Intune に登録するときにデバイスで Windows Hello for Business を構成する

Microsoft Intune では、Windows 10 または Windows 11 デバイスで、それらのデバイスが Intune に登録された時点で Windows Hello for Business の使用を構成するテナント全体のポリシーを作成できます。 このポリシーは組織全体を対象としており、Windows Autopilot out-of-box-experience (OOBE) をサポートします。

Windows 10/11 デバイスの場合、Windows Hello for Business を使用することは、デバイスで強力な 2 要素認証によるパスワードを使用することに取って代わるものです。 この認証は、デバイスに関連付けられているユーザー資格情報によって構成され、生体認証または PIN を使用します。

デバイスの登録後、またはテナント全体の登録ポリシーを使用しないことを選択した場合、Intune では、デバイスの個別のグループで Windows Hello を管理するための次の方法がサポートされます。

  • エンドポイント セキュリティ アカウント保護ポリシー: Intune に登録した後にデバイスで Windows Hello を管理するには、エンドポイント セキュリティ アカウント保護ポリシーの一部である Intune アカウント保護 プロファイルを使用します。

  • セキュリティ ベースライン: Windows Hello の一部の設定は、 Microsoft Defender for Endpoint セキュリティのベースラインや Windows 10 以降のセキュリティ ベースラインなどのセキュリティ ベースラインによって管理できます。

  • 設定カタログ: エンドポイント セキュリティ アカウント保護プロファイルの設定は、Intune 設定カタログで使用できます。

重要

Anniversary Update (Windows バージョン 1607) より前には、リソースの認証に使用できる 2 つの異なる PIN を設定できます。

  • デバイス PIN をデバイスのロック解除とクラウド リソースへの接続に使用できました。
  • 作業 PIN は、ユーザーの個人用デバイス (BYOD) 上の Microsoft Entra リソースにアクセスするために使用されました。

Anniversary Update では、これら 2 つの PIN が 1 つのデバイス PIN にまとめられました。 デバイス PIN の制御用に設定済みの Intune の構成ポリシー、さらに構成済みの Windows Hello for Business ポリシーの両方により、この新しい PIN の値が設定されるようになりました。 両方の種類のポリシーを PIN の制御用に設定している場合、Windows Hello for Business ポリシーが適用されます。 ポリシーの競合を解消して PIN ポリシーが適切に適用されるようにするために、構成ポリシーの設定に合わせて Windows Hello for Business ポリシーを更新し、ユーザーに Intune ポータル サイト アプリでデバイスを同期するように伝えてください。

役割ベースのアクセス制御

Windows 登録で Windows Hello for Business ポリシーを作成または編集するには、Intune サービス管理者である必要があります。 その他のすべての Intune ロールには、読み取り専用アクセス権があります。 ロールベースのアクセス制御 (RBAC) の詳細については、「 Microsoft Intune を使用した RBAC」を参照してください。

デバイス登録用の Windows Hello for Business ポリシーを作成する

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス>登録] に移動します。

  3. [ Windows ] タブの [ 登録オプション] で、[ Windows Hello for Business] を選択します。 [Windows Hello for Business] ウィンドウが開くのを待ちます。

  4. [Windows Hello for Business の構成] を次のオプションから選択します:

    • [有効]。 Windows Hello for Business の設定を構成する場合は、この設定を選択します。 [有効] を選択した場合、Windows Hello のその他の設定が表示され、デバイスに対して構成できます。

    • [無効]。 デバイスの登録中に Windows Hello for Business を有効にしない場合、このオプションを選択します。 無効である場合、ユーザーが Windows Hello for Business をプロビジョニングすることはできません。 [無効] に設定されると、このポリシーで Windows Hello for Business が有効にならない場合でも、Windows Hello for Business に後続の設定を構成できます。

    • [未構成]。 Windows Hello for Business の設定の制御に Intune を使用しない場合は、この設定を選択します。 Windows 10/11 デバイスの既存の Windows Hello for Business 設定は変更されません。 ウィンドウ上の他のすべての設定が使用できなくなります。

  5. 前の手順で [有効] を選択した場合は、すべての登録済みの Windows 10/11 デバイスに適用される必須設定を構成します。 これらの設定を構成した後、[保存] を選択します。

    • [Trusted Platform Module (TPM) の使用]:

      TPM チップにより、追加のデータ セキュリティ層が提供されます。 次のいずれかの値を選択します。

      • [必須] (既定)。 アクセス可能な TPM を装備したデバイスのみが Windows Hello for Business をプロビジョニングできます。
      • [優先]。 デバイスは最初に TPM を使用しようとします。 このオプションが使用できない場合、ソフトウェアの暗号化を使用できます。
    • [PIN の長さの最小値][PIN の長さの最大値]:

      サインインをセキュリティで保護するために指定する PIN の最小長と最大長を使用するようにデバイスを構成します。 既定の PIN の長さは 6 文字ですが、最小長を 4 文字にすることができます。 PIN の最大長は 127 文字です。

    • [PIN での小文字の使用][PIN での大文字の使用]、および [PIN での特殊文字の使用]

      大文字、小文字、特殊文字を PIN で使用するように要求することで、PIN をより強力にすることができます。 それぞれに対して、次のいずれかを選択します。

      • 許可: ユーザーは PIN で文字の種類を使用できますが、必須ではありません。

      • 必須: ユーザーは、PIN に少なくとも 1 つの文字型を含める必要があります。 たとえば、一般的なのは、少なくとも 1 つの大文字と 1 つの特殊文字の使用を要求する方法です。

      • 許可されていません (既定値): ユーザーは PIN でこれらの文字型を使用しないでください。 (これは、この設定を構成していない場合の動作でもあります)。

        特殊文字には、 が含まれます。 " # $ % & ' ( ) * + 、 - 。/ : ; < = > ?@ [ \ ] ^ _ ' { | } ~

    • [PIN の有効期間 (日)]:

      その期間が経過したらユーザーが PIN を変更する必要がある有効期間を指定することをお勧めします。 既定は 41 日です。

    • [PIN の履歴を保存]:

      以前に使用した PIN の再利用を制限します。 既定では、直近 5 回の PIN を再利用することはできません。

    • [生体認証を許可する]:

      Windows Hello for Business の PIN の代わりとして、顔認識や指紋などの生体認証を有効にします。 ユーザーは、生体認証に失敗した場合のために、職場の PIN も設定する必要があります。 次から選択します。

      • はい。 Windows Hello for Business で生体認証が使用可能になります。
      • いいえ。 Windows Hello for Business で生体認証を利用できません (すべてのアカウントの種類が対象)。
    • [使用可能な場合は、高度なスプーフィング対策を使用する]:

      サポートされるデバイス上で Windows Hello のスプーフィング対策機能を使用するかどうかを構成します。 たとえば、実際の顔ではなく顔の写真を検出します。

      [はい] に設定されていると、Windows のすべてのユーザーは、顔認証のためのスプーフィング対策 (サポートされている場合) を使用する必要があります。

    • [電話によるサインインの許可]:

      このオプションが [はい] に設定されている場合、ユーザーはデスクトップ コンピューターの認証にポータブル コンパニオン デバイスとして機能するリモートのパスポートを使用することができます。 デスクトップ コンピューターは Microsoft Entra に参加している必要があり、コンパニオン デバイスは Windows Hello for Business PIN で構成する必要があります。

    • 拡張サインイン セキュリティを有効にする:

      対応するハードウェア を備えたデバイスで Windows Hello 拡張サインイン セキュリティ を構成します。 次のようなオプションがあります。

      • 拡張サインイン セキュリティは、対応するハードウェアを備えたシステムで有効になります (既定値): デバイス ユーザーは外部周辺機器を使用して Windows Hello を使用してデバイスにサインインできません。
      • 拡張サインイン セキュリティはすべてのシステムで無効になります。デバイス ユーザーは、Windows Hello と互換性のある外部周辺機器を使用してデバイスにサインインできます。
    • [サインインのセキュリティ キーを使用]:

      [有効] に設定すると、この設定により、顧客の組織内のすべてのコンピューターで Windows Hello セキュリティ キーをリモートでオン/オフするための容量が提供されます。

Windows Holographic for Business のサポート

Windows Holographic for Business では、Windows Hello for Business の以下の設定がサポートされます。

  • Trusted Platform Module (TPM) の使用
  • [PIN の最小の長さ]
  • PIN の最大長
  • PIN での小文字
  • PIN での大文字
  • PIN での特殊文字
  • PIN の有効期間 (日)
  • PIN の履歴を保存

次の手順

Windows Hello の詳細については、Windows ドキュメントの次の件名を参照してください。