リモート デスクトップ

要件

  • Windows 10
  • Windows 11
  • クラウドのみ、ハイブリッド、およびオンプレミスはビジネスWindows Helloにのみ使用できます。
  • Azure AD参加、ハイブリッド Azure AD、および参加Enterpriseデバイス

Windows Hello for Business では、Windows Hello for Business コンテナーに展開された証明書を提供された資格情報として使用して、サーバーまたは別のデバイスへのリモート デスクトップ接続を確立できます。 この機能は、主要な信頼展開ではサポートされていません。 この機能は、リモート デスクトップ プロトコルのリダイレクトされたスマート カード機能を利用します。 Windows Helloキーの信頼をリモート 資格情報ガードWindows Defender使用して、リモート デスクトップ プロトコル接続を確立できます。

Microsoft は、今後のリリースで、提供された資格情報に対するキー信頼の使用のサポートについて引き続き調査しています。

生体認証を使用したリモート デスクトップ

要件

  • クラウドのみ、ハイブリッド、およびオンプレミスはビジネスWindows Helloにのみ使用できます。
  • Azure AD参加、ハイブリッド Azure AD、および参加Enterpriseデバイス
  • 生体認証登録
  • Windows 10 Version 1809以降

以前のバージョンの Windows 10を使用しているユーザーは、Windows Hello for Business を使用してリモート デスクトップに対して認証できますが、PIN を認証ジェスチャとして使用するに制限されました。 Windows 10 Version 1809以降では、ユーザーがビジネス用の生体認証ジェスチャを使用してリモート デスクトップ セッションWindows Hello認証する機能が導入されています。 この機能は既定でオンになっていますので、ユーザーはユーザーがユーザーにアップグレードするとすぐに利用Windows 10 Version 1809。

どのように機能する

Windowsキー ストレージ プロバイダー (KSP) と呼ばれるソフトウェア コンポーネントを使用して暗号化キーを生成および保存します。 ソフトウェア ベースのキーは、Microsoft ソフトウェア キー プロバイダーを使用してStorageされます。 スマート カード キーは、Microsoft スマート カード キー プロバイダーを使用してStorageされます。 ビジネス向けサービスによって作成Windows Hello保護されたキーは、Microsoft Passport Key Key プロバイダーを使用してStorageされます。

スマート カード上の証明書は、Microsoft Smart Card KSP を使用して非対称キー ペアを作成する方法から始まります。 Windowsは、証明機関を発行している企業からキー ペアに基づいて証明書を要求します。この証明書は、ユーザーの個人用証明書ストアに保存されている証明書を返します。 プライベート キーはスマート カードに残り、公開キーは証明書と一緒に保存されます。 証明書 (およびキー) のメタデータには、キーの作成に使用されるキー ストレージ プロバイダーが格納されます (証明書に公開キーが含まれていることを覚えておいてください)。

この同じ概念は、Windows Helloに適用されます。 ただし、キーは Microsoft Passport KSP を使用して作成され、ユーザーのプライベート キーはデバイスのセキュリティ モジュール (TPM) とユーザーのジェスチャ (PIN/生体認証) によって保護されたままです。 証明書 API は、この複雑さを隠します。 アプリケーションが証明書を使用する場合、証明書 API は保存されたキー ストレージ プロバイダーを使用してキーを検索します。 キー ストレージ プロバイダーは、証明書に関連付けられたプライベート キーを検索するために使用するプロバイダーの証明書 API を指示します。 これは、Windowsカードを挿入せずにスマート カード証明書を持っていることを確認する方法です (および、スマート カードの挿入を求めるメッセージが表示されます)。

Windows Hello for Business は、アプリケーションの互換性のためにスマート カードをエミュレートします。 バージョン 1809 より前の Windows 10 のバージョンでは、microsoft Smart Card KSP を使用してエミュレートされたスマート カードを使用する Windows Hello for Business 証明書のプライベート キー アクセスをリダイレクトし、ユーザーが PIN を提供できます。 Windows 10 Version 1809以降は、Windows Hello for Business 証明書のプライベート キー アクセスを Microsoft Smart Card KSP にリダイレクトしなくなりました。Microsoft Passport KSP を引き続き使用します。 Microsoft Passport KSP は、Windowsジェスチャまたは PIN の入力をユーザーに求めるメッセージを有効にしました。

互換性

ユーザーは生体認証の利便性を高く評価し、管理者はセキュリティを高く評価しますが、アプリケーションとビジネス証明書の互換性の問題Windows Hello発生する可能性があります。 グループ ポリシー設定と MDM URI が存在するのを知って、必要なユーザーの以前の動作に戻すのに役立ちます。

WHFB 証明書 GP の設定。

重要

生体認証機能を備えるリモート デスクトップは、デュアル登録機能や、ユーザーが代替資格情報を提供するシナリオでは機能しません。 Microsoft は引き続きこの機能のサポートについて調査を続けている。