Windows Hello for Business を使用して Azure AD に参加しているデバイスをオンプレミスのシングル サインオン用に構成する

適用対象

  • Windows 10
  • Azure Active Directory に参加済み
  • ハイブリッド展開
  • キー信頼モデル

前提条件

Azure Active Directory (Azure AD) に参加しているデバイスを既存のハイブリッド展開に追加する前に、既存の展開で Azure AD に参加しているデバイスをサポートできることを確認する必要があります。 ハイブリッドの Azure AD に参加しているデバイスとは異なり、Azure AD に参加しているデバイスには Active Directory ドメインとの関係はありません。 この要素により、ユーザーの Active Directory に対する認証方法が変わります。 次の構成を検証して、Azure AD に参加しているデバイスがサポートされることを確認します。

  • Azure Active Directory Connect の同期
  • デバイスの登録
  • 証明書失効リスト (CRL) 配布ポイント (CDP)
  • 2016 ドメイン コントローラー
  • ドメイン コントローラー証明書
  • オンプレミスのドメイン コントローラーに到達するためのネットワーク インフラストラクチャの配置。 外部コンピューターの場合は、VPN ソリューションを使用して実現できます。

Azure Active Directory Connect の同期

Azure AD 参加およびハイブリッド Azure AD 参加デバイスによって、ユーザーの Windows Hello for Business の資格情報が Azure に登録されます。 オンプレミスの認証を有効にするには、キーまたは証明書のどちらを使用しているかに関係なく、資格情報をオンプレミスの Active Directory に同期する必要があります。 Azure AD Connect が正常にインストールされ、機能していることを確認します。 Azure AD Connect について詳しくは、「オンプレミスのディレクトリを Azure Active Directory と統合する」をご覧ください。

Azure AD Connect をインストールした後で、Active Directory スキーマを Windows Server 2016 スキーマにアップグレードした場合は、Azure AD Connect を実行し、タスクの一覧から [ディレクトリ スキーマの更新] を実行します。 Azure AD Connect のスキーマの更新

Azure Active Directory Device Registration

すべてのクラウドおよびハイブリッド Windows Hello for Business 展開の基本的な前提条件は、デバイスの登録です。 プロビジョニングしようとしているデバイスが Azure Active Directory に登録されていない限り、ユーザーは Windows Hello for Business をプロビジョニングできません。 デバイス登録について詳しくは、「Azure Active Directory のデバイス管理の概要」をご覧ください。

デバイスが Azure Active Directory に登録されているかどうかを判断するには、dsregcmd.exe コマンドを使用できます。 dsregcmd の出力

CRL 配布ポイント (CDP)

証明機関によって発行された証明書は失効させることができます。 証明機関が証明書を失効すると、証明書に関する情報が失効リストに書き込まれます。 証明書の検証中、Windows 10 は、証明書内の CRL 配布ポイントを参照して、失効した証明書の一覧を取得します。 検証では、証明書が引き続き有効であるかどうかを判断するために、現在の証明書と証明書失効リストの情報が比較されます。

LDAP CDP を使用したドメイン コントローラー証明書

上記のドメイン コントローラー証明書には、Active Directory を使用した CRL 配布パス (CDP) が示されています。 これを判断できるのは、URL の値が ldap で始まるためです。 ドメインに参加しているデバイスに Active Directory を使用すると、高可用性 CRL 配布ポイントが提供されます。 ただし、Azure Active Directory に参加しているデバイスと Azure Active Directory に参加しているデバイスのユーザーは Active Directory のデータを読み取ることができず、証明書の検証では、証明書失効リストを読み取る前に認証する機会が提供されません。 これは、ユーザーが認証を試行しており、認証を完了するために Active Directory を読み取る必要があるが、認証されていないために Active Directory を読み取ることができない場合に、循環的な問題になります。

この問題を解決するには、CRL 配布ポイントが、認証を必要としない Azure Active Directory に参加しているデバイスからアクセスできる場所である必要があります。 最も簡単な解決策は、HTTP (HTTPS ではなく) を使用する Web サーバーで CRL 配布ポイントを公開することです。

CRL 配布ポイントに HTTP 配布ポイントが表示されない場合は、発行元証明機関が HTTP CRL 配布ポイントを含めるように再構成する必要があります (可能であれば配布ポイントの一覧の先頭にします)。

注意

CA で Base CRL と Delta CRL の両方が公開されている場合は、公開されている Delta CRL が HTTP パスに含まれていることを確認してください。 Delta CRL を取得できるように Web サーバーを含めるには、(IIS) Web サーバーでダブル エスケープを許可します。

Windows Server 2016 ドメイン コントローラー

証明書ではなく Windows Hello for Business キーを使用する環境の構成に関心がある場合は、環境に十分な数の Windows Server 2016 ドメイン コントローラーが必要です。 Windows Hello for Business キーを使用してユーザーを認証できるのは、Windows Server 2016 ドメイン コントローラーのみです。 "十分な" とは何を意味するのでしょうか? よくぞ聞いてくれました。 詳しくは、「Windows Hello for Business 展開用の適切な数の Windows Server 2016 ドメイン コントローラーの計画」をご覧ください。

キーではなく Windows Hello for Business 証明書を使用するように環境を構成することに関心がある場合、適切な場所を参照しています。 Windows Server 2016 ドメイン コントローラーを使用しているか、または以前のバージョンの Windows Server を実行しているドメイン コントローラーを使用しているかどうかにかかわらず、ドメイン コントローラーで同じ証明書の構成が必要になります。 Windows Server 2016 ドメイン コントローラーの要件は単に無視できます。

ドメイン コントローラー証明書

証明機関は、証明書の発行時に CRL 配布ポイントを証明書に書き込みます。 配布ポイントが変更された場合は、証明機関が新しい CRL 配布ポイントを含めるように、以前に発行した証明書を再発行する必要があります。 ドメイン コントローラー証明書は、Active Directory に対して認証する Azure AD に参加しているデバイスの重要なコンポーネントの 1 つです。

Windows がドメイン コントローラー証明書を検証する必要があるのはなぜですか?

WindowsHello for Business は、Azure デバイスからドメインに参加しているデバイスを認証する際AD KDC 検証セキュリティ機能を適用します。 この適用では、キー配布センター (KDC) が満たす必要がある、より制限の厳しい条件が適用されます。 Azure AD に参加しているデバイスで Windows Hello for Business を使用して認証する場合、Windows 10 クライアントは、次のすべてが満たされたと確認して、ドメイン コントローラーからの返信を検証します。

  • ドメイン コント ローラーに、証明書の秘密キーが提供されている。
  • ドメイン コントローラーの証明書を発行したルート CA が、デバイスの信頼されたルート証明機関に含まれている。
  • 他の古いテンプレートの代わりに Kerberos 認証証明書テンプレートを使用する。
  • ドメイン コントローラーの証明書には 、KDC 認証 拡張キー使用法 (EKU) があります。
  • ドメイン コントローラーの証明書のサブジェクト代替名には、ドメインの名前に一致する DNS 名がある。
  • ドメイン コントローラーの証明書の署名ハッシュ アルゴリズムは sha256 です
  • ドメイン コントローラーの証明書の公開キーは RSA (2048 ビット) です

Windows Hello for Business を使用してハイブリッド Azure AD参加デバイスからドメインに認証しても、ドメイン コントローラー証明書にKDC 認証 EKUが含まれるとは強制されません。 Azure AD参加しているデバイスを既存のドメイン環境に追加する場合は 、KDC 認証 EKU を含むドメイン コントローラー証明書が更新されたと確認してください。 KDC 認証EKUを含めるドメイン コントローラー証明書を更新する必要がある場合は、「Configure Hybrid Windows Hello for Business: Public Key Infrastructure」の手順に従います

ヒント

Windows Server 2008 を使用している場合、Kerberos 認証は既定のテンプレートではないため、証明書を発行または再発行するときは必ず正しいテンプレートを使用してください。

発行元証明機関の CRL 配布ポイントを構成する

この一連の手順を使用して、ドメイン コントローラー証明書を発行して、http ベースの CRL 配布ポイントを含める証明機関を更新します。

次のような手順を実行します。

インターネット インフォメーション サービスが CRL 配布ポイントをホストするように構成する

Azure AD に参加しているデバイスが認証なしで証明書を簡単に検証できるように、Web サーバーの新しい証明書失効リストをホストする必要があります。 これらのファイルは、Web サーバーでさまざまな方法でホストできます。 次の手順はそのうちの 1 つで、新しい CRL 配布ポイントの追加に習熟していないユーザーに役立つ可能性があります。

重要

CRL 配布ポイントをホストしている IIS サーバーが https またはサーバー認証証明書を使用するように構成しないでください。 クライアントは、http を使用して配布ポイントにアクセスする必要があります。

Web サーバーのインストール

  1. ローカル管理者としてサーバーにサインインし、[サーバー マネージャー] を起動します (サインイン時に起動しなかった場合)。
  2. ナビゲーション ウィンドウで [ローカル サーバー] ノードをクリックします。 [管理] をクリックし、[役割と機能の追加] をクリックします。
  3. [役割と機能の追加ウィザード] で、[サーバーの選択] をクリックします。 選択したサーバーがローカル サーバーであることを確認します。 [サーバー ロール] をクリックします。 [Web サーバー (IIS)] の横のチェック ボックスをオンにします。
  4. ウィザードの残りのオプションで [次へ] をクリックし、既定値を受け入れて、Web サーバーの役割をインストールします。

Web サーバーを構成する

  1. [Windows 管理ツール] で、[インターネット インフォメーション サービス (IIS) マネージャー] を開きます。

  2. ナビゲーション ウィンドウを展開して、[Default Web Site] を表示します。 [既定の Web サイト] を選択して右クリックし、[仮想ディレクトリの追加] をクリックします。

  3. [仮想ディレクトリの追加] ダイアログ ボックスで、[エイリアス] に「cdp」と入力します。 物理パスで、証明書失効リストをホストする物理ファイルの場所を入力または参照します。 この例では、パス c:\cdpが使用されています。 [OK] をクリックします。 仮想ディレクトリの追加

    注意

    後で共有とファイルのアクセス許可を構成するときに使用するため、このパスをメモしておきます。

  4. ナビゲーション ウィンドウの [Default Web Site][CDP] を選択します。 コンテンツ ウィンドウで [ディレクトリの参照] をダブルクリックします。 詳細ウィンドウで、[有効] をクリックします。

  5. ナビゲーション ウィンドウの [Default Web Site][CDP] を選択します。 [構成エディター] をダブルクリックします。

  6. [セクション] の一覧で、system.webServer/security/requestFiltering に移動します。 IIS 構成エディター requestFiltering
    コンテンツ ウィンドウの名前付きの値ペアの一覧で、[allowDoubleEscaping][True] に構成します。 操作ペインで [適用] をクリックします。 IIS 構成エディターのダブル エスケープ

  7. インターネット インフォメーション サービス (IIS) マネージャーを閉じます。

CRL 配布ポイント URL の DNS リソース レコードを作成する

  1. DNS サーバーまたは管理ワークステーションで、[管理ツール] から [DNS マネージャー] を開きます。
  2. [前方参照ゾーン] を展開して、ドメインの DNS ゾーンを表示します。 ナビゲーション ウィンドウでドメイン名を右クリックし、[新しいホスト (A または AAAA)] をクリックします。
  3. [新しいホスト] ダイアログ ボックスで、[名前] に「crl」と入力します。 [IP アドレス] に、構成した Web サーバーの IP アドレスを入力します。 [ホストの追加] をクリックします。 [OK] をクリックして、[DNS] ダイアログ ボックスを閉じます。 [完了] をクリックします。 DNS ホスト レコードの作成
  4. DNS マネージャーを閉じます。

証明書失効リストをホストするファイル共有を準備する

これらの手順では、証明機関が証明書失効リストを自動的に公開できるように、Web サーバーに NTFS と共有のアクセス許可を構成します。

CDP ファイル共有を構成する

  1. Web サーバーで、エクスプローラーを開き、Web サーバーを構成するの手順 3 で作成した cdp フォルダーに移動します。
  2. cdp フォルダーを右クリックし、[プロパティ] をクリックします。 [共有] タブをクリックし、[詳細な共有] をクリックします。
  3. [このフォルダを共有する] を選択します。 [共有名] に「cdp$」と入力します。 [アクセス許可] をクリックします。 CDP 共有
  4. [cdp$ のアクセス許可] ダイアログ ボックスで、[追加] をクリックします。
  5. [ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスで、[オブジェクトの種類] をクリックします。 [オブジェクトの種類] ダイアログ ボックスで、[コンピューター] を選択し、[OK] をクリックします。
  6. [ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスの [選択するオブジェクト名を入力してください] に、証明書失効リストを発行する証明機関を実行しているサーバーの名前を入力し、[名前の確認] をクリックします。 [OK] をクリックします。
  7. [cdp$ のアクセス許可] ダイアログ ボックスで、[グループ名またはユーザー名] の一覧から証明機関を選択します。 [権限の適用先] セクションで、[フル コントロール][許可] を選択します。 [OK] をクリックします。 CDP 共有のアクセス許可
  8. [詳細な共有] ダイアログ ボックスで、[OK] をクリックします。

ヒント

ユーザーが \\Server FQDN\sharename にアクセスできることを確認します。

キャッシュの無効化

  1. Web サーバーで、エクスプローラーを開き、Web サーバーを構成するの手順 3 で作成した cdp フォルダーに移動します。
  2. cdp フォルダーを右クリックし、[プロパティ] をクリックします。 [共有] タブをクリックし、[詳細な共有] をクリックします。
  3. [キャッシュ] をクリックします。 [共有フォルダーにあるファイルやプログラムはオフラインで利用可能にしない] を選択します。 CDP によるキャッシュの無効化
  4. [OK] をクリックします。

CDP フォルダーの NTFS アクセス許可を構成する

  1. Web サーバーでエクスプローラーを開き、Web サーバーを構成するの手順 3 で作成した cdp フォルダーに移動します。
  2. cdp フォルダーを右クリックし、[プロパティ] をクリックします。 [セキュリティ] タブをクリックします。
  3. [セキュリティ] タブで、[編集] をクリックします。
  4. [cdp のアクセス許可] ダイアログ ボックスで、[追加] をクリックします。 CDP NTFS アクセス許可
  5. [ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスで、[オブジェクトの種類] をクリックします。 [オブジェクトの種類] ダイアログ ボックスで、[コンピューター] を選択します。 [OK] をクリックします。
  6. [ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスの [選択するオブジェクト名を入力してください] に、証明機関の名前を入力し、[名前の確認] をクリックします。 [OK] をクリックします。
  7. [cdp のアクセス許可] ダイアログ ボックスで、[グループ名またはユーザー名] の一覧から証明機関の名前を選択します。 [権限の適用先] セクションで、[フル コントロール][許可] を選択します。 [OK] をクリックします。
  8. [CDP プロパティ] ダイアログ ボックスで、[閉じる] をクリックします。

発行元証明機関に新しい CRL 配布ポイントと公開場所を構成する

Web サーバーは、CRL 配布ポイントをホストする準備ができました。 次に、発行元証明機が新しい場所で CRL を公開し、新しい CRL 配布ポイントを含めるように構成します。

CRL 配布ポイントを構成する

  1. 発行元証明機関で、ローカル管理者としてサインインします。 [管理ツール] から [証明機関] コンソールを起動します。
  2. ナビゲーション ウィンドウで、証明機関の名前を右クリックし、[プロパティ] をクリックします。
  3. [拡張機能] をクリックします。 [拡張機能] タブで、[拡張機能を選択してください] の一覧から [CRL 配布ポイント (CDP)] を選択します。
  4. [拡張機能] タブで、[追加] をクリックします。 [場所] に「http://crl.[domainname]/cdp/」と入力します。 たとえば、http://crl.corp.contoso.com/cdp/ または http://crl.contoso.com/cdp/ のように入力します (末尾のスラッシュを忘れないでください)。 CDP の [新しい場所] ダイアログ ボックス
  5. [変数 <CaName> ] リストから 選択し 、[挿入] を クリックします。 [変数 <CRLNameSuffix> ] リストから 選択し 、[挿入] を クリックします。 [変数 <DeltaCRLAllowed> ] リストから 選択し 、[挿入] を クリックします
  6. [場所] にあるテキストの最後に「.crl」と入力します。 [OK] をクリックします。
  7. 作成した CDP を選択します。 CDP による http の完了
  8. [CRL に含め、クライアントでは、これを使って Delta CRL の場所を検索する] を選択します。
  9. [発行された証明書の CDP 拡張機能に含める] を選択します。
  10. [適用] をクリックして選択内容を保存します。 サーバーを再起動するよう求められたら、[いいえ] をクリックします。

注意

必要に応じて、使用されていない CRL 配布ポイントや公開場所を削除することができます。

CRL の公開場所を構成する

  1. 発行元証明機関で、ローカル管理者としてサインインします。 [管理ツール] から [証明機関] コンソールを起動します。
  2. ナビゲーション ウィンドウで、証明機関の名前を右クリックし、[プロパティ] をクリックします。
  3. [拡張機能] をクリックします。 [拡張機能] タブで、[拡張機能を選択してください] の一覧から [CRL 配布ポイント (CDP)] を選択します。
  4. [拡張機能] タブで、[追加] をクリックします。 CDP ファイル共有を構成するで CRL 配布ポイント用に作成したコンピューターと共有の名前を入力します。 たとえば、「\\app\cdp$\」のように入力します (末尾のスラッシュを忘れないでください)。
  5. [変数 <CaName> ] リストから 選択し 、[挿入] を クリックします。 [変数 <CRLNameSuffix> ] リストから 選択し 、[挿入] を クリックします。 [変数 <DeltaCRLAllowed> ] リストから 選択し 、[挿入] を クリックします
  6. [場所] にあるテキストの最後に「.crl」と入力します。 [OK] をクリックします。
  7. 作成した CDP を選択します。 CDP 公開場所
  8. [この場所に CRL を公開する] を選択します。
  9. [Delta CRL をこの場所に公開する] を選択します。
  10. [適用] をクリックして選択内容を保存します。 サーバーを再起動するように求められたら、[はい] をクリックします。 [OK] をクリックして、[プロパティ] ダイアログ ボックスを閉じます。

新しい CRL の公開

  1. 発行元証明機関で、ローカル管理者としてサインインします。 [管理ツール] から [証明機関] コンソールを起動します。
  2. ナビゲーション ウィンドウで、[失効した証明書] を右クリックし、[すべてのタスク] をポイントし、[公開] をクリックします 新しい CRL の公開
  3. [CRL の公開] ダイアログ ボックスで [新しい CRL] を選択し、[OK] をクリックします。

CDP 公開の検証

新しい CRL 配布ポイントが機能していることを検証します。

  1. Web ブラウザーを開きます。 http://crl.[yourdomain].com/cdp に移動します。 新しい CRL の公開から作成された 2 つのファイルが表示されます。 新しい CRL を検証する

ドメイン コントローラー証明書を再発行する

有効な HTTP ベースの CRL 配布ポイントで CA が適切に構成された状態で、ドメイン コントローラーに証明書を再発行する必要があります。これは古い証明書に更新された CRL 配布ポイントがないためです。

  1. 管理者の資格情報を使って、ドメイン コントローラーにサインインします。
  2. [ファイル名を指定して実行] ダイアログ ボックスを開きます。 「certlm.msc」と入力してローカル コンピューターの証明書マネージャーを開きます。
  3. ナビゲーション ウィンドウで、[個人用] を展開します。 [証明書] をクリックします。 詳細ウィンドウで、既存のドメイン コントローラー証明書を選択し、[目的] の一覧の [KDC 認証] を含めます。 証明書マネージャー個人用ストア
  4. 選択した証明書を右クリックします。 [すべてのタスク] をポイントし、[新しいキーで証明書を書き換え] を選択します。[証明書の登録] ウィザードで、[次へ] をクリックします。 新しいキーで書き換え
  5. ウィザードの [証明書の要求] ページで、選択した証明書に正しい証明書テンプレートがあることを確認し、状態が利用可能であることを確認します。 [登録] をクリックします。
  6. 登録が完了したら、[完了] をクリックしてウィザードを閉じます。
  7. すべてのドメイン コントローラーでこの手順を繰り返します。

注意

ドメイン コントローラーで証明書を自動的に登録して更新するように構成することができます。 証明書の自動登録は、期限切れの証明書による認証の機能停止を防ぐのに役立ちます。 ドメイン コントローラーの証明書の自動登録を展開する方法については、「Windows Hello for Business 展開ガイド」をご覧ください。

重要

証明書の自動登録を使用していない場合は、証明書有効期限の 2 か月前に通知するカレンダーのアラームを作成します。 証明書の有効期限が切れたときに、1 人または 2 人以上のユーザーに通知されるように、組織内の複数の人に通知を送信します。

新しい証明書で CDP を検証する

  1. 管理者の資格情報を使って、ドメイン コントローラーにサインインします。
  2. [ファイル名を指定して実行] ダイアログ ボックスを開きます。 「certlm.msc」と入力してローカル コンピューターの証明書マネージャーを開きます。
  3. ナビゲーション ウィンドウで、[個人用] を展開します。 [証明書] をクリックします。 詳細ウィンドウで、既存のドメイン コントローラー証明書をダブルクリックし、[目的] の一覧の [KDC 認証] を含めます。
  4. [詳細] タブをクリックします。一覧の [フィールド] 列に [CRL 配布ポイント] が表示されるまで、一覧を下へスクロールします。 [CRL 配布ポイント] を選択します。
  5. フィールドの一覧の下にある情報を確認し、CRL 配布ポイントの新しい URL が証明書に存在することを確認します。 [OK] をクリックします。
    CDP が更新された新しい証明書

信頼された証明書デバイス構成プロファイルを構成して割り当てる

ドメイン コントローラーに新しい CRL 配布ポイントが含まれている新しい証明書があります。 次に、Azure AD に参加しているデバイスに展開できるように、エンタープライズのルート証明書が必要です。 エンタープライズのルート証明書をデバイスに展開すると、デバイスが証明機関によって発行されたすべての証明書を信頼するようになります。 証明書がないと、Azure AD に参加しているデバイスはドメイン コントローラーの証明書を信頼しないため認証は失敗します。

次のような手順を実行します。

エンタープライズ ルート証明書をエクスポートする

  1. 管理者の資格情報を使って、ドメイン コントローラーにサインインします。
  2. [ファイル名を指定して実行] ダイアログ ボックスを開きます。 「certlm.msc」と入力してローカル コンピューターの証明書マネージャーを開きます。
  3. ナビゲーション ウィンドウで、[個人用] を展開します。 [証明書] をクリックします。 詳細ウィンドウで、既存のドメイン コントローラー証明書をダブルクリックし、[目的] の一覧の [KDC 認証] を含めます。
  4. [証明のパス] タブをクリックします。[証明のパス] ビューで、最上位ノードを選択し、[証明書を表示する] をクリックします。 証明書のパス
  5. 新しい [証明書] ダイアログ ボックスで、[詳細] タブをクリックします。[ファイルへコピー] をクリックします。 [詳細] タブと [ファイルへコピー]
  6. 証明書のエクスポート ウィザードで、[次へ] をクリックします。
  7. ウィザードの [エクスポートファイルの形式] ページで、[次へ] をクリックします。
  8. ウィザードの [エクスポートするファイル] ページで、ルート証明書の名前と場所を入力して、[次へ] をクリックします。 [完了] をクリックし、[OK] をクリックして成功を知らせるダイアログ ボックスを閉じます。 ルート証明書をエクスポートする
  9. [OK] を 2 回クリックし、ローカル コンピューターの 証明書マネージャーに戻ります。 証明書マネージャーを閉じます。

信頼された証明書デバイス構成プロファイルを作成して割り当てる

信頼された証明書デバイス構成プロファイルは、Azure AD に参加しているデバイスに信頼された証明書を展開する方法です。

  1. Microsoft Azure Portal にサインインし、[Microsoft Intune] を選択します。
  2. [デバイスの構成] をクリックします。 [デバイスの構成] ブレードで、[プロファイルの作成] をクリックします。 Intune 作成オプション
  3. [プロファイルの作成] ブレードで、[名前] に「エンタープライズ ルート証明書」と入力します。 説明を入力します。 [プラットフォーム] 一覧から [Windows 10 以降] を選択します。 [プロファイルの種類] 一覧から [信頼済み証明書] を選択します。 [構成] をクリックします。
  4. [信頼済み証明書] ブレードで、フォルダー アイコンを使用して、エンタープライズ ルート証明書をエクスポートするの手順 8 で作成したエンタープライズ ルート証明書ファイルの場所を参照します。 [OK] をクリックします。 [作成] をクリックします。 Intune 信頼済み証明書プロファイル
  5. [エンタープライズ ルート証明書] ブレードで、[割り当て] をクリックします。 [含める] タブで、[割り当て先] の一覧から [すべてのデバイス] を選択します。 [保存] をクリックします。 Intune プロファイルの割り当て
  6. Microsoft Azure Portal からサインアウトします。

注意

作成後、プロファイルの**** サポートされているプラットフォーム パラメーターには、Windows 8.1 と Windows 10 の証明書の構成が同じで、"Windows 8.1 以降" という値が含まれる。

Windows Hello for Business のデバイス登録を構成する

domain user に相当するアクセス権でワークステーションにサインインします。

  1. 管理者センターにサインインMicrosoft エンドポイント マネージャーします

  2. [デバイス ] を選択します

  3. [デバイス の登録] を選択します

  4. [登録Windows選択します

  5. [登録Windows] で、[Hello for Business Windowsを選択しますビジネス Windows Hello を作成する

  6. [Windows Hello for Business の構成] の一覧から [有効] を選択します。

  7. [トラステッド プラットフォーム モジュール (TPM) を使用する] の横の [必須] を選択します。 既定では、Windows Hello for Business では TPM 2.0 が優先されるか、ソフトウェアにフォールバックします。 [必須] をWindows Hello for Business では TPM 2.0 または TPM 1.2 のみを使用し、ソフトウェア ベースのキーにフォールバックすることはできません。

  8. 必要な最小 PIN の長さと最大 PIN の長さを入力します

    重要

    Hello for Business on business Windowsの既定の最小 PIN Windows 10は 6 です。 Microsoft Intune PIN の最小長は 4 に設定され、ユーザーの PIN のセキュリティが低下します。 必要な PIN の長さではない場合は、最小 PIN の長さを 6 に設定します。

  9. 次の設定に適した構成を選択します。

    • PIN の小文字
    • PIN の大文字
    • PIN の特殊文字
    • PIN の有効期間 (日)
    • PIN の履歴を保存する

    注意

    Windows Hello for Business 用の PIN は対称キー (パスワード) ではありません。 現在の PIN のコピーは、パスワードの場合のようにローカルまたはサーバーに保存されていません。 PIN をパスワードと同様に複雑にして頻繁に変更すると、PIN を忘れてしまう可能性が高くなります。 さらに、PIN の履歴を有効にすることは、Windows 10 で (現在の PIN に対して保護された) 以前の PIN の組み合わせを保存することが必要になる唯一のシナリオです。 Windows Hello for Business を TPM と組み合わせると、ユーザーの PIN のブルート フォース攻撃を阻止するハンマリング対策機能が提供されます。 ユーザー間のショルダー サーフィンについて懸念がある場合は、頻繁に変更される複雑な PIN を強制するのではなく、多要素のロック解除機能を使用することを検討してください。

  10. ユーザーが生体認証 (指紋や顔認識) を使用してデバイスのロックを解除できるようにする場合は、[生体認証を許可する] の横の [はい] を選択してください。 生体認証の使用のセキュリティを強化するには、[拡張スプーフィング対策が利用可能な場合に使用する][はい] を選択します。

  11. [電話によるサインインを許可する][いいえ] を選択します。 この機能は廃止されました。

  12. [保存 ] を選択します

  13. 管理センターからサインMicrosoft エンドポイント マネージャーします。

重要

すべてを構成した後の実際のエクスペリエンスの詳細については、「Windows Hello for Business and Authentication」(Windows Hello for Business と認証) を参照してください。

セクションの確認

  • インターネット インフォメーション サービスが CRL 配布ポイントをホストするように構成する
  • 証明書失効リストをホストするファイル共有を準備する
  • 発行元証明機関の CRL 配布ポイントを構成する
  • CRL を公開する
  • ドメイン コントローラー証明書を再発行する
  • エンタープライズ ルート証明書をエクスポートする
  • 信頼された証明書デバイス構成プロファイルを作成して割り当てる
  • Windows Hello for Business のデバイス登録を構成する

オンプレミス シングル サインオン用に証明書を使用する場合は、オンプレミス シングル サインオン用の証明書の使用の追加の手順を実行してください。