Windows Hello for Business Deployment の前提条件の概要Windows Hello for Business Deployment Prerequisite Overview

この記事では、Windows Hello for Business のさまざまな展開モデルのインフラストラクチャ要件を示します。This article lists the infrastructure requirements for the different deployment models for Windows Hello for Business.

クラウドのみの展開Cloud Only Deployment

  • Windows 10 バージョン 1511 以降Windows 10, version 1511 or later
  • Microsoft Azure アカウントMicrosoft Azure Account
  • Azure Active DirectoryAzure Active Directory
  • Azure AD Multi-Factor AuthenticationAzure AD Multi-Factor Authentication
  • 最新の管理機能 (Intune またはサポートされるサード パーティの MDM) オプションModern Management (Intune or supported third-party MDM), optional
  • Azure AD Premium のサブスクリプション - オプション。デバイスが Azure Active Directory に参加するときに自動で MDM 登録を行う場合は必要Azure AD Premium subscription - optional, needed for automatic MDM enrollment when the device joins Azure Active Directory

ハイブリッド展開Hybrid Deployments

次の表に、各展開の最小要件を示します。The table shows the minimum requirements for each deployment. 複数ドメイン/複数フォレスト展開での主な信頼のために、Windows Hello for business コンポーネントをホストするか、Kerberos の紹介プロセスに関与する各ドメイン/フォレストに対して、次の要件が適用されます。For key trust in a multi-domain/multi-forest deployment, the following requirements are applicable for each domain/forest that hosts Windows Hello for business components or is involved in the Kerberos referral process.

キー信頼Key trust
グループ ポリシーによる管理Group Policy managed
証明書信頼Certificate trust
混合管理Mixed managed
キー信頼Key trust
最新の管理Modern managed
証明書信頼Certificate trust
最新の管理Modern managed
Windows 10 バージョン 1511 以降Windows 10, version 1511 or later ハイブリッド Azure AD に参加している場合:Hybrid Azure AD Joined:
最小: Windows 10 バージョン 1703Minimum: Windows 10, version 1703
最適なエクスペリエンス: Windows 10 バージョン 1709 以降 (同期的な証明書の登録をサポート)。Best experience: Windows 10, version 1709 or later (supports synchronous certificate enrollment).
Azure AD に参加している場合:Azure AD Joined:
Windows 10 バージョン 1511 以降Windows 10, version 1511 or later
Windows 10 バージョン 1511 以降Windows 10, version 1511 or later Windows 10 バージョン 1511 以降Windows 10, version 1511 or later
Windows Server 2016 以降のスキーマWindows Server 2016 or later Schema Windows Server 2016 以降のスキーマWindows Server 2016 or later Schema Windows Server 2016 以降のスキーマWindows Server 2016 or later Schema Windows Server 2016 以降のスキーマWindows Server 2016 or later Schema
Windows Server 2008 R2 のドメイン/フォレスト機能レベルWindows Server 2008 R2 Domain/Forest functional level Windows Server 2008 R2 のドメイン/フォレスト機能レベルWindows Server 2008 R2 Domain/Forest functional level Windows Server 2008 R2 のドメイン/フォレスト機能レベルWindows Server 2008 R2 Domain/Forest functional level Windows Server 2008 R2 のドメイン/フォレスト機能レベルWindows Server 2008 R2 Domain/Forest functional level
Windows Server 2016 以降のドメイン コントローラーWindows Server 2016 or later Domain Controllers Windows Server 2008 R2 以降のドメイン コントローラーWindows Server 2008 R2 or later Domain Controllers Windows Server 2016 以降のドメイン コントローラーWindows Server 2016 or later Domain Controllers Windows Server 2008 R2 以降のドメイン コントローラーWindows Server 2008 R2 or later Domain Controllers
Windows Server 2012 以降の証明機関Windows Server 2012 or later Certificate Authority Windows Server 2012 以降の証明機関Windows Server 2012 or later Certificate Authority Windows Server 2012 以降の証明機関Windows Server 2012 or later Certificate Authority Windows Server 2012 以降の証明機関Windows Server 2012 or later Certificate Authority
なしN/A KB4088889 更新プログラムを適用した Windows Server 2016 AD FS (ハイブリッドの Azure AD に参加しているクライアント)、Windows Server 2016 AD FS with KB4088889 update (hybrid Azure AD joined clients),
およびand
Windows Server 2012 以降の ネットワーク デバイス登録サービス (Azure AD 参加)Windows Server 2012 or later Network Device Enrollment Service (Azure AD joined)
なしN/A Windows Server 2012 以降の ネットワーク デバイス登録サービスWindows Server 2012 or later Network Device Enrollment Service
Azure MFA テナント、またはAzure MFA tenant, or
AD FS と Azure MFA アダプター、またはAD FS w/Azure MFA adapter, or
AD FS と Azure MFA Server アダプター、またはAD FS w/Azure MFA Server adapter, or
AD FS とサード パーティの MFA アダプターAD FS w/3rd Party MFA Adapter
Azure MFA テナント、またはAzure MFA tenant, or
AD FS と Azure MFA アダプター、またはAD FS w/Azure MFA adapter, or
AD FS と Azure MFA Server アダプター、またはAD FS w/Azure MFA Server adapter, or
AD FS とサード パーティの MFA アダプターAD FS w/3rd Party MFA Adapter
Azure MFA テナント、またはAzure MFA tenant, or
AD FS と Azure MFA アダプター、またはAD FS w/Azure MFA adapter, or
AD FS と Azure MFA Server アダプター、またはAD FS w/Azure MFA Server adapter, or
AD FS とサード パーティの MFA アダプターAD FS w/3rd Party MFA Adapter
Azure MFA テナント、またはAzure MFA tenant, or
AD FS と Azure MFA アダプター、またはAD FS w/Azure MFA adapter, or
AD FS と Azure MFA Server アダプター、またはAD FS w/Azure MFA Server adapter, or
AD FS とサード パーティの MFA アダプターAD FS w/3rd Party MFA Adapter
Azure アカウントAzure Account Azure アカウントAzure Account Azure アカウントAzure Account Azure アカウントAzure Account
Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory
Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect
Azure AD Premium (オプション)Azure AD Premium, optional Azure AD Premium、デバイスの書き戻しに必要Azure AD Premium, needed for device write-back Azure AD Premium (オプション、自動 MDM 登録に必要)Azure AD Premium, optional for automatic MDM enrollment Azure AD Premium (オプション、自動 MDM 登録に必要)Azure AD Premium, optional for automatic MDM enrollment

重要

  1. ハイブリッド展開では、証明書の信頼モデルとキー信頼モデルの両方で動作する非破壊的な PIN リセットがサポートされます。Hybrid deployments support non-destructive PIN reset that works with both the certificate trust and key trust models.
    要件:Requirements:
    Microsoft PIN リセット サービス - Windows 10 バージョン 1709 ~ 1809、Enterprise Edition。Microsoft PIN Reset Service - Windows 10, versions 1709 to 1809, Enterprise Edition. バージョン 1903 以降、このサービスのライセンス要件はありませんThere is no licensing requirement for this service since version 1903
    ロック画面の上にリセットする (PIN リンクを忘れた) - Windows 10 バージョン 1903Reset above lock screen (I forgot my PIN link) - Windows 10, version 1903

  2. オンプレミス展開では、証明書の信頼と主要な信頼モデルの両方で動作する破壊的な PIN リセットがサポートされています。On-premises deployments support destructive PIN reset that works with both the certificate trust and the key trust models.
    要件:Requirements:
    設定からリセットする - Windows 10 バージョン 1703、ProfessionalReset from settings - Windows 10, version 1703, Professional
    ロック画面の上にリセットする - Windows 10 バージョン 1709、ProfessionalReset above lock screen - Windows 10, version 1709, Professional
    ロック画面の上にリセットする (PIN リンクを忘れた) - Windows 10 バージョン 1903Reset above lock screen (I forgot my PIN link) - Windows 10, version 1903

オンプレミス展開On-premises Deployments

次の表に、各展開の最小要件を示します。The table shows the minimum requirements for each deployment.

キー信頼Key trust
グループ ポリシーによる管理Group Policy managed
証明書信頼Certificate trust
グループ ポリシーによる管理Group Policy managed
Windows 10 Version 1703 以降Windows 10, version 1703 or later Windows 10 Version 1703 以降Windows 10, version 1703 or later
Windows Server 2016 スキーマWindows Server 2016 Schema Windows Server 2016 スキーマWindows Server 2016 Schema
Windows Server 2008 R2 のドメイン/フォレスト機能レベルWindows Server 2008 R2 Domain/Forest functional level Windows Server 2008 R2 のドメイン/フォレスト機能レベルWindows Server 2008 R2 Domain/Forest functional level
Windows Server 2016以降のドメイン コントローラーWindows Server 2016 or later Domain Controllers Windows Server 2008 R2 以降のドメイン コントローラーWindows Server 2008 R2 or later Domain Controllers
Windows Server 2012 以降の証明機関Windows Server 2012 or later Certificate Authority Windows Server 2012 以降の証明機関Windows Server 2012 or later Certificate Authority
KB4088889 更新プログラムを適用した Windows Server 2016 AD FSWindows Server 2016 AD FS with KB4088889 update KB4088889 更新プログラムを適用した Windows Server 2016 AD FSWindows Server 2016 AD FS with KB4088889 update
AD FS とサード パーティの MFA アダプターAD FS with 3rd Party MFA Adapter AD FS とサード パーティの MFA アダプターAD FS with 3rd Party MFA Adapter
Azure アカウント (オプション。Azure MFA の請求に必要)Azure Account, optional for Azure MFA billing Azure アカウント (オプション。Azure MFA の請求に必要)Azure Account, optional for Azure MFA billing

重要

Hello for Business Windowsのキー信頼展開では、複数のドメインがある場合は、ドメインごとに少なくとも 1 つの Windows Server Domain Controller 2016 以降が必要です。For Windows Hello for Business key trust deployments, if you have several domains, at least one Windows Server Domain Controller 2016 or newer is required for each domain. 詳細については、「計画ガイド」 を参照してくださいFor more information, see the planning guide.