Windows Hello for Business

Windows 10 では、Windows Hello for Business は、パスワードを Pc およびモバイルデバイスの強力な2要素認証に置き換えます。 この認証は、デバイスに関連付けられて、生体認証または PIN を使用する、新しい種類のユーザー資格情報で構成されます。
Windows Hello for Business を利用すると、ユーザーは Active Directory または Azure Active Directory アカウントに対して認証できます。

Windows Hello は、パスワードに関する次の問題に対処しています。

  • 強力なパスワードは、思い出せない場合があります。また、ユーザーは、多くの場合、複数のサイトで同じパスワードを使っています。
  • サーバーの侵害により、対称ネットワーク資格情報 (パスワード) が公開される場合があります。
  • パスワードは、リプレイ攻撃の対象となります。
  • ユーザーは、フィッシング攻撃 により、誤ってパスワードを公開する可能性があります。

前提条件

クラウドのみの展開

  • Windows 10 バージョン 1511 以降
  • Microsoft Azure アカウント
  • Azure Active Directory
  • Azure 多要素認証
  • 最新の管理機能 (Intune またはサポートされるサード パーティの MDM) オプション
  • Azure AD Premium のサブスクリプション - オプション。デバイスが Azure Active Directory に参加するときに自動で MDM 登録を行う場合は必要

ハイブリッド展開

次の表に、各展開の最小要件を示します。 複数ドメイン/フォレストの展開でのキーの信頼については、Windows Hello for business のコンポーネントをホストしている、または Kerberos の参照プロセスに関連しているドメイン/フォレストごとに、次の要件を適用する必要があります。

キー信頼
グループ ポリシーによる管理
証明書信頼
混合管理
キー信頼
最新の管理
証明書信頼
最新の管理
Windows 10 バージョン 1511 以降 ハイブリッド Azure AD に参加している場合:
最小: Windows 10 バージョン 1703
最適なエクスペリエンス: Windows 10 バージョン 1709 以降 (同期的な証明書の登録をサポート)。
Azure AD に参加している場合:
Windows 10 バージョン 1511 以降
Windows 10 バージョン 1511 以降 Windows 10 バージョン 1511 以降
Windows Server 2016 スキーマ Windows Server 2016 スキーマ Windows Server 2016 スキーマ Windows Server 2016 スキーマ
Windows Server 2008 R2 のドメイン/フォレスト機能レベル Windows Server 2008 R2 のドメイン/フォレスト機能レベル Windows Server 2008 R2 のドメイン/フォレスト機能レベル Windows Server 2008 R2 のドメイン/フォレスト機能レベル
Windows Server 2016 以降のドメインコントローラー Windows Server 2008 R2 以降のドメイン コントローラー Windows Server 2016 以降のドメインコントローラー Windows Server 2008 R2 以降のドメイン コントローラー
Windows Server 2012 以降の証明機関 Windows Server 2012 以降の証明機関 Windows Server 2012 以降の証明機関 Windows Server 2012 以降の証明機関
なし KB4088889 更新プログラムを適用した Windows Server 2016 AD FS (ハイブリッドの Azure AD に参加しているクライアント)、
および
Windows Server 2012 以降の ネットワーク デバイス登録サービス (Azure AD 参加)
なし Windows Server 2012 以降の ネットワーク デバイス登録サービス
Azure MFA テナント、または
AD FS と Azure MFA アダプター、または
AD FS と Azure MFA Server アダプター、または
AD FS とサード パーティの MFA アダプター
Azure MFA テナント、または
AD FS と Azure MFA アダプター、または
AD FS と Azure MFA Server アダプター、または
AD FS とサード パーティの MFA アダプター
Azure MFA テナント、または
AD FS と Azure MFA アダプター、または
AD FS と Azure MFA Server アダプター、または
AD FS とサード パーティの MFA アダプター
Azure MFA テナント、または
AD FS と Azure MFA アダプター、または
AD FS と Azure MFA Server アダプター、または
AD FS とサード パーティの MFA アダプター
Azure アカウント Azure アカウント Azure アカウント Azure アカウント
Azure Active Directory Azure Active Directory Azure Active Directory Azure Active Directory
Azure AD Connect Azure AD Connect Azure AD Connect Azure AD Connect
Azure AD Premium (オプション) Azure AD Premium (デバイスの書き込みに必要) Azure AD Premium (オプション、自動 MDM 登録に必要) Azure AD Premium (オプション、自動 MDM 登録に必要)

オンプレミス展開

次の表に、各展開の最小要件を示します。

キー信頼
グループ ポリシーによる管理
証明書信頼
グループ ポリシーによる管理
Windows 10 Version 1703 以降 Windows 10 Version 1703 以降
Windows Server 2016 スキーマ Windows Server 2016 スキーマ
Windows Server 2008 R2 のドメイン/フォレスト機能レベル Windows Server 2008 R2 のドメイン/フォレスト機能レベル
Windows Server 2016 以降のドメインコントローラー Windows Server 2008 R2 以降のドメイン コントローラー
Windows Server 2012 以降の証明機関 Windows Server 2012 以降の証明機関
KB4088889 更新プログラムを適用した Windows Server 2016 AD FS KB4088889 更新プログラムを適用した Windows Server 2016 AD FS
AD FS と Azure MFA Server アダプター、または
AD FS とサード パーティの MFA アダプター
AD FS と Azure MFA Server アダプター、または
AD FS とサード パーティの MFA アダプター
Azure アカウント (オプション。Azure MFA の請求に必要) Azure アカウント (オプション。Azure MFA の請求に必要)

重要

Windows Hello for Business の展開の場合、複数のドメインがある場合は、各ドメインに少なくとも1つの Windows Server ドメインコントローラー2016が必要です。 詳細については、計画ガイドを参照してください。