値を選択します。Choose one of the following values:

      • 必須:アクセス可能な TPM を装備したデバイスのみが Windows Hello for Business をプロビジョニングできます。Required: Only devices with an accessible TPM can provision Windows Hello for Business.

      • 優先:デバイスは最初に TPM を使用しようとします。Preferred: Devices first attempt to use a TPM. これが使用できない場合、ソフトウェアの暗号化を使用できます。If it's not available, they can use software encryption.

    • [認証方法] :このオプションは、 [未構成] または [キー ベース] に設定します。Authentication method: Set this option to Not configured or Key-based.

      注意

      バージョン 1910 以降では、Configuration Manager で Windows Hello for Business の設定を使用した証明書ベースの認証はサポートされていません。Starting in version 1910, certificate-based authentication with Windows Hello for Business settings in Configuration Manager isn't supported.

    • PIN の最小長の構成:ユーザーの PIN の最小長を定める場合は、このオプションを有効にして値を指定します。Configure minimum PIN length: If you want to require a minimum length for the user's PIN, enable this option and specify a value. 有効にすると、既定値は 4 になります。When enabled, the default value is 4.

    • PIN の最大長の構成:ユーザーの PIN の最大長を定める場合は、このオプションを有効にして値を指定します。Configure maximum PIN length: If you want to require a maximum length for the user's PIN, enable this option and specify a value. 有効にすると、既定値は 127 になります。When enabled the default value is 127.

    • PIN の有効期限を必要とする (日数) :デバイス PIN の変更が必要になるまでの日数を指定します。Require PIN expiration (days): Specifies the number of days before the user must change the device PIN.

    • 前の PIN の再利用を防止:以前に使用した PIN を使用することをユーザーに許可しません。Prevent reuse of previous PINs: Don't allow users to use PINs they have previously used.

    • PIN に英大文字が必要:ユーザーが Windows Hello for Business の PIN に大文字を含める必要があるかどうかを指定します。Require upper-case letters in PIN: Specifies whether users must include uppercase letters in the Windows Hello for Business PIN. 次の中から選択します。Choose from:

      • [許可] :ユーザーは PIN に大文字を使用することができますが、その必要はありません。Allowed: Users can use uppercase characters in their PIN, but don't have to.

      • 必須:ユーザーは PIN に大文字を 1 文字以上含める必要があります。Required: Users must include at least one uppercase character in their PIN.

      • 許可しない:ユーザーは PIN に大文字を使用することができません。Not allowed: Users can't use uppercase characters in their PIN.

    • PIN に英小文字が必要:ユーザーが Windows Hello for Business の PIN に小文字を含める必要があるかどうかを指定します。Require lower-case letters in PIN: Specifies whether users must include lowercase letters in the Windows Hello for Business PIN. 次の中から選択します。Choose from:

      • [許可] :ユーザーは PIN に小文字を使用することができますが、その必要はありません。Allowed: Users can use lowercase characters in their PIN, but don't have to.

      • 必須:ユーザーは PIN に小文字を 1 文字以上含める必要があります。Required: Users must include at least one lowercase character in their PIN.

      • 許可しない:ユーザーは PIN に小文字を使用することができません。Not allowed: Users can't use lowercase characters in their PIN.

    • 特殊文字の構成:PIN の特殊文字の使用を指定します。Configure special characters: Specifies the use of special characters in the PIN. 次の中から選択します。Choose from:

      注意

      特殊文字には次のセットが含まれます。Special characters include the following set:

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
      
      • [許可] :ユーザーは PIN に特殊文字を使用することができますが、その必要はありません。Allowed: Users can use special characters in their PIN, but don't have to.

      • 必須:ユーザーは PIN に特殊文字を 1 文字以上含める必要があります。Required: Users must include at least one special character in their PIN.

      • 許可しない:ユーザーは PIN に特殊文字を使用することができません。Not allowed: Users can't use special characters in their PIN. この動作は、設定が [未構成] の場合にも行われます。This behavior is also if the setting is Not configured.

    • PIN での数字の使用の構成:PIN での数字の使用を指定します。Configure the use of digits in PIN: Specifies the use of numbers in the PIN. 次の中から選択します。Choose from:

      • [許可] :ユーザーは PIN に数字を使用することができますが、その必要はありません。Allowed: Users can use numbers in their PIN, but don't have to.

      • 必須:ユーザーは PIN に数字を 1 文字以上含める必要があります。Required: Users must include at least one number in their PIN.

      • 許可しない:ユーザーは PIN に数字を使用できません。Not allowed: Users can't use numbers in their PIN.

    • 生体認証のジェスチャを有効にする:顔認識や指紋などの生体認証を使用します。Enable biometric gestures: Use biometric authentication such as facial recognition or fingerprint. これらのモードは、Windows Hello for Business の PIN の代わりに使用できます。These modes are an alternative to a PIN for Windows Hello for Business. ユーザーは、生体認証に失敗した場合のために、PIN を引き続き構成します。Users still configure a PIN in case biometric authentication fails.

      [はい] に設定されている場合は、Windows Hello for Business で生体認証を利用できます。If set to Yes, Windows Hello for Business allows biometric authentication. [いいえ] に設定されている場合、Windows Hello for Business ではどのアカウントの種類に対しても生体認証を利用できません。If set to No, Windows Hello for Business prevents biometric authentication for all account types.

    • 高度なスプーフィング対策の使用:デバイスでサポートされている場合に拡張スプーフィング対策を構成します。Use enhanced anti-spoofing: Configures enhanced anti-spoofing on devices that support it. [はい] に設定すると、サポートされている場合、Windows のすべてのユーザーが、顔の特徴のスプーフィング対策を使用する必要があります。If set to Yes, where supported, Windows requires all users to use anti-spoofing for facial features.

    • [電話によるサインインの使用] :携帯電話による 2 要素認証を構成します。Use Phone Sign In: Configures two-factor authentication with a mobile phone.

  6. ウィザードを完了します。Complete the wizard.

次のスクリーンショットは、Windows Hello for Business プロファイル設定の例です。The following screenshot is an example of Windows Hello for Business profile settings:

使用可能な設定の一覧を表示する Windows Hello for Business ポリシー ウィザード

アクセス許可を構成しますConfigure permissions

  1. ドメイン管理者または同等の資格情報として、次のオプション機能がインストールされている、セキュリティで保護された管理ワークステーションにサインインします。RSAT:Active Directory Domain Services とライトウェイト ディレクトリ サービス ツール。As a Domain Administrator or equivalent credentials, sign in to a secure, administrative workstation that has the following optional feature installed: RSAT: Active Directory Domain Services and Lightweight Directory Services Tools.

  2. [Active Directory ユーザーとコンピューター] コンソールを開きます。Open the Active Directory Users and Computers console.

  3. ドメインを選択し、 [アクション] メニューに進み、 [プロパティ] を選択します。Select the domain, go to the Action Menu, and select Properties.

  4. [セキュリティ] タブに切り替え、 [詳細設定] を選択します。Switch to the Security tab, and select Advanced.

    ヒント

    [セキュリティ] タブが表示されない場合は、[プロパティ] ウィンドウを閉じます。If you don't see the Security tab, close the properties window. [表示] メニューに移動し、 [拡張機能] を選択します。Go to the View menu, and select Advanced Features.

  5. [追加] を選択します。Select Add.

  6. [プリンシパルの選択] を選択し、「Key Admins」と入力します。Choose Select a principal and enter Key Admins.

  7. [適用先] リストから [Descendant User objects (子孫ユーザー オブジェクト)] を選択します。From the Applies to list, select Descendant User objects.

  8. ページの下部にある [すべてクリア] を選択します。At the bottom of the page, select Clear all.

  9. [プロパティ] セクションで [Read msDS-KeyCredentialLink (msDS-KeyCredentialLink を読む)] を選択します。In the Properties section, select Read msDS-KeyCredentialLink.

  10. [OK] を選択して変更を保存し、すべてのウィンドウを閉じます。Select OK to save your changes and close all windows.

次のステップNext steps

証明書プロファイルCertificate profiles