Windows Hello for Business 展開の計画

適用対象

  • Windows10

このガイドの内容は、Windows 10 バージョン 1511 以降にのみ適用されます。

これで、 組織でのパスワードの使用から脱却し、Windows 用の 2 要素の便利な認証である Windows Hello for Business に移行するための第一歩を踏み出しました。 この計画ガイドは、Windows Hello for Business のインフラストラクチャを取り巻くさまざまなトポロジ、アーキテクチャ、コンポーネントを理解するのに役立ちます。

このガイドでは、Windows Hello for Business の各コンポーネントの役割と、特定の展開に関する決定がインフラストラクチャの他の側面に与える影響について説明します。 計画ワークシートを利用することにより、その情報を使ってニーズに合った適切な展開ガイドを選択することができます。

このガイドの使用方法

Windows Hello for Business を展開するときに、多くのオプションを選択できます。 複数のオプションを提供されているため、ほとんどすべての組織で Windows Hello for Business を展開できます。 多くのオプションが提供されているために展開は複雑に見えますが、多くの組織では Windows Hello for Business の展開に必要なインフラストラクチャの大半が既に実装されていることがわかります。 Windows Hello for Business が分散システムであり、組織内の複数のチームにまたがる適切な計画を必要とすることを理解することが重要です。

このガイドでは、Windows Hello for Business のさまざまな側面と検討が必要なオプションについての意思決定を支援することで、複雑に見える作業を簡略化します。 このガイドを使用すると、お客様の環境に最適な展開に関する意思決定を行うために必要な情報も確認できます。 進行状況を追跡し、計画を容易にするために、Microsoft ダウンロード センターから Windows Hello for Business 計画ワークシートをダウンロードしてください。

作業の進め方

このドキュメントを読み、決定事項をワークシートに記録します。 完成したワークシートには、Windows Hello for Business の展開に必要なすべての情報が含まれています。

Windows Hello for Business の展開では、考慮する必要がある主要なカテゴリが 6 つあります。 これらのカテゴリを次に示します。

  • 展開オプション
  • クライアント
  • 管理
  • Active Directory
  • 公開キー基盤 (PKI)
  • クラウド

基準となる前提条件

Windows Hello for Business には、作業を開始するにあたっていくつかの基準となる前提条件があります。 これらの基準となる前提条件はワークシートに記載されています。

展開オプション

Windows Hello for Business の目標は、規模やシナリオに関係なくすべての組織に展開できるようにすることです。 このような詳細な展開を提供するために、Windows Hello for Business では多様な展開オプションを選択できます。

展開モデル

選択できる展開モデルとして、クラウドのみ、ハイブリッド、オンプレミスの 3 つがあります。

クラウドのみ

クラウドのみの展開モデルは、クラウドの ID のみを使用し、オンプレミスのリソースにはアクセスしない組織向けです。 このような組織では、通常、クラウドに自分のデバイスを参加させ、SharePoint、OneDrive などのクラウド内のリソースを排他的に使用します。 また、これらのユーザーはオンプレミスのリソースを使用せず、必要なリソースがすべて Azure でホストされるため、VPN などのために証明書を必要としません。

ハイブリッド

ハイブリッド展開モデルは、次のような組織向けです。

  • Azure Active Directory とフェデレーションしている
  • Azure Active Directory Connect を使用して Azure Active Directory に ID を同期している
  • Azure Active Directory でホストされているアプリケーションを使用しており、オンプレミスと Azure Active Directory の両方のリソースに対してシングル サインインのユーザー エクスペリエンスを必要としている
オンプレミス

オンプレミス展開モデルは、クラウド ID または Azure Active Directory でホストされているアプリケーションを使用していない組織向けです。

適切な展開を行うには、どの展開モデルを使用するべきであるかを理解しておくことが非常に重要です。 展開の一部の側面は、現在のインフラストラクチャに基づいて既に決定されている可能性があります。

信頼の種類

展開の信頼の種類は、各 Windows Hello for Business クライアントがオンプレミスの Active Directory で認証する方法を定義します。 信頼には、キー信頼と証明書信頼の 2 つの種類があります。

キー信頼では、エンド ユーザーに対して認証証明書を発行する必要はありません。 ユーザーは、組み込みのプロビジョニング エクスペリエンス中に作成されたハードウェアにバインドされたキーを使用して認証します。 これには、既存の認証と、Windows こんにちは for Business の展開に含まれるユーザーの数を基準とした Windows Server 2016 ドメイン コント ローラーが適切に分散が必要です。 詳細については、「Windows Hello for Business 展開用の適切な数の Windows Server 2016 ドメイン コントローラーの計画」をご覧ください。

証明書信頼では、エンド ユーザーに対して認証証明書を発行します。 ユーザーは、組み込みのプロビジョニング エクスペリエンス中に作成されたハードウェアにバインドされたキーを使用して要求された証明書を使用して認証します。 キー信頼とは異なり、証明書信頼では Windows Server 2016 ドメイン コントローラーは必要ありません。 任意の Windows Server 2008 R2 またはそれ以降のドメイン コント ローラーの証明書を使ってユーザーを認証できます。

デバイスの登録

Windows Hello for Business の展開に含まれるすべてのデバイスでは、デバイスの登録を行う必要があります。 デバイスの登録によって、デバイスは ID プロバイダーで認証できます。 クラウドのみの展開とハイブリッド展開では、ID プロバイダーは Azure Active Directory です。 オンプレミス展開の場合、ID プロバイダーは Windows Server 2016 Active Directory フェデレーション サービス (AD FS) の役割を実行しているオンプレミス サーバーです。

キーの登録

組み込み Windows こんにちは for Business プロビジョニング エクスペリエンスを作成、ハードウェアのバインドされた非対称キー ペアがユーザーの資格情報としてします。 秘密キーはデバイスのセキュリティ モジュールによって保護されていますが、資格情報はユーザー キーです (デバイス キーではありません)。 プロビジョニング エクスペリエンスによって、ユーザーの公開キーが ID プロバイダーに登録されます。 クラウドのみの展開とハイブリッド展開では、ID プロバイダーは Azure Active Directory です。 オンプレミス展開の場合、ID プロバイダーは Windows Server 2016 Active Directory フェデレーション サービス (AD FS) の役割を実行しているオンプレミス サーバーです。

多要素認証

Windows Hello for Business の目標は、簡単に 2 要素認証を実現する強力な資格情報を提供することによって、パスワードを使用する組織の環境を移行することです。 組み込みのプロビジョニング エクスペリエンスでは、ユーザーの脆弱な資格情報 (ユーザー名とパスワード) を受け入れます。 最初の要素認証としてただし、ユーザーは、Windows が強力な資格情報をプロビジョニングする前に、認証の第 2 要素を提供する必要があります。

クラウドのみの展開とハイブリッド展開は、多要素認証の多くの選択肢を提供します。 オンプレミス展開では、オンプレミスの Windows Server 2016 AD FS サーバーの役割と組み合わせて使用するのには、AD FS 多要素アダプターを提供する多要素認証を使う必要があります。 組織では、オンプレミスの Azure multi-factor Authentication server を使用したり、いくつかのサード パーティ (読み取りMicrosoft とサード パーティ製の追加の認証方法の詳細) から選択することができます。

注意

Azure Multi-Factor Authentication は、次の方法で利用できます。

  • Microsoft Enterprise Agreement
  • Open ボリューム ライセンス プログラム
  • クラウド ソリューション プロバイダー プログラム
  • 以下にバンドル
    • Azure Active Directory Premium
    • Enterprise Mobility Suite
    • Enterprise Cloud Suite
  • Azure 年額コミットメントに対して毎月請求される、ユーザーごとおよび認証ごとの使用量ベースのモデル (詳しくは、「Multi-Factor Authentication の価格」をご覧ください)

ディレクトリ同期

ハイブリッド展開とオンプレミス展開ではディレクトリ同期を使用しますが、それぞれ目的が異なります。 ハイブリッド展開では、Azure Active Directory Connect を使用して、Active Directory の ID や資格情報を、Active Directory と Azure Active Directory との間で同期します。 これにより、Azure Active Directory とそのフェデレーション コンポーネントに対してシングル サインオンを実現できます。 オンプレミス展開では、Active Directory から、検証を実行する Azure MFA クラウド サービスにデータを送信して Azure MFA サーバーにユーザーをインポートするディレクトリ同期を使用します。

管理

Windows Hello for Business には、組織向けの詳細なポリシー設定が豊富に用意されており、組織ではこれを使用してデバイスやユーザーを管理できます。 Windows Hello for Business を管理するには、グループ ポリシー、最新の管理機能、および併用の 3 つの方法があります。

グループ ポリシー

グループ ポリシーは、ドメインに参加済みのデバイスで Windows Hello for Business を管理するための最も簡単で一般的な方法です。 目的の設定を使用してグループ ポリシー オブジェクトを作成するだけです。 Active Directory の上位にグループ ポリシー オブジェクトをリンクし、セキュリティ グループ フィルターを使用して、特定のコンピューターやユーザーのセットを対象にすることができます。 または、組織単位に直接 GPO をリンクします。

最新の管理機能

最新の管理機能は、クラウドを活用して、ドメインに参加しているデバイスとドメインに参加していないデバイスを管理する最新のデバイス管理パラダイムです。 組織では、デバイス管理を 1 つのプラットフォームに統合し、単一のプラットフォームを使用してポリシーの設定を適用します。

クライアント

Windows Hello for Business は Windows 10 のみの機能です。 サービスとしての Windows 戦略の一環として、Microsoft では Windows 10 の新しいリリースごとに、展開、管理、ユーザー エクスペリエンスを改良し、新しいシナリオのサポートを導入してきました。

ほとんどの展開シナリオでは、Windows 10 バージョン 1511 (11 月の更新プログラムとも呼ばれる) 以降が必要です。 クライアントの要件は、既存のインフラストラクチャ内のさまざまなコンポーネントや、後の展開の計画で選択するその他のインフラストラクチャによって異なります。 これらのコンポーネントや選択肢によっては、Windows 10 バージョン 1703 (Creators Update とも呼ばれる) 以降を実行するクライアントが必要になる場合もあります。

Active Directory

ハイブリッド展開とオンプレミス展開では、そのインフラストラクチャの一部として Active Directory が含まれます。 スキーマ、ドメインの機能レベルとフォレストの機能レベルなど、Active Directory の要件のほとんどは、あらかじめ決められています。 ただし、認証用に選択した信頼の種類によって、展開に必要なドメイン コントローラーのバージョンが決まります。

公開キー基盤 (PKI)

Windows Hello for Business の展開では、認証のトラスト アンカーとしてエンタープライズ公開キー基盤を利用します。 ハイブリッド展開とオンプレミス展開のドメイン コント ローラーには、Windows 10 デバイスとして正当なドメイン コント ローラーを信頼するために証明書が必要があります。 証明書信頼を使用する展開では、エンタープライズ公開キー基盤とユーザーに認証証明書を発行する証明書登録機関が必要です。 ハイブリッド展開では、オンプレミス リソースに接続できるようにするために、ユーザーに対して VPN 証明書の発行が必要になる場合があります。

Cloud

展開の組み合わせによって、Azure アカウントが必要になる場合や、ユーザー ID 用に Azure Active Directory が必要になる場合があります。 他の機能には Azure Active Directory Premium サブスクリプションが必要な場合でも、このようなクラウドの要件では Azure アカウントのみが必要な場合もあります。 計画プロセスでは、必要なコンポーネントを識別し、省略可能なコンポーネントと区別します。

展開の計画

Windows Hello for Business の展開の計画は、展開の種類を選択することから始まります。 すべての分散システムと同様に、Windows Hello for Business は組織のインフラストラクチャ内の複数のコンポーネントを利用します。

このガイドの残りの部分では、展開の計画について説明します。 決定を行ったときに、計画ワークシートにそれらの決定の結果を記入します。 終了すると、計画プロセスを完了するのに必要なすべての情報が収集され、お客様の展開に最適な展開ガイドがわかります。

展開モデル

ユーザーがアクセスするリソースに基づいて展開モデルを選択します。 次のガイダンスに従って決定します。

組織でオンプレミス リソースを使用しない場合は、計画ワークシートの 1a 欄に「クラウドのみ」と記入します。

組織が Azure とフェデレーションしているか、または Office 365、OneDrive などの任意のオンライン サービスを使用している場合や、ユーザーがクラウドとオンプレミスのリソースにアクセスする場合は、計画ワークシートの 1a 欄に「ハイブリッド」と記入します。

組織でクラウド リソースを使用しない場合は、計画ワークシートの 1a 欄に「オンプレミス」と記入します。

注意

組織がフェデレーションしているかどうかが不明な場合は、管理者特権の Windows PowerShell プロンプトから次の Active Directory Windows PowerShell コマンドを実行し、結果を評価します。
Get-AdObject “CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=corp,DC=[forest_root_CN_name],DC=com" -Properties keywords

  • このコマンドが、オブジェクトが見つからなかったことを示すエラーを返す場合、まだ AAD Connect または AD FS を使用するオンプレミスのデバイス登録サービスを構成していません。 名前が正確であることを確認し、ADSIEdit.msc などの別の Active Directory 管理ツールでもオブジェクトが存在しないことを検証します。 オブジェクトが本当に存在していない場合、環境で特定の展開にバインドされておらず、目的の展開の種類に合わせて変更する必要はありません。
  • このコマンドが値を返す場合は、その値を次の値と比較します。 この値は実装する必要がある展開モデルを示します。
    • 値が azureADName: で始まる場合は、計画ワークシートの 1a 欄に「ハイブリッド」と記入します。
      • 値が enterpriseDrsName: で始まる場合は、計画ワークシートの 1a 欄に「オンプレミス」と記入します。

信頼の種類

組織に最適な信頼の種類を選択します。 信頼の種類は次の 2 つを決定することに注意してください。 ユーザーに認証証明書を発行するかどうかと、展開で Windows Server 2016 ドメイン コントローラーが必要であるかどうかです。

ある信頼モデルが他の信頼モデルよりも安全ということはありません。 主な違いは、組織で Windows Server 2016 ドメイン コントローラーを展開するかどうか、既存のドメイン コントローラー (Windows Server 2008R2 以降) を使用するためにエンド エンティティ証明書を使用してユーザーを登録しないか (キー信頼)、すべてのユーザーについて証明書を登録する必要があるか (証明書信頼) です。

証明書を発行する証明書信頼の種類をためにはより多くの構成と、意思決定において考慮する要素の 1 の場合もありますユーザー証明書の登録のために必要なインフラストラクチャです。 証明書信頼の展開に必要な追加のインフラストラクチャには、証明書登録機関が含まれています。 グループ ポリシーによって管理されるハイブリッド Azure AD 参加デバイスでは、証明書を発行するために Windows Server 2016 AD FS の役割が必要です。 Intune または互換 MDM によって管理される ハイブリッド Azure AD 参加デバイスと Azure AD 参加デバイスでは、証明書を発行するために Windows Server の NDES サーバーの役割が必要です。

組織でキー信頼を使用する場合、計画ワークシートの 1b 欄に「キー信頼」と記入します。 4d 欄に「Windows Server 2016」と記入します。 5b 欄に「該当なし」と記入します。

組織で証明書信頼を使用する場合、計画ワークシートの 1b 欄に「証明書信頼」と記入します。 4d 欄に「Windows Server 2008 R2 以降」と記入します。 計画ワークシートの 5c 欄の Template Name (テンプレート名) 列に「スマート カード ログオン」と記入し、Issued To (発行先) 列に「ユーザー」と記入します。

デバイスの登録

Windows Hello for Business が正常に機能するには、すべてのデバイスを ID プロバイダーに登録する必要があります。 ID プロバイダーは展開モデルによって異なります。

計画ワークシートの 1a 欄が「クラウドのみ」または「ハイブリッド」である場合は、計画ワークシートの 1c 欄に「Azure」と記入します。

計画ワークシートの 1a 欄が「オンプレミス」である場合は、計画ワークシートの 1c 欄に「AD FS」と記入します。

キーの登録

Windows Hello for Business をプロビジョニングするすべてのユーザーの公開キーが ID プロバイダーに登録されます。 ID プロバイダーは展開モデルによって異なります。

計画ワークシートの 1a 欄が「クラウドのみ」または「ハイブリッド」である場合は、計画ワークシートの 1d 欄に「Azure」と記入します。

計画ワークシートの 1a 欄が「オンプレミス」である場合は、計画ワークシートの 1d 欄に「AD FS」と記入します。

ディレクトリ同期

Windows Hello for Business は強力なユーザー認証であり、通常 ID (ユーザーまたはユーザー名) と資格情報 (一般的にはキーのペア) があることを意味します。 一部の操作では、ディレクトリでのユーザー データの書き込みや読み取りが必要です。 たとえば、プロビジョニングまたはユーザーの公開キーの作成中に多要素認証を実行するユーザーの電話番号を読み取ります。

計画ワークシートの 1a 欄が「クラウドのみ」である場合は、1e 欄に「該当なし」と記入します。 ユーザー情報は Azure Active Directory に直接書き込まれ、別のディレクトリに情報を同期する必要はありません。

計画ワークシートの 1a 欄が「ハイブリッド」である場合は、計画ワークシートの 1e 欄に「Azure AD Connect」と記入します。

計画ワークシートの 1a 欄が「オンプレミス」である場合は、「Azure MFA Server」と記入します。 この展開では、多要素認証を除き、ユーザーは Active Directory のみ使用します。 オンプレミス Azure MFA server は、ユーザーの資格情報は、オンプレミス ネットワークに残ります多要素認証を提供する、電話番号などのユーザー情報のサブセットを同期します。

多要素認証

Windows Hello for Business の目的は、ユーザー認証を、パスワードから強力なキー ベースのユーザー認証に移行することです。 パスワードは脆弱な資格情報であり、攻撃者は盗んだパスワードを使用して Windows Hello for Business に登録しようとする可能性があるため、それだけでは信頼できません。 脆弱なから強力な資格情報への移行を安全に保護するには、Windows こんにちは for Business に依存して、Windows こんにちは for Business の資格情報をプロビジョニングするユーザー id が、適切ないくつかの保証プロビジョニング中に多要素認証id です。

計画ワークシートの 1a 欄が「クラウドのみ」である場合、選択肢は Azure MFA クラウド サービスを使用する方法のみです。 計画ワークシートの 1f 欄に「Azure MFA」と記入します。

計画ワークシートの 1a 欄が「ハイブリッド」である場合は、いくつかの選択肢があり、その一部はディレクトリ同期の構成に依存します。 選択できるオプションは次のとおりです。

  • Azure MFA クラウド サービスを直接使用する
  • AD FS と Azure MFA クラウド サービス アダプターを使用する
  • AD FS と Azure MFA Server アダプターを使用する
  • AD FS とサード パーティの MFA アダプターを使用する

認証の第 2 要素として Azure MFA クラウド サービスを直接使用できます。 サービスに接続するユーザーは、サービスを使用する前に Azure で認証する必要があります。

ID (ユーザー名のみ) を同期するように Azure AD Connect が構成されている場合、ユーザーは認証のためにローカルのオンプレミス フェデレーション サーバーにリダイレクトされた後、再び Azure MFA クラウド サービスにリダイレクトされます。 それ以外の場合、Azure AD Connect は資格情報 (ユーザー名とパスワード) を同期するように構成されており、ユーザーは Azure Active Directory で認証し、Azure MFA クラウド サービスを使用できます。 Azure MFA クラウド サービスを直接使用する場合は、計画ワークシートの 1f 欄に「Azure MFA」と記入します。

Azure MFA サービス アダプターを使用するように、オンプレミスの Windows Server 2016 AD FS の役割を構成することができます。 この構成では、ユーザーはオンプレミスの AD FS サーバーにリダイレクトされます (ID のみを同期)。 AD FS サーバーは、MFA アダプターを使用して、認証の第 2 要素を実行する Azure MFA サービスと通信します。 AD FS を Azure MFA クラウド サービス アダプターと共に使用する場合は、計画ワークシートの 1f 欄に「AD FS と Azure MFA クラウド アダプター」と記入します。

または、AD FS とオンプレミスの Azure MFA サーバー アダプターと共に使用することもできます。 AD FS は直接 Azure MFA クラウド サービスと通信するのではなく、オンプレミスの Active Directory とユーザー情報を同期する、オンプレミス Azure MFA サーバーと通信します。 Azure MFA サーバーは、認証の第 2 要素を実行する Azure MFA クラウド サービスと通信します。 AD FS を Azure MFA サーバー アダプターと共に使用する場合は、計画ワークシートの 1f 欄に「AD FS と Azure MFA サーバー アダプター」と記入します。

最後のオプションでは、AD FS と共にサード パーティ製のアダプターを認証の第 2 要素として使用します。 AD FS をサード パーティの MFA アダプターと共に使用する場合は、計画ワークシートの 1f 欄に「AD FS とサード パーティ」と記入します。

計画ワークシートの 1a 欄が「オンプレミス」である場合、認証の第 2 要素として 2 つのオプションがあります。 オンプレミス Azure MFA のサーバーまたはサード パーティの MFA アダプターを選択した場合は、Windows Server 2016 AD FS を使用する必要があります。

AD FS を Azure MFA サーバー アダプターと共に使用する場合は、計画ワークシートの 1f 欄に「AD FS と Azure MFA サーバー アダプター」と記入します。 AD FS をサード パーティの MFA アダプターと共に使用する場合は、計画ワークシートの 1f 欄に「AD FS とサード パーティ」と記入します。

管理

Windows Hello for Business は組織に多くのポリシー設定を提供しており、これらの設定をコンピューターとユーザーの両方に適用する方法を細かく制御できます。 使用できるポリシーの管理の種類は、選択した展開および信頼モデルによって異なります。

計画ワークシートの 1a 欄が「クラウドのみ」である場合は、計画ワークシートの 2a 欄に「該当なし」と記入します。 ドメインに参加していないデバイスを管理するためのオプションがあります。 Azure Active Directory に参加済みデバイスを管理する場合は、計画ワークシートの 2b 欄に「最新の管理機能」と記入します。 それ以外の場合は、2b 欄に「該当なし」と記入します。

注意

最新の管理機能を使用しない Azure Active Directory に参加済みのデバイスは、既定のポリシー設定を使用して Windows Hello for Business で自動的に登録されます。 組織のビジネス ニーズに合わせてポリシー設定を調整するには、最新の管理機能を使用します。

計画ワークシートの 1a 欄が「オンプレミス」である場合は、計画ワークシートの 2a 欄に「GP」と記入します。 ワークシートの 2b 欄に「該当なし」と記入します。

ハイブリッド展開の管理では、Windows Hello for Business の展開で考慮すべきの 2 つのデバイスのカテゴリが含まれています。ドメインに参加しているデバイスとドメインに参加していないデバイスです。 すべてのデバイスは登録されますが、すべてのデバイスがドメインに参加しているわけではありません。 ドメインに参加しているデバイスにはグループ ポリシーを使用し、ドメインに参加していないデバイスには最新の管理機能を使用するオプションがあります。 または、ドメインに参加しているデバイスとドメインに参加していないデバイスの両方に最新の管理機能を使用することもできます。

グループ ポリシーを使用してドメインに参加しているデバイスを管理する場合は、計画ワークシートの 2a 欄に「GP」と記入します。 ドメインに参加していないデバイスを管理する場合は、2b 欄に「最新の管理機能」と記入し、それ以外の場合は「該当なし」と記入します。

ドメインに参加しているデバイスとドメインに参加していないデバイスの両方に最新の管理機能を使用する場合は、計画ワークシートの 2a 欄と 2b 欄に「最新の管理機能」と記入します。

クライアント

Windows Hello for Business は Windows 10 のみの機能です。 一部の展開と機能は Windows 10 の以前のバージョンで使用できます。 その他の機能には最新バージョンが必要です。

計画ワークシートの 1a 欄が「クラウドのみ」である場合は、計画ワークシートの 3a 欄に「該当なし」と記入します。 ドメインに参加していないデバイスを管理する予定がある場合は、必要に応じて、計画ワークシートの 3b 欄に「1511 以降」と記入することもできます。

注意

最新の管理機能を使用しない Azure Active Directory に参加済みのデバイスは、既定のポリシー設定を使用して Windows Hello for Business で自動的に登録されます。 組織のビジネス ニーズに合わせてポリシー設定を調整するには、最新の管理機能を使用します。

次のいずれかに該当する場合は、計画ワークシートの 3a 欄に「1511 以降」と記入します。

  • 計画ワークシートの 2a 欄が「最新の管理機能」である。
    • ドメインに参加していないデバイスを管理する予定がある場合は、必要に応じて、計画ワークシートの 3b 欄に「1511 以降」と記入することもできます。
  • 計画ワークシートの 1a 欄が「ハイブリッド」、1b 欄が「キー信頼」、2a欄が「GP」である。 ドメインに参加していないデバイスを管理する予定がある場合は、必要に応じて、計画ワークシートの **3b* 欄に「1511 以降」と記入することもできます。

次のいずれかに該当する場合は、計画ワークシートの 3a 欄に「1703 以降」と記入します。

  • 計画ワークシートの 1a 欄が「オンプレミス」である。
    ワークシートの 3b 欄に「該当なし」と記入します。
  • 計画ワークシートの 1a 欄が「ハイブリッド」、1b 欄が「証明書信頼」、2a欄が「GP」である。
    • ドメインに参加していないデバイスを管理する予定がある場合は、必要に応じて、計画ワークシートの 3b 欄に「1511 以降」と記入することもできます。

Active Directory

計画ガイドの Active Directory の部分は記入済みです。 ドメイン コントローラーを除くほとんどの条件は基準の前提条件です。 展開で使用されるドメイン コントローラーは、選択した信頼の種類によって決まります。

計画ワークシートの 4d 欄が空白のままである場合は、このセクションの信頼の種類に関する説明を確認してください。

公開キー基盤 (PKI)

公開キー基盤の前提条件は、計画ワークシートに既に記入されています。 これらの条件は、すべてのハイブリッド展開またはオンプレミス展開の最小要件です。 信頼の種類に基づいて、追加の条件が必要になる場合もあります。

計画ワークシートの 1a 欄が「クラウドのみ」である場合は、計画ワークシートの公開キー基盤のセクションは無視してください。 クラウドのみの展開では、公開キー基盤は使用されません。

計画ワークシートの 1b 欄が「キー信頼」である場合は、計画ワークシートの 5b 欄に「該当なし」と記入します。

登録機関は、証明書信頼の展開と、ドメインに参加しているデバイスとドメインに参加していないデバイスに使用される管理にのみ関連します。 グループ ポリシーによって管理されるハイブリッド Azure AD 参加デバイスでは、証明書を発行するために Windows Server 2016 AD FS の役割が必要です。 Intune または互換 MDM によって管理される ハイブリッド Azure AD 参加デバイスと Azure AD 参加デバイスでは、証明書を発行するために Windows Server の NDES サーバーの役割が必要です。

2a 欄が「GP」で 2b 欄が「最新の管理機能」である場合は、計画ワークシートの 5b 欄に「AD FS RA と NDES」と記入します。 5c 欄に、次の証明書テンプレート名と発行先を記入します。

証明書テンプレート名 発行先
Exchange 登録エージェント AD FS RA
Web サーバー AD FS RA
Exchange 登録エージェント NDES
Web サーバー NDES
CEP 暗号化 NDES

ボックス2a GPを読み込んで、ボックス2b欄が「該当なし、ボックス5 bAD FS RAを書き込み、計画ワークシート ボックス5 c次の証明書テンプレート名と記入を記述します。

証明書テンプレート名 発行先
Exchange 登録エージェント AD FS RA
Web サーバー AD FS RA

2a 欄または 2b 欄が「最新の管理機能」である場合は、計画ワークシートの 5b 欄に「NDES」と記入し、5c 欄に次の証明書テンプレート名と発行先を記入します。

証明書テンプレート名 発行先
Exchange 登録エージェント NDES
Web サーバー NDES
CEP 暗号化 NDES

クラウド

Windows Hello for Business のほぼすべての展開では、Azure アカウントが必要です。

計画ワークシートの 1a 欄が「クラウドのみ」または「ハイブリッド」である場合は、計画ワークシートの 6a 欄と 6b 欄に「はい」と記入します。

計画ワークシートの 1a 欄が「オンプレミス」であり、1f 欄が「AD FS とサード パーティ」である場合は、計画ワークシートの 6a 欄に「いいえ」と記入します。 それ以外の場合は、消費ごとの MFA の請求のために Azure アカウントが必要であるため、6a 欄に「はい」と記入します。 計画ワークシートの 6b 欄に「いいえ」と記入します。オンプレミス展開ではクラウド ディレクトリは使用されません。

Windows Hello for Business では、Azure AD Premium サブスクリプションは必要ありません。 ただし、一部の依存関係で使用されます。

計画ワークシートの 1a 欄が「オンプレミス」である場合は、計画ワークシートの 6c 欄に「いいえ」と記入します。

計画ワークシートの 1a 欄が「ハイブリッド」であり、1b 欄が「キー信頼」である場合は、計画ワークシートの 6c 欄に「いいえ」と記入します。 展開できます Windows こんにちは for Business、無料の Azure Active Directory アカウント (多要素認証のために必要な追加のコスト) を使用します。

計画ワークシートの 5b 欄が「AD FS RA」である場合は、計画ワークシートの 6c 欄に「はい」と記入します。 AD FS 登録機関を使用して証明書を登録するには、デバイスは、デバイスの書き戻し、Azure AD Premium の機能を必要とする AD FS サーバーに認証する必要があります。

最新の管理の対象デバイスでは、Azure AD Premium サブスクリプションは不要です。 サブスクリプションを省略した場合、ユーザーは、Intune やサポートされるサード パーティの MDM など、最新の管理ソフトウェアで手動でデバイスを登録する必要があります。

2a 欄または 2b 欄が「最新の管理機能」であり、最新の管理ソフトウェアで自動的にデバイスを登録する場合は、計画ワークシートの 6c 欄に「はい」と記入します。 それ以外の場合は、6c 欄に「いいえ」と記入します。

作業はこれで終了です。

Windows Hello for Business の計画ワークシートが完成しました。 このガイドでは、Windows Hello for Business のインフラストラクチャで使用されるコンポーネントと、それらが使用される理由について説明しました。 ワークシートには、展開の次のフェーズを続行するために必要な要件の概要が示されています。 このワークシートを使用して、Windows Hello for Business の展開の重要な要素を識別することができます。