Windows Hello for Business の機能

適用対象:

  • Windows 10

組織で Windows Hello for Business が展開された後に使用できる追加機能を検討してください。

条件付きアクセス

要件:

  • Azure Active Directory
  • Windows Hello for Business のハイブリッド展開

モバイルで初めて使用するクラウド-最初の世界では、Azure Active Directory によって、どこからでもデバイス、アプリケーション、サービスにシングルサインオンすることができます。 デバイス (BYOD など) が普及し、会社のネットワークとサードパーティの SaaS アプリケーションを活用することで、IT プロフェッショナルは2つの対立する目標に直面しています。 +

  • 場所や時間を問わず、常にエンド ユーザーの生産性を向上させること
  • 企業の資産を常に保護すること

生産性を向上させるため、Azure Active Directory には、ユーザーが企業資産にアクセスするための幅広いオプションが用意されています。 アプリケーションへのアクセス管理によって、Azure Active Directory では正当なユーザーのみがアプリケーションにアクセスできることを保証できます。 ただし、正当なユーザーにも、特定の条件下ではリソースにアクセスすることを制限する場合はどうすればよいでしょうか。 適切なユーザーに対しても、特定のアプリケーションへのアクセスをブロックする条件がある場合はどうなりますか? たとえば、適切なユーザーが信頼されたネットワークから特定のアプリケーションにアクセスしている場合は、問題が発生する可能性があります。ただし、信頼していないネットワークからこれらのアプリケーションにアクセスしたくない場合もあります。 これらの問題は、条件付きアクセスを使用することで解決できます。

条件付きアクセスの詳細については、「Azure Active Directory の条件付きアクセス」をご覧ください。 その後、条件付きアクセスの展開を開始するには、「Azure Active Directory での条件付きアクセスの基本」をご覧ください。

動的ロック

要件:

  • Windows 10 Version 1703

動的ロックを使うと、Bluetooth ペアリングデバイス信号が最大受信シグナル強度インジケータ (RSSI) 値を下回ったときに、Windows 10 デバイスが自動的にロックされるように構成することができます。 グループ ポリシーを使用して、動的ロック ポリシーを構成します。 ポリシー設定は、"コンピューターの構成 \ 管理用テンプレート \Windows コンポーネント Components\Windows Hello For Business" で見つけることができます。 ポリシーの名前は [Configure dynamic lock factors] (動的ロックの要素を構成する) です。

このポリシーが有効である場合、グループ ポリシー エディターでは、次の値を持つ既定の信号規則ポリシーを作成します。

重要

マイクロソフトでは、このポリシー設定に既定値を使用することをお勧めします。 測定値は、それぞれの環境のさまざまな条件に基づいて相対的です。 そのため、同じ値でも結果が異なる場合があります。 この設定を広く展開する前に、それぞれの環境でポリシー設定をテストします。

<rule schemaVersion="1.0"> 
    <signal type="bluetooth" scenario="Dynamic Lock" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/> 
</rule>

このポリシー設定では、typescenario 属性の値は静的であり、変更できません。 classofDevice 属性の既定の設定はスマートフォンで、次の表の値が使用されます。

説明 設定値
その他 0
コンピューター 256
スマートフォン 512
LAN/ネットワーク アクセス ポイント 768
オーディオ/ビデオ 1024
周辺装置 1280
イメージング 1536
ウェアラブル 1792
玩具 2048
ヘルス 2304
カテゴリ化されていない 7936

rssiMin 属性の値は、デバイスが「範囲内」にあると判断されるために必要な信号強度です。 既定値の -10 の場合、ユーザーが平均的な広さのオフィスやブース内を移動しても、Windows によってデバイスのロックがトリガーされることはありません。 rssiMaxDelta の既定値は -10 で、信号強度の測定値が 10 段階を超えて弱まると、デバイスをロックするよう Windows 10 に指示します。

RSSI 測定値は相対的であり、ペアリングされた 2 つのデバイス間での Bluetooth 信号が弱まると低下します。 したがって、測定値 0、-10、-60 は順に弱くなり、デバイスが互いに離れていくことを示しています。

暗証番号 (PIN) のリセット

適用対象:

  • Windows 10 バージョン1709以降

ハイブリッド展開

要件:

  • Azure Active Directory
  • Windows Hello for Business のハイブリッド展開
  • Azure AD が登録されていること、Azure AD に参加していること、ハイブリッド Azure AD が参加していること
  • Windows 10 バージョン1709以降、 Enterprise Edition

Microsoft PIN リセット サービスでは、自分の PIN を忘れてしまったユーザーを支援できます。 グループポリシー、Microsoft Intune、または互換性のある MDM を使用して、Windows 10 デバイスを構成して、再登録を必要とせずに、ユーザーが忘れてしまった PIN を設定またはロック画面上でリセットできる Microsoft PIN リセットサービスを安全に使用できるようにすることができます。

重要

Microsoft PIN のリセットサービスは、Windows 10 バージョン1709以降のEnterprise Editionでのみ動作します。 この機能はProエディションでは動作しません。]

Intune テナントへの Microsoft PIN リセット サービスのオンボード

Pin をリモートでリセットするには、事前に Microsoft PIN のリセットサービスを Azure Active Directory テナントに内蔵し、管理しているデバイスを構成する必要があります。

PIN リセットサービスを使用して Azure Active Directory に接続する

  1. MICROSOFT PIN リセットサービスの統合 web サイトにアクセスし、Azure Active Directory テナントの管理に使用しているテナント管理者アカウントを使用してサインインします。
  2. ログインした後、[Accept] (同意する) をクリックして、PIN リセット サービスがアカウントにアクセスすることに同意します。
    Azure での PIN リセット サービス アプリケーション
  3. Azure ポータルでは、Microsoft PIN リセットサービスがエンタープライズアプリケーションすべてのアプリケーションブレードから統合されていることを確認できます。
    PIN リセット サービスのアクセス許可のページ

グループポリシーを使用して PIN リセットを使用するように Windows デバイスを構成する

グループポリシーオブジェクトのコンピューター構成部分を使用して Microsoft PIN リセットサービスを使用するように Windows 10 を構成します。

  1. グループポリシー管理コンソール (GPMC) を使用して、ドメインベースのグループポリシーのスコープを Active Directory のコンピューターアカウントにします。
  2. 手順1でグループポリシーオブジェクトを編集します。
  3. [コンピューターの構成] の下にある [ PIN 回復ポリシーの使用] 設定を有効にします。 >管理用テンプレート->windows コンポーネント->Windows Hello for Business] を選びます。
  4. グループポリシー管理エディターを閉じて、グループポリシーオブジェクトを保存します。 GPMC を閉じます。

Microsoft Intune を使用して PIN リセットを使用するように Windows デバイスを構成する

管理している Windows デバイスで PIN のリセットを構成するには、Intune の Windows 10 カスタム デバイス ポリシーを使用して機能を有効にします。 次の Windows ポリシー構成サービス プロバイダー (CSP) を使用して、ポリシーを構成します。

Microsoft Intune を使用して、PIN リセットデバイス構成プロファイルを作成する
  1. テナント管理者アカウントを使用してAzure ポータルにサインインします。
  2. 次のタスクを完了するには、テナント ID が必要です。 Azure ポータルから Azure Active Directory のプロパティを表示しているテナント ID を検出できます。 Azure AD に参加しているコンピューターまたはハイブリッド Azure AD に参加しているコンピューターでは、コマンドウィンドウで次のコマンドを使用することもできます。
    dsregcmd /status | findstr -snip "tenantid"
  3. Microsoft Intune ブレードに移動します。 [デバイスの構成] をクリックします。 [プロファイル] をクリックします。 [プロファイルの作成] をクリックします。
  4. [名前] フィールドに「 PIN 回復を使用する」と入力します。 [プラットフォーム] ボックスの一覧で、[ Windows 10以降] を選びます。 [プロファイルの種類] ボックスの一覧から [カスタム] を選びます。
  5. カスタムのOma-uri 設定ブレードで、[追加] をクリックします。
  6. [ Add Row blade] で、[ Name ] フィールドに「 PIN リセットの設定」と入力します。 [ Oma-uri ] フィールドに、 /Device/Vendor/MSFT/PassportForWork/テナント id/ ポリシーを入力します。テナント id は、手順2の Azure Active Directory テナント ID です。
  7. [データ型] の一覧から [ブール値] を選び、[] リストから [ True ] を選びます。
  8. [ OK ] をクリックして、行の構成を保存します。 [ OK ] をクリックして、カスタムの oma-uri 設定のブレードを閉じます。 [* * 作成 ] をクリックして、プロファイルを保存します。
Microsoft Intune を使用して、PIN リセットデバイス構成プロファイルを割り当てる
  1. テナント管理者アカウントを使用してAzure ポータルにサインインします。
  2. Microsoft Intune ブレードに移動します。 [デバイスの構成] をクリックします。 [プロファイル] をクリックします。 デバイス構成プロファイルの一覧から、PIN のリセット構成を含むプロファイルをクリックします。
  3. デバイス構成プロファイルで、[課題] をクリックします。
  4. [含める] または [除外] タブを使用して、デバイス構成プロファイルのターゲットを設定し、[グループ] を選択します。

オンプレミス展開

** 要件**

  • Active Directory
  • Windows Hello for Business のオンプレミス展開
  • [設定] からリセットする-Windows 10、バージョン1703、Professional
  • ロックを上にリセット-Windows 10、バージョン1709、Professional

オンプレミスの展開では、ユーザーは、[設定] ページまたはユーザーのロック画面上で、忘れたピンをリセットすることができます。 ユーザーは、認証用のパスワードを知っているか、提供している必要があります。2つ目の認証要素を実行してから、Windows Hello for Business を再プロビジョニングする必要があります。

重要

ユーザーは、ドメインコントローラーへの企業ネットワーク接続と、そのピンをリセットするためのフェデレーションサービスを持っている必要があります。

設定からの PIN のリセット

  1. 代替資格情報を使用して、Windows 10 バージョン 1703 にサインインします。
  2. [設定] を開き、[アカウント][サインイン オプション] の順にクリックします。
  3. [PIN][PIN を忘れた場合] をクリックし、指示に従います。

ロック画面での PIN のリセット

  1. Windows 10 バージョン 1709 で、Windows サインインから [PIN を忘れた場合] をクリックします。
  2. パスワードを入力し、Enter キーを押します。
  3. プロビジョニング プロセスによって表示される指示に従います
  4. 完了したら、新しく作成した PIN を使用してデスクトップのロックを解除します。

注意

Windows hello For businessの [ビデオ] ページにアクセスして、 Windows hello FOR business で PIN を忘れたユーザーエクスペリエンスのビデオをご覧ください。

デュアル登録

要件

  • Windows Hello for Business のハイブリッド展開とオンプレミス展開
  • エンタープライズ参加またはハイブリッド Azure 参加デバイス
  • Windows 10 Version 1709

注意

この機能は、以前は "特権資格情報" と呼ばれていましたが、特権アクセスワークステーション機能との混同を防ぐため、 2 つの登録に名前が変更されました。

重要

デュアル登録は、権限のあるアクセスワークステーション機能と同じセキュリティに置き換えたり、提供したりすることはできません。 Microsoft は、権限のある資格情報のユーザーに対して、特権のあるアクセスワークステーションを使用することをお勧めします。 企業は、権限のあるアクセス機能を使用できない場合に、Windows Hello for Business のデュアル登録を検討することができます。 詳細については、「権限のあるアクセスワークステーション」を参照してください。

デュアル登録により、管理者は、権限のない、または特権の資格情報の両方をデバイスに登録することにより、管理者が管理している管理機能を実行できます。

Windows 10 では、設計上、ユーザーのセッション内からすべての Windows Hello for Business ユーザーを列挙しません。 [コンピューター] グループポリシー設定を使用して、エミュレートされたスマートカードをすべてのユーザーに対して列挙することができます。デバイスを構成して、登録されているすべての Windows Hello for Business の資格情報を、選択したデバイスで列挙できます。

この設定を使用すると、管理者は、windows 10、バージョン1709に、メールなどの通常の作業フローの資格情報ではなく、Microsoft 管理コンソール (MMCs)、リモートデスクトップサービスを起動できます。クライアントやその他のアプリケーションを、[別のユーザーとして実行] または [管理者として実行] を選択して、[権限のあるユーザー] アカウントを選択し、PIN を指定します。 管理者は、runas.exe コマンドを /smartcard 引数と組み合わせて使用することにより、コマンド ライン アプリケーションでこの機能を活用することもできます。 これにより、管理者は、サインインや非特権のワークロードを切り替えることなく、日常的な操作を実行することができます。

重要

Windows hello for Business デュアル登録用に windows 10 コンピューターを構成する必要があります。その前に、Windows Hello for business のユーザー (権限または権限なし) をプロビジョニングします。 デュアル登録は、作成時に Windows Hello コンテナーで構成される特別な設定です。

Windows Hello for Business のデュアル登録を構成する

このタスクでは、

  • ドメイン管理者の登録をサポートするように Active Directory を構成する
  • グループポリシーを使用してデュアル登録を構成する

ドメイン管理者の登録をサポートするように Active Directory を構成する

デザインされた Windows のビジネス構成では、キーの管理者(windows Server 2016 より前のドメインコントローラーを使用している場合はkeycredential 管理者) に、KeyCredentialsLink 属性の読み取りと書き込みのアクセス許可を与えることができます。 これらのアクセス許可をドメインのルートで提供し、オブジェクトの継承を使用して、ドメイン階層内での場所に関係なく、アクセス許可がドメイン内のすべてのユーザーに適用されるようにしました。

Active Directory ドメインサービスは AdminSDHolder を使って、権限のあるユーザーとグループのセキュリティを比較して、1時間ごとに設定して、AdminSDHolder オブジェクトで定義されたものと一致させることによって、意図しない変更から保護されます。. Windows Hello for Business の場合、ドメイン管理者アカウントでアクセス許可が付与される可能性はありますが、AdminSDHolder の資格情報属性に対して AdminSDHolder の読み取りアクセス許可と書き込みアクセス許可を付与しない限り、ユーザーオブジェクトには表示されなくなります。

ドメイン_管理者_と同等のアクセス権を持つドメインコントローラーまたは管理ワークステーションにサインインします。

  1. 次のコマンドを入力して**** 、AdminSDHolder オブジェクトのキー管理者(またはkeycredential Admins) グループに対して、keycredentiallink 属性に対して "読み取り" および "書き込み" プロパティのアクセス許可を追加します。
    dsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink
    dc = domain, dc = comは Active Directory ドメインの LDAP パスで、 domainName\keyAdminGroup] は、展開に基づいてキーへのアクセス権を付与するために使用するグループの名前です。 例:
    dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink
  2. セキュリティ記述子の伝達を開始するには、 ldp.exeを開きます。
  3. [接続] をクリックし、[接続] を選択します。 [サーバー] の横に、ドメインの PDC ロールを保持するドメインコントローラーの名前を入力します。 [ポート] の横に「 389 」と入力して、[ OK] をクリックします。
  4. [接続] をクリックし、[バインド] を選択します。 現在サインインしているユーザーとしてバインドするには、[ OK ] をクリックします。
  5. [ブラウザー ] をクリックして、[変更] を選択します。 [ DN ] テキストボックスは空白のままにします。 [属性] の横に「 RunProtectAdminGroupsTask」と入力します。 [] の横に「 1」を入力します。 [入力] をクリックして、これをエントリ一覧に追加します。
  6. [実行] をクリックして、タスクを開始します。
  7. LDP を閉じます。

グループポリシーを使用したデュアル登録の構成

グループポリシーオブジェクトのコンピューター構成部分を使用して、デュアル登録をサポートするように Windows 10 を構成します。

  1. グループポリシー管理コンソール (GPMC) を使用して、新しいドメインベースのグループポリシーオブジェクトを作成し、管理者ユーザーが使用した Active Directory コンピューターオブジェクトを含む組織単位にリンクします。
  2. 手順1でグループポリシーオブジェクトを編集します。
  3. [コンピューターの構成] の下にある [すべてのユーザーに対してエミュレートされたスマートカードの列挙を許可する] ポリシー設定を有効にします。 >管理用テンプレート->windows コンポーネント->Windows Hello for Business] を選びます。
  4. グループポリシー管理エディターを閉じて、グループポリシーオブジェクトを保存します。 GPMC を閉じます。
  5. このグループポリシーオブジェクトのターゲットとなるコンピューターを再起動します。

コンピュータのデュアル登録の準備ができました。 最初に管理者ユーザーとしてサインインし、Windows Hello for Business を登録します。 完了したら、サインアウトして、権限のないユーザーとしてサインインし、Windows Hello for Business を登録します。 権限のある資格情報を使用して、パスワードを使わずに、ユーザーを切り替えることなく、特権タスクを実行できるようになりました。

生体認証を使用したリモート デスクトップ

警告

一部の情報は、市販される前に変更される可能性がある製品に関連しています。 ここに記載された情報について、Microsoft は明示または黙示を問わずいかなる保証をするものでもありません。

要件

  • Windows Hello for Business のハイブリッド展開とオンプレミス展開
  • Azure AD 結合、ハイブリッド Azure AD 結合、およびエンタープライズ参加デバイス
  • 証明書信頼の展開
  • バイオメトリックの登録
  • Windows 10 Version 1809

以前のバージョンの Windows 10 を使っているユーザーは、リモートデスクトップで Windows Hello for Business を使用することはできますが、認証ジェスチャとして PIN を使用するように制限されていました。 Windows 10 バージョン1809では、Windows Hello for Business 生体認証ジェスチャを使ってリモートデスクトップセッションに対してユーザーが認証できる機能が導入されました。 この機能は既定で有効になっているため、ユーザーは Windows 10 バージョン1809にアップグレードするとすぐにその機能を利用できます。

重要

生体認証機能を備えたリモートデスクトップは、証明書信頼の展開でのみ機能します。 この機能は、リモートデスクトッププロトコルのリダイレクトされたスマートカード機能を利用します。 Microsoft は、主要な信頼の展開に関するこの機能のサポートについて引き続き調査しています。

動作のしくみ

暗号化キーの作成を開始します。 Windows は、キーストレージプロバイダー (KSP) と呼ばれるソフトウェアコンポーネントを使って暗号化キーを生成し、保存します。 ソフトウェアベースのキーは、Microsoft ソフトウェアキーストレージプロバイダーを使用して作成および保存されます。 スマートカードキーは、Microsoft スマートカードキーストレージプロバイダーを使用して作成および保存されます。 Windows Hello for Business によって作成され、保護されたキーは、Microsoft Passport キーストレージプロバイダーを使用して作成および保存されます。

スマートカード上の証明書は、Microsoft スマートカード KSP を使用した非対称キーペアの作成から始まります。 Windows は、組織が発行する証明機関のキーペアに基づいて証明書を要求します。これは、ユーザーの個人証明書ストアに保存されている証明書を返します。 秘密キーはスマートカードに残り、公開キーは証明書と共に保存されます。 証明書 (およびキー) 上のメタデータには、キーの作成に使用するキーストレージプロバイダーが格納されます (証明書には公開キーが含まれていることに注意してください)。

これと同じ概念が Windows Hello for Business にも適用されます。 ただし、キーは Microsoft Passport KSP を使って作成され、ユーザーの秘密キーはデバイスのセキュリティモジュール (TPM) とユーザーのジェスチャ (PIN/生体認証) によって保護されたままになります。 証明書 Api は、この複雑さを隠蔽します。 アプリケーションで証明書を使う場合、証明書 Api は、保存されているキーストレージプロバイダーを使用してキーを見つけます。 キーストレージプロバイダーは、証明書に関連付けられている秘密キーを見つけるために使用するプロバイダーの証明書 Api を指示します。 これは、スマートカードが挿入されていないスマートカード証明書が Windows によって認識されることを示しています (スマートカードを挿入するように求められます)。

Windows Hello for Business は、アプリケーションとの互換性を確保するためにスマートカードをエミュレートします。 バージョン1809より前のバージョンの Windows 10 では、Windows Hello for Business 証明書の秘密キーアクセスが、エミュレートされたスマートカードを使用して、ユーザーが PIN を提供できるようになっている Microsoft スマートカード KSP を使って、エミュレートされたスマートカードを使用します。 Windows 10 バージョン1809では、Windows Hello for Business 証明書の秘密キーアクセスが Microsoft スマートカード KSP にリダイレクトされることはなくなりました。 Microsoft Passport KSP は引き続き使用されます。 Microsoft Passport KSP は、ユーザーに生体認証ジェスチャまたは PIN の入力を求めるために Windows 10 を有効にしています。

互換性

ユーザーが生体認証と管理者の利便性を向上させる場合は、アプリケーションと Windows Hello for Business の証明書で互換性の問題が発生する可能性があります。 グループポリシー設定とMDM URIが存在することを確認して、必要なユーザーに対して以前の動作に戻すことができるようにすることができます。

WHFB 証明書の GP 設定

重要

生体認証機能を備えたリモートデスクトップは、デュアル登録機能や、ユーザーが別の資格情報を提供するシナリオでは動作しません。 Microsoft は、この機能のサポートについて引き続き調査しています。 \

関連トピック