オンプレミスのキー信頼モデルで Windows Hello for Business を構成して登録する
この記事では、次に該当する Windows Hello for Business の機能またはシナリオについて説明します。
-
展開の種類:
-
信頼の種類:があります
-
結合の種類:
前提条件が満たされ、PKI と AD FS の構成が検証されたら、Windows Hello for Business の展開は次の手順で構成されます。
Windows Hello for Business のポリシー設定の構成
キー信頼モデルで Windows Hello for Business を有効にするには、1 つのポリシー設定が必要です。
もう 1 つのオプションですが、推奨されるポリシー設定は次のとおりです。
GPO のコンピューターまたはユーザー ノードで [Windows Hello for Business を使用 する] ポリシー設定を構成できます。
- コンピューター ノード ポリシー設定を展開すると、対象デバイスにサインインするすべてのユーザーが Windows Hello for Business 登録を試行します
- ユーザー ノード ポリシー設定を展開すると、対象ユーザーのみが Windows Hello for Business 登録を試行します
ユーザーとコンピューターの両方のポリシー設定が展開される場合は、ユーザーのポリシー設定が優先されます。
グループ ポリシーを使用してデバイスを構成するには、 ローカル グループ ポリシー エディターを使用します。 Active Directory に参加している複数のデバイスを構成するには、グループ ポリシー オブジェクト (GPO) を 作成または編集 し、次の設定を使用します。
| グループ ポリシー パス | グループ ポリシー設定 | 値 |
|---|---|---|
|
コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Hello for Business or ユーザー構成\管理用テンプレート\Windows コンポーネント\Windows Hello for Business |
Windows Hello for Business の使用 | Enabled |
| コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Hello for Business | ハードウェアのセキュリティ デバイスを使用する | Enabled |
グループ ポリシーは、ドメインまたは組織単位に リンク したり、 セキュリティ グループを使用してフィルター処理したり、 WMI フィルターを使用してフィルター処理したりできます。
ヒント
Windows Hello for Business GPO を展開する最善の方法は、セキュリティ グループのフィルター処理を使用することです。 対象のセキュリティ グループのメンバーのみが Windows Hello for Business をプロビジョニングし、段階的なロールアウトを有効にします。 このソリューションを使用すると、GPO をドメインにリンクし、GPO のスコープがすべてのセキュリティ プリンシパルに設定されていることを確認できます。 セキュリティ グループのフィルター処理により、グローバル グループのメンバーのみが GPO を受け取って適用します。これにより、Windows Hello for Business がプロビジョニングされます。
Windows Hello for Business の動作を制御するために、追加のポリシー設定を構成できます。 詳細については、「 Windows Hello for Business ポリシー設定」を参照してください。
Windows Hello for Business に登録する
Windows Hello for Business プロビジョニング プロセスは、ユーザー プロファイルが読み込まれた直後と、ユーザーがデスクトップを受け取る前に開始されます。 プロビジョニング プロセスを開始するには、すべての前提条件チェックに合格する必要があります。
前提条件のチェックの状態を確認するには、Microsoft > Windows の [アプリケーションとサービス ログ] > [ユーザー デバイス登録] 管理者ログを表示します。
この情報は、コンソールの dsregcmd.exe /status コマンドを使用して入手することもできます。 詳細については、「 dsregcmd」を参照してください。
ユーザー エクスペリエンス
ユーザーがサインインすると、Windows Hello for Business 登録プロセスが開始されます。
- デバイスが生体認証をサポートしている場合、ユーザーは生体認証ジェスチャを設定するように求められます。 このジェスチャを使用して、デバイスのロックを解除し、Windows Hello for Business を必要とするリソースに対する認証を行うことができます。 ユーザーが生体認証ジェスチャを設定したくない場合は、この手順をスキップできます
- ユーザーは、組織アカウントで Windows Hello を使用するように求められます。 ユーザーが [OK] を選択する
- プロビジョニング フローは、登録の多要素認証部分に進みます。 プロビジョニングは、構成済みの MFA 形式でユーザーに積極的に連絡しようとしていることをユーザーに通知します。 プロビジョニング プロセスは、認証が成功、失敗、またはタイムアウトするまで続行されません。MFA が失敗またはタイムアウトするとエラーが発生し、ユーザーに再試行を求められます
- MFA に成功した場合は、プロビジョニング フローは、ユーザーに PIN の作成と確認を求めます。 この PIN は、デバイスで構成されている PIN の複雑さのポリシーを確認する必要があります
- プロビジョニングの残りの部分では、Windows Hello for Business がユーザーの非対称キー ペアを要求します。TPM の非対称キー ペアをお勧めします (またはポリシーで明示的に設定されている場合は必須です)。 キー ペアが取得されると、Windows は IdP と通信して公開キーを登録します。 キーの登録が完了すると、Windows Hello for Business プロビジョニングによって、PIN を使用してサインインできることをユーザーに通知します。 ユーザーはプロビジョニング アプリケーションを閉じ、デスクトップにアクセスできます
次のビデオは、AD FS 用のカスタム MFA アダプターを使用して、パスワードでサインインした後の Windows Hello for Business 登録手順を示しています。
シーケンス図
プロビジョニング フローについて理解を深めるために、次のシーケンス図を確認します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示