Windows Hello for Businessデプロイを計画する

この計画ガイドは、Windows Hello for Business のインフラストラクチャを取り巻くさまざまなトポロジ、アーキテクチャ、コンポーネントを理解するのに役立ちます。

このガイドでは、Windows Hello for Business の各コンポーネントの役割と、特定の展開に関する決定がインフラストラクチャの他の側面に与える影響について説明します。

ヒント

Microsoft Entra IDテナントをお持ちの場合は、以下の手動ガイドを使用するのではなく、同じ選択肢を説明するオンラインの対話型パスワードレス ウィザードを使用できます。 パスワードレス ウィザードは、Microsoft 365 管理センターで利用できます。

このガイドの使用方法

Windows Hello for Businessをデプロイし、さまざまな組織インフラストラクチャとの互換性を確保するために、多くのオプションを使用できます。 デプロイ プロセスは複雑に見えるかもしれませんが、ほとんどの組織は、必要なインフラストラクチャを既に実装していることがわかります。 Windows Hello for Businessは分散システムであり、organization内の複数のチーム間で適切な計画が必要であることに注意することが重要です。

このガイドでは、Windows Hello for Businessデプロイの各側面に関する情報に基づいた意思決定を行うことで、デプロイ プロセスを簡略化することを目的としています。 利用可能なオプションに関する情報が提供され、環境に最適なデプロイ アプローチの選択に役立ちます。

続行する方法

このドキュメントを読み、決定事項を記録します。 完了したら、使用可能なオプションを評価し、Windows Hello for Businessデプロイの要件を決定するために必要なすべての情報が必要です。

Windows Hello for Business展開を計画する際に考慮すべきメイン領域は 7 つあります。

展開オプション

Windows Hello for Business の目標は、規模やシナリオに関係なくすべての組織に展開できるようにすることです。 このような詳細な展開を提供するために、Windows Hello for Business では多様な展開オプションを選択できます。

展開モデル

正常に展開させるために基本的に重要なのは、どの展開モデルを使用するかを理解することです。 デプロイの一部の側面は、現在のインフラストラクチャに基づいて既に決定されている可能性があります。

選択できるデプロイ モデルは 3 つあります。

デプロイ モデル 説明
🔲 クラウド専用 クラウド ID のみを持ち、オンプレミス リソースにアクセスしない組織の場合。 これらの組織は通常、デバイスをクラウドに参加させ、SharePoint Online、OneDrive などのクラウド内のリソースのみを使用します。 また、ユーザーはオンプレミスのリソースを使用しないため、必要なものはすべてクラウド サービスでホストされているため、VPN などの証明書は必要ありません。
🔲 ハイブリッド Active Directory からMicrosoft Entra IDに同期された ID を持つ組織の場合。 これらの組織は、Microsoft Entra IDに登録されているアプリケーションを使用し、オンプレミスリソースとMicrosoft Entraリソースの両方にシングル サインオン (SSO) エクスペリエンスを提供する必要があります。
🔲 オンプレミス クラウド ID を持たない組織や、Microsoft Entra IDでホストされているアプリケーションを使用している組織の場合。 これらの組織は、Active Directory に統合されたオンプレミス のアプリケーションを使用し、それらにアクセスするときに SSO ユーザー エクスペリエンスを必要とします。

  • オンプレミス展開の主なユース ケースは、"Red Forests" とも呼ばれる "セキュリティ管理環境の強化" です
  • オンプレミスからハイブリッドデプロイへの移行には、再デプロイが必要です

信頼の種類

展開の信頼の種類は、クライアントが Active Directory に対して認証Windows Hello for Business方法を定義します。 信頼の種類は、Microsoft Entra IDへの認証には影響しません。 このため、信頼の種類はクラウドのみのデプロイ モデルには適用されません。

Microsoft Entra IDへのWindows Hello for Business認証では、証明書ではなくキーが常に使用されます (フェデレーション環境でのスマート カード認証は除きます)。

信頼の種類は、認証証明書をユーザーに発行するかどうかを決定します。 1 つの信頼モデルは、他の信頼モデルよりも安全ではありません。

ユーザーとドメイン コントローラーへの証明書のデプロイには、より多くの構成とインフラストラクチャが必要です。これは、決定で考慮すべき要因となる可能性もあります。 証明書信頼のデプロイに必要なその他のインフラストラクチャには、証明書登録機関が含まれます。 フェデレーション環境では、Microsoft Entra Connect で [デバイス ライトバック] オプションをアクティブにする必要があります。

選択できる信頼の種類は 3 つあります。

信頼の種類 説明
🔲 Cloud Kerberos ユーザーは、Microsoft Entra Kerberos を使用して、Microsoft Entra IDから TGT を要求して Active Directory に対して認証します。 オンプレミスのドメイン コントローラーは、Kerberos サービス のチケットと承認を引き続き担当します。 Cloud Kerberos 信頼では、FIDO2 セキュリティ キーのサインインに必要なインフラストラクチャと同じインフラストラクチャが使用され、新規または既存のWindows Hello for Business展開に使用できます。
🔲 キー ユーザーは、Windows Hello プロビジョニング エクスペリエンス中に作成されたデバイス バインド キー (ハードウェアまたはソフトウェア) を使用して、オンプレミスの Active Directoryに対して認証を行います。 ドメイン コントローラーに証明書を配布する必要があります。
🔲 証明書 証明書信頼の種類は、認証証明書をユーザーに発行します。 ユーザーは、Windows Hello プロビジョニング エクスペリエンス中に作成されたデバイス バインド キー (ハードウェアまたはソフトウェア) を使用して要求された証明書を使用して認証します。

キー信頼証明書信頼 では、オンプレミス認証に kerberos ticket-granting-tickets (TGT) を要求するときに、証明書認証ベースの Kerberos が使用されます。 この種類の認証には、DC 証明書の PKI が必要であり、証明書の信頼にはエンド ユーザー証明書が必要です。

クラウド Kerberos 信頼Windows Hello for Businessの目標は、他の信頼の種類と比較して、より簡単なデプロイ エクスペリエンスを提供することです。

  • 公開キー インフラストラクチャ (PKI) をデプロイする必要も、既存の PKI を変更する必要もありません
  • ユーザーがオンプレミスのリソースにアクセスするために、Microsoft Entra IDと Active Directory の間で公開キーを同期する必要はありません。 ユーザーのWindows Hello for Businessプロビジョニングと Active Directory に対する認証の間に遅延はありません
  • FIDO2 セキュリティ キーのサインイン は、最小限の追加セットアップでデプロイできます

ヒント

Windows Hello for Businessクラウド Kerberos 信頼は、キー信頼モデルと比較した場合に推奨されるデプロイ モデルです。 また、証明書認証シナリオをサポートする必要がない場合は、推奨されるデプロイ モデルでもあります。

Cloud Kerberos の信頼には、Microsoft Entra Kerberos のデプロイが必要です。 Kerberos Microsoft Entraオンプレミス リソースへのアクセスを有効にする方法の詳細については、「オンプレミス リソースへのパスワードレス セキュリティ キー サインインの有効化」を参照してください。

PKI 要件

Cloud Kerberos 信頼は、証明書のデプロイを必要としない唯一のハイブリッド展開オプションです。 他のハイブリッド モデルとオンプレミス モデルは、認証のトラスト アンカーとしてエンタープライズ PKI に依存します。

  • ハイブリッドおよびオンプレミス展開用のドメイン コントローラーには、正当なドメイン コントローラーとして信頼する Windows デバイス用の証明書が必要です
  • 証明書信頼の種類を使用するデプロイでは、エンタープライズ PKI と証明書登録機関 (CRA) がユーザーに認証証明書を発行する必要があります。 AD FS は CRA として使用されます
  • ハイブリッド展開では、オンプレミス リソースの接続を有効にするために VPN 証明書をユーザーに発行する必要がある場合があります
デプロイ モデル 信頼の種類 PKI は必要ですか?
🔲 クラウド専用 該当なし ×
🔲 ハイブリッド Cloud Kerberos ×
🔲 ハイブリッド キー
🔲 ハイブリッド 証明書
🔲 オンプレミス キー
🔲 オンプレミス 証明書

Microsoft Entra IDへの認証

ユーザーは、フェデレーション認証またはクラウド (非フェデレーション) 認証を使用して、Microsoft Entra IDに対して認証できます。 要件は、信頼の種類によって異なります。

デプロイ モデル 信頼の種類 Microsoft Entra IDへの認証 要件
🔲 クラウド専用 該当なし クラウド認証 該当なし
🔲 クラウド専用 該当なし フェデレーション認証 Microsoft 以外のフェデレーション サービス
🔲 ハイブリッド Cloud Kerberos の信頼 クラウド認証 パスワード ハッシュ同期 (PHS) またはパススルー認証 (PTA)
🔲 ハイブリッド Cloud Kerberos の信頼 フェデレーション認証 AD FS または Microsoft 以外のフェデレーション サービス
🔲 ハイブリッド キー信頼 クラウド認証 パスワード ハッシュ同期 (PHS) またはパススルー認証 (PTA)
🔲 ハイブリッド キー信頼 フェデレーション認証 AD FS または Microsoft 以外のフェデレーション サービス
🔲 ハイブリッド 証明書信頼 フェデレーション認証 このデプロイ モデルでは、PTA または PHS はサポートされていません。 Active Directory は、AD FS を使用してMicrosoft Entra IDとフェデレーションする必要があります

詳細については、以下を参照してください。

デバイスの登録

オンプレミスの展開では、Active Directory フェデレーション サービス (AD FS) (AD FS) ロールを実行しているサーバーがデバイスの登録を担当します。 クラウドのみのデプロイとハイブリッド展開の場合、デバイスはMicrosoft Entra IDに登録する必要があります。

デプロイ モデル サポートされている結合の種類 デバイス登録サービス プロバイダー
クラウド専用 Microsoft Entra参加済み
登録Microsoft Entra
Microsoft Entra ID
ハイブリッド Microsoft Entra参加済み
Microsoft Entraハイブリッド参加済み
登録Microsoft Entra
Microsoft Entra ID
オンプレミス Active Directory ドメイン参加済み AD FS

重要

ハイブリッド参加済みガイダンスMicrosoft Entraについては、「Microsoft Entraハイブリッド参加の実装を計画する」を参照してください。

多要素認証

Windows Hello for Businessの目標は、2 要素認証を簡単に行える強力な資格情報を組織に提供することで、組織をパスワードから離れることです。 組み込みのプロビジョニング エクスペリエンスでは、ユーザーの脆弱な資格情報 (ユーザー名とパスワード) を第 1 要素認証として受け入れます。 ただし、Windows が強力な資格情報をプロビジョニングする前に、ユーザーは認証の 2 番目の要素を指定する必要があります。

  • クラウドのみのデプロイとハイブリッドデプロイの場合、多要素認証には、Microsoft Entra MFA など、さまざまな選択肢があります
  • オンプレミスのデプロイでは、AD FS 多要素アダプターとして統合できる多要素オプションを使用する必要があります。 組織は、AD FS MFA アダプターを提供する Microsoft 以外のオプションから選択できます。 詳細については、「Microsoft および Microsoft 以外の追加認証方法」を参照してください。

重要

2019 年 7 月 1 日以降、Microsoft は新しいデプロイ用に MFA Server を提供していません。 多要素認証を必要とする新しいデプロイでは、クラウドベースのMicrosoft Entra多要素認証を使用する必要があります。

2024 年 9 月 30 日より、Azure Multi-Factor Authentication Server デプロイは MFA 要求をサービスしなくなります。 中断のない認証サービスを確保し、サポートされている状態を維持するには、組織は ユーザーの認証データをクラウドベースの Azure MFA に移行する必要があります。

デプロイ モデル MFA オプション
🔲 クラウド専用 MFA のMicrosoft Entra
🔲 クラウド専用 Microsoft Entra IDまたはフェデレーションの外部認証方法を使用した Microsoft 以外の MFA
🔲 ハイブリッド MFA のMicrosoft Entra
🔲 ハイブリッド Microsoft Entra IDまたはフェデレーションの外部認証方法を使用した Microsoft 以外の MFA
🔲 オンプレミス AD FS MFA アダプター

詳しくは、次のトピックをご覧ください。

MFA とフェデレーション認証

フェデレーション ドメインでは、 FederatedIdpMfaBehavior フラグを構成できます。 フラグは、フェデレーション IdP からの MFA チャレンジを受け入れる、適用する、または拒否するようにMicrosoft Entra IDに指示します。 詳細については、「 federatedIdpMfaBehavior 値」を参照してください。 この設定をチェックするには、次の PowerShell コマンドを使用します。

Connect-MgGraph
$DomainId = "<your federated domain name>"
Get-MgDomainFederationConfiguration -DomainId $DomainId |fl

フェデレーション IdP から MFA 要求を拒否するには、次のコマンドを使用します。 この変更は、フェデレーション ドメインのすべての MFA シナリオに影響します。

Update-MgDomainFederationConfiguration -DomainId $DomainId -FederatedIdpMfaBehavior rejectMfaByFederatedIdp

acceptIfMfaDoneByFederatedIdp (既定値) またはenforceMfaByFederatedIdpのいずれかの値でフラグを構成する場合は、フェデレーション IDP が正しく構成され、IdP によって使用される MFA アダプターとプロバイダーと連携していることを確認する必要があります。

キーの登録

組み込みのWindows Hello for Business プロビジョニング エクスペリエンスでは、ユーザーの資格情報としてデバイス バインド非対称キー ペアが作成されます。 秘密キーは、デバイスのセキュリティ モジュールによって保護されます。 資格情報は ユーザー キーであり、 デバイス キーではありません。 プロビジョニング エクスペリエンスでは、ユーザーの公開キーが ID プロバイダーに登録されます。

デプロイ モデル キー登録サービス プロバイダー
クラウド専用 Microsoft Entra ID
ハイブリッド Microsoft Entra ID
オンプレミス AD FS

ディレクトリ同期

ハイブリッドとオンプレミスのデプロイではディレクトリ同期が使用されますが、それぞれ異なる目的で使用されます。

  • ハイブリッド展開では、Microsoft Entra Connect Sync を使用して、Active Directory ID (ユーザーとデバイス) または資格情報をそれ自体とMicrosoft Entra IDの間で同期します。 Windows Hello for Business プロビジョニング プロセス中に、ユーザーはWindows Hello for Business資格情報のパブリック部分をMicrosoft Entra IDに登録します。 Microsoft Entra Connect Sync は、Windows Hello for Business公開キーを Active Directory に同期します。 この同期により、SSO とそのフェデレーション コンポーネントをMicrosoft Entra IDできます。

    重要

    Windows Hello for Businessは、ユーザーとデバイスの間で関連付けられています。 ユーザー オブジェクトとデバイス オブジェクトの両方を、Microsoft Entra IDと Active Directory の間で同期する必要があります。

  • オンプレミスのデプロイでは、ディレクトリ同期を使用して Active Directory から Azure MFA サーバーにユーザーをインポートし、MFA クラウド サービスにデータを送信して検証を実行します
デプロイ モデル ディレクトリ同期オプション
クラウド専用 該当なし
ハイブリッド Microsoft Entra Connect Sync
オンプレミス Azure MFA サーバー

重要

2024 年 9 月 30 日より、Azure Multi-Factor Authentication Server デプロイは MFA 要求をサービスしなくなります。 中断のない認証サービスを確保し、サポートされている状態を維持するには、組織は ユーザーの認証データをクラウドベースの Azure MFA に移行する必要があります。

デバイス構成オプション

Windows Hello for Businessは、きめ細かいポリシー設定の豊富なセットを提供します。 Windows Hello for Businessを構成するには、構成サービス プロバイダー (CSP) とグループ ポリシー (GPO) の 2 つのメインオプションがあります。

  • CSP オプションは、Microsoft Intuneなどのモバイル デバイス管理 (MDM) ソリューションを介して管理されるデバイスに最適です。 CSP はプロビジョニング パッケージで構成することもできます
  • GPO を使用して、ドメインに参加しているデバイスと、MDM を使用してデバイスを管理しない場所を構成できます
デプロイ モデル デバイス構成オプション
🔲 クラウド専用 CSP
🔲 クラウド専用 GPO (ローカル)
🔲 ハイブリッド CSP
🔲 ハイブリッド GPO (Active Directory またはローカル)
🔲 オンプレミス CSP
🔲 オンプレミス GPO (Active Directory またはローカル)

クラウド サービス要件のライセンス

クラウド サービスのライセンス要件に関する考慮事項を次に示します。

  • Windows Hello for Businessには、Microsoft Entra ID P1 または P2 サブスクリプションは必要ありません。 ただし、 MDM の自動登録条件付きアクセス など、一部の依存関係では、
    • MDM 経由で管理されるデバイスでは、Microsoft Entra ID P1 または P2 サブスクリプションは必要ありません。 サブスクリプションを継続するには、ユーザーは、Microsoft Intuneやサポートされている Microsoft 以外の MDM など、MDM ソリューションにデバイスを手動で登録する必要があります
  • Microsoft Entra ID Free レベルを使用して、Windows Hello for Businessをデプロイできます。 すべてのMicrosoft Entra ID無料アカウントでは、Windows パスワードレス機能Microsoft Entra多要素認証を使用できます
  • AD FS 登録機関を使用して証明書を登録するには、デバイスが AD FS サーバーに対して認証される必要があります。これには、デバイスの書き戻し、Microsoft Entra ID P1 または P2 機能が必要です
デプロイ モデル 信頼の種類 クラウド サービス ライセンス (最小)
🔲 クラウド専用 該当なし 必須ではありません
🔲 ハイブリッド Cloud Kerberos 必須ではありません
🔲 ハイブリッド キー 必須ではありません
🔲 ハイブリッド 証明書 Microsoft Entra ID P1
🔲 オンプレミス キー AZURE MFA (MFA ソリューションとして使用される場合)
🔲 オンプレミス 証明書 AZURE MFA (MFA ソリューションとして使用される場合)

重要

2024 年 9 月 30 日より、Azure Multi-Factor Authentication Server デプロイは MFA 要求をサービスしなくなります。 中断のない認証サービスを確保し、サポートされている状態を維持するには、組織は ユーザーの認証データをクラウドベースの Azure MFA に移行する必要があります。

オペレーティング システムの要件

Windows の要件

サポートされているすべての Windows バージョンは、Windows Hello for Businessで使用できます。 ただし、クラウド Kerberos 信頼には最小バージョンが必要です。

デプロイ モデル 信頼の種類 Windows のバージョン
🔲 クラウド専用 該当なし サポートされているすべてのバージョン
🔲 ハイブリッド Cloud Kerberos - Windows 10 21H2(KB5010415以降)
- Windows 11 21H2(KB5010414 以降)
🔲 ハイブリッド キー サポートされているすべてのバージョン
🔲 ハイブリッド 証明書 サポートされているすべてのバージョン
🔲 オンプレミス キー サポートされているすべてのバージョン
🔲 オンプレミス 証明書 サポートされているすべてのバージョン

Windows Server の要件

Windows Hello for Businessを使用して、サポートされているすべての Windows Server バージョンをドメイン コントローラーとして認証できます。 ただし、クラウド Kerberos 信頼には最小バージョンが必要です。

デプロイ モデル 信頼の種類 ドメイン コントローラー OS のバージョン
🔲 クラウド専用 該当なし サポートされているすべてのバージョン
🔲 ハイブリッド Cloud Kerberos - Windows Server 2016、KB3534307以降
- Windows Server 2019( KB4534321 以降)
- Windows Server 2022
- Windows Server 2025
🔲 ハイブリッド キー サポートされているすべてのバージョン
🔲 ハイブリッド 証明書 サポートされているすべてのバージョン
🔲 オンプレミス キー サポートされているすべてのバージョン
🔲 オンプレミス 証明書 サポートされているすべてのバージョン

最低限必要なドメイン機能レベルとフォレスト機能レベルは、すべての展開モデルで Windows Server 2008 R2 です。

ユーザーを準備する

organizationでWindows Hello for Businessを有効にする準備ができたら、Windows Helloをプロビジョニングして使用する方法を説明して、ユーザーを準備してください。

詳細については、「ユーザーの 準備」を参照してください。

次のステップ

さまざまなデプロイ オプションと要件について説明したので、organizationに最適な実装を選択できます。

デプロイ プロセスの詳細については、次のドロップダウン リストからデプロイ モデルと信頼の種類を選択します。