Windows Hello for Business に関する一般的な質問

Windows Hello は、Windows で提供される生体認証フレームワークを表します。 Windows Hello では、ユーザーが生体認証を使用して自分を正常に識別したときに、ユーザー名とパスワードを安全に保存し、認証のために解放することで、生体認証を使用してデバイスにサインインできます。 Windows Hello for Business の場合は、認証にユーザー ジェスチャ (暗証番号 (PIN) または生体認証) を必要とするデバイスのセキュリティ モジュールによって保護される非対称キーを使います。

3 つの主な理由:

1. PIN はデバイスに関連付けられています。オンライン パスワードと Hello PIN の 1 つの重要な違いは、PIN が設定されている特定のデバイスに関連付けられている点です。 その PIN は、その特定のハードウェアを持っていない人には役に立ちません。 オンライン パスワードを取得したユーザーはどこからでもアカウントにサインインできますが、PIN を取得した場合は、デバイスにもアクセスする必要があります。 PIN は、その特定のデバイス以外では使用できません。 複数のデバイスでサインインする場合は、各デバイスで Hello を設定する必要があります
2. PIN はデバイスに対してローカルです。オンライン パスワードがサーバーに送信されます。 パスワードは転送中に傍受することも、サーバーから取得することもできます。 PIN はデバイスに対してローカルであり、どこにも送信されないため、サーバーには格納されません。 PIN の作成時には、ID プロバイダーとの信頼関係が確立され、認証に使われる非対称キー ペアが作成されます。 PIN を入力すると、認証キーのロックを解除します。認証キーは、認証サーバーに送信される要求の署名に使用されます。 Windows Hello for Business では、PIN は、トラステッド プラットフォーム モジュール (TPM) で秘密キーを読み込む際に使用されるユーザー指定のエントロピです。 サーバーに PIN のコピーがありません。 その場合、Windows クライアントには現在の PIN のコピーもありません。 秘密キーに正常にアクセスするには、エントロピ、TPM で保護されたキー、そのキーを生成した TPM を指定する必要があります
3. PIN はハードウェアによってサポートされます。Hello PIN は、暗号化操作を実行するように設計されたセキュリティで保護された暗号化プロセッサであるトラステッド プラットフォーム モジュール (TPM) チップによってサポートされます。 このチップには、改ざんに強い複数の物理セキュリティ メカニズムが搭載されており、悪意のあるソフトウェアが TPM のセキュリティ機能を破ることはできません。 Windows はローカル パスワードを TPM にリンクしないため、PIN はローカル パスワードよりも安全と見なされます。 ユーザー キー マテリアルが生成され、デバイスの TPM 内で使用できます。 TPM は、キー マテリアルをキャプチャして再利用する攻撃者から保護します。 Hello では非対称キー ペアが使用されるため、ユーザーのアクセスが侵害された ID プロバイダーまたは Web サイトの場合、ユーザーの資格情報を盗むことはありません。 TPM は、PIN ブルート フォース攻撃など、さまざまな既知および潜在的な攻撃から保護します。 誤った推測が多すぎると、デバイスがロックされます

ステートメント PIN がパスワードよりも強い 場合は、PIN によって使用されるエントロピの強度に指示されません。 エントロピの提供と対称キー (パスワード) の使用の継続の違いについて説明します。 TPM には、ブルート フォース PIN 攻撃 (PIN のすべての組み合わせを試行する攻撃者の継続的な試行) を阻止するハンマー対策機能があります。 一部の組織では、肩サーフィンを心配する可能性があります。 これらの組織では、PIN の複雑さを増やすのではなく、 多要素ロック解除 機能を実装します。

TPM が保護する Windows Hello 資格情報を侵害するには、攻撃者が物理デバイスにアクセスできる必要があります。 その後、攻撃者はユーザーの生体認証を偽装したり、PIN を推測したりする方法を見つける必要があります。 TPM のハンマリング防止保護によってデバイスがロックされる前に、これらすべてのアクションを実行する必要があります。

Windows Hello を使用すると、指紋、虹彩、または顔認識による生体認証サインインが可能になります。 Windows Hello を設定すると、生体認証のセットアップ後に PIN を作成するように求められます。 PIN を使用すると、怪我のため、またはセンサーが使用できない、または正常に動作していないために、優先生体認証を使用できない場合にサインインできます。 生体認証サインインのみが構成されていて、何らかの理由でその方法を使用してサインインできなかった場合は、アカウントとパスワードを使用してサインインする必要があります。これにより、Hello と同じレベルの保護が提供されません。

キー マテリアルが生成されるたびに、攻撃から保護する必要があります。 これを実現する最も堅牢な方法は、ハードウェアをカスタマイズすることです。 ハードウェア セキュリティ モジュール (HSM) を使用して、セキュリティクリティカルなアプリケーションのキーを生成、格納、および処理する長い歴史があります。 スマート カードは特別な種類の HSM で、Trusted Computing Group TPM 標準に準拠しているデバイスでもあります。 可能な限り、Windows Hello for Business の実装では、TPM ハードウェアのオンボードを利用してキーを生成および保護します。 管理者は、ソフトウェアでのキー操作を許可することもできますが、TPM ハードウェアの使用をお勧めします。 TPM は、PIN のブルート フォース攻撃など、さまざまな既知の潜在的な攻撃を防げます。 アカウント ロックアウト後も、TPM はさらなる保護を追加します。 TPM でキー マテリアルがロックされている場合、ユーザーは PIN をリセットする必要があります (つまり、IdP で再登録が許可される前に、ユーザーは MFA を使用して IdP に再認証する必要があります)。 PIN をリセットすると、古いキー マテリアルで暗号化されたすべてのキーと証明書は削除されます。

Windows Hello for Business では、チケット システムを使用して PIN キャッシュ ユーザー エクスペリエンスを提供します。 プロセスは、PIN をキャッシュするのではなく、秘密キーの操作を要求するために使用できるチケットをキャッシュします。 Microsoft Entra ID と Active Directory サインイン キーはロックの下にキャッシュされます。 つまり、ユーザーが対話形式でサインインしている限り、キーはプロンプトなしで使用できます。 Microsoft アカウントサインイン キーはトランザクション キーです。つまり、キーにアクセスするときにユーザーに常にメッセージが表示されます。

スマート カード (既定で有効になっているスマート カード エミュレーション) として使用される Windows Hello for Business では、既定のスマート カード PIN キャッシュと同じユーザー エクスペリエンスが提供されます。 秘密キー操作を要求する各プロセスでは、初回使用時に PIN の入力を求められます。 それ以降の秘密キー操作では、ユーザーに PIN の入力を求められません。

Windows Hello for Business のスマート カード エミュレーション機能は、PIN を確認し、チケットと交換で PIN を破棄します。 プロセスは PIN を受け取るのではなく、秘密キー操作を許可するチケットを受け取ります。 キャッシュを調整するポリシー設定はありません。

Windows Hello に登録すると、登録プロファイルと呼ばれる生体認証の表現が作成されます。 登録プロファイルの生体認証データはデバイス固有であり、デバイスにローカルに保存され、デバイスから離れたり、ユーザーとローミングしたりすることはありません。 一部の外部指紋センサーは、Windows デバイスではなく指紋モジュール自体に生体認証データを格納します。 この場合でも、生体認証データは、これらのモジュールにローカルに格納され、デバイス固有であり、ローミングせず、モジュールから離れることはなく、Microsoft クラウドまたは外部サーバーに送信されることはありません。 詳細については、「 エンタープライズでの Windows Hello 生体認証 」と「 Windows Hello 顔認証」を参照してください。

Windows Hello 生体認証データは、暗号化されたテンプレート データベースとしてデバイスに格納されます。 生体認証センサー (顔カメラや指紋リーダーなど) のデータは、デバイスに格納される前に暗号化されたデータ表現 (グラフ) を作成します。 Windows Hello (顔または指紋) によって使用されるデバイス上の各生体認証センサーには、テンプレート データが格納されている独自の生体認証データベース ファイルがあります。 各生体認証データベース ファイルは、SHA256 ハッシュを生成する AES 暗号化を使用してシステムに暗号化される、一意のランダムに生成されたキーで暗号化されます。

Windows Hello 生体認証データは暗号化された形式で格納されるため、ユーザーや Windows Hello 以外のプロセスはアクセスできなくなります。

Windows Hello 生体認証テンプレート データベース ファイルは、ユーザーが Windows Hello 生体認証ベースの認証に登録されている場合にのみ、デバイス上に作成されます。 IT 管理者はポリシー設定を構成できますが、生体認証または PIN を使用する場合は、常にユーザーが選択できます。 ユーザーは、デバイスのサインイン オプションに移動して、現在の Windows Hello 生体認証への登録を確認できます。 [ スタート] > [設定] > [アカウント] > [サインイン オプション] に 移動します。 Windows Hello のサインイン オプションが表示されない場合は、デバイスで使用できないか、ポリシーを使用して管理者によってブロックされている可能性があります。 管理者は、Autopilot 中またはデバイスの初期セットアップ中に、ユーザーに Windows Hello への登録を要求できます。 管理者は、Windows Hello for Business ポリシー構成を使用して、ユーザーが生体認証に登録できないようにすることができます。 ただし、ポリシー構成を使用して許可されている場合、Windows Hello 生体認証への登録は常にユーザーに対して省略可能です。

Windows Hello と関連付けられている生体認証識別データをデバイスから削除するには、[ スタート] > [設定] > [アカウント] > [サインイン オプション] を開きます。 削除する Windows Hello 生体認証方法を選択し、[削除] を選択 します。 このアクションは、Windows Hello 生体認証から登録を解除し、関連付けられている生体認証テンプレート データベース ファイルを削除します。 詳細については、「 Windows サインイン オプションとアカウント保護 (microsoft.com)」を参照してください。

Configuration Manager バージョン 2203 以降では、Configuration Manager を使用した Windows Hello for Business の展開はサポートされなくなりました。

コマンド certutil.exe -deleteHelloContainerを実行して、Windows Hello for Business コンテナーを削除できます。

ユーザーがパスワードでサインインできる場合は、設定アプリの [ PIN を忘れた 場合] リンクを選択するか、ロック画面から PIN 資格情報プロバイダーの [ PIN を忘れた 場合] リンクを選択することで、PIN をリセットできます。

オンプレミス展開の場合、PIN をリセットするには、デバイスをオンプレミス ネットワーク (ドメイン コントローラーまたは証明機関) に接続する必要があります。 ハイブリッド展開では、Microsoft Entra テナントをオンボードして 、Windows Hello for Business PIN リセット サービス を使用して PIN をリセットできます。 非破壊的な PIN リセットは、企業ネットワークにアクセスすることなく機能します。 破壊的な PIN リセットには、企業ネットワークへのアクセスが必要です。 破壊的な PIN リセットと非破壊的 PIN リセットの詳細については、「 PIN リセット」を参照してください。

はい、できます。 単純な PIN のアルゴリズムでは、ある数字から別の数字に一定の差分で変化する PIN は検出され、許可されません。 このアルゴリズムは、次の桁に到達するために必要なステップ数をカウントし、10 ('ゼロ') でオーバーフローします。 以下に例を示します。

• PIN 1111 のデルタは定数 (0,0,0) であるため、許可されません
• PIN 1234 には定数デルタ (1,1,1) があるため、許可されません
• PIN 1357 の定数デルタは (2,2,2)であるため、許可されません
• PIN 9630 の定数デルタは (7,7,7)であるため、許可されません
• PIN 1593 の定数デルタは (4,4,4)であるため、許可されません
• PIN 7036 の定数デルタは (3,3,3)であるため、許可されません
• PIN 1231 には定数デルタ (1,1,2) がないため、許可されます
• PIN 1872 には定数デルタ (7,9,5) がないため、許可されます

このチェックにより、繰り返し番号、連続する数値、単純なパターンが防止されます。 常に 100 個の許可されていない PIN の一覧が表示されます (PIN の長さに関係なく)。 このアルゴリズムは英数字 PIN には適用されません。

Microsoft が正常に動作し続け、不正行為の検出と防止を支援し、Windows Hello の改善を続けるために、ユーザーが Windows Hello を使用する方法に関する診断データが収集されます。 次に、例を示します。

• ユーザーが顔、虹彩、指紋、または PIN でサインインするかどうかに関するデータ
• ユーザーが使用する回数
• それが機能するかどうかすべてこれは、Microsoft がより良い製品を構築するのに役立つ貴重な情報です。 データは仮名化され、生体情報は含まれません。Microsoft に送信される前に暗号化されます。 診断データの Microsoft への送信はいつでも停止できます。 Windows の診断データの詳細については、こちらをご覧ください。

いいえ、そうではありません。 パスワードからの移行は、パスワードの使用を徐々に少なくすることによって実現されます。 生体認証を使用して認証できない状況では、パスワードではないフォールバック メカニズムが必要です。 PIN はフォールバック メカニズムです。 PIN 資格情報プロバイダーを無効または非表示にすると、生体認証の使用が無効になります。

承認されていないユーザーは生体認証オプションを利用できず、PIN を入力する唯一のオプションがあります。

ユーザーがランダム PIN を入力してデバイスのロックを解除しようとすると、3 回失敗した後、資格情報プロバイダーに次のメッセージが表示されます。 間違った PIN を複数回入力しました。もう一度やり直すには、下の「A1B2C3」と入力します。 チャレンジ フレーズ A1B2C3 を入力すると、ユーザーには PIN を入力する機会がもう 1 つ付与されます。 失敗した場合、プロバイダーは無効になり、ユーザーはデバイスを再起動するための唯一のオプションを残します。 再起動後、前述のパターンが繰り返されます。

試行が失敗した場合、デバイスはロックアウト状態になり、最初の再起動後 1 分、4 回目の再起動後 2 分、5 回目の再起動から 10 分後に続きます。 各ロックアウトの期間は、それに応じて増加します。 この動作は、TPM 2.0 のハンマリング防止機能の結果です。 TPM のハンマリング防止機能の詳細については、「 TPM 2.0 のハンマリング防止」を参照してください。

はい、できます。 オンプレミスの Windows Hello for Business 展開を使用し、インターネット接続を必要としない Microsoft 以外の MFA プロバイダーと組み合わせて、Windows Hello for Business の展開を実現できます。

1 つのデバイスでサポートされている登録の最大数は 10 です。 これにより、10 人のユーザーがそれぞれ顔と最大 10 個の指紋を登録できます。 ユーザーが 10 人を超えるデバイスの場合、または多数のデバイス (サポート技術者など) にサインインするユーザーの場合は、FIDO2 セキュリティ キーの使用をお勧めします。

いいえ、そうではありません。 組織で Microsoft クラウド サービスを使用している場合は、ハイブリッド デプロイ モデルを使用する必要があります。 オンプレミスのデプロイは、クラウドに移行する前に時間を必要とし、Active Directory のみを使用する組織に限定されます。

シナリオに基づいて 同期する属性の一覧については、「Microsoft Entra Connect Sync: Microsoft Entra ID に同期される 属性」を参照してください。 Windows Hello for Business を含む基本シナリオは、 Windows 10 シナリオと デバイス ライトバック シナリオです。 環境には、他の属性が含まれている場合があります。

はい。フェデレーション ハイブリッド展開を使用している場合は、AD FS MFA アダプターを提供する Microsoft 以外の任意のアダプターを使用できます。 Microsoft 以外の MFA アダプターの一覧については、 こちらを参照してください。

Windows Hello for Business は、プロビジョニング エクスペリエンス中に使用されるプロトコルをサポートする Microsoft 以外のフェデレーション サーバーと連携します。

Windows Hello for Business は、ローカル アカウントで動作するようには設計されていません。

詳細については、「 Windows Hello 生体認証の要件 」を参照してください。

同様のマスクを装着している他のユーザーがデバイスのロックを解除できる可能性があるため、登録するマスクを着用することはセキュリティ上の問題です。 Windows Hello 顔認証を使用して登録またはロック解除するときにマスクを装着している場合は、マスクを削除します。 作業環境でマスクを一時的に削除できない場合は、顔認証からの登録を解除し、PIN または指紋のみを使用することを検討してください。

この機能がポリシーによって有効になっている場合は、Microsoft Entra 登録済みデバイスに Windows Hello for Business キーを設定するように求められます。 ユーザーが既存の Windows Hello コンテナーを持っている場合、Windows Hello for Business キーはそのコンテナーに登録され、既存のジェスチャを使用して保護されます。

ユーザーが Windows Hello を使用して Microsoft Entra 登録済みデバイスにサインインした場合、Microsoft Entra リソースを使用しようとすると、Windows Hello for Business キーを使用してユーザーの仕事用 ID が認証されます。 Windows Hello for Business キーは、Microsoft Entra 多要素認証 (MFA) の要件を満たし、リソースにアクセスするときにユーザーに表示される MFA プロンプトの数を減らします。

Microsoft Entra は、ドメインに参加しているデバイスを登録できます。 ドメインに参加しているデバイスに便利な PIN がある場合、便利な PIN でサインインしても機能しなくなります。 この構成は、Windows Hello for Business ではサポートされていません。

詳細については、「 Microsoft Entra 登録済みデバイス」を参照してください。

Windows Hello for Business は、Windows プラットフォームの機能です。

いいえ。Microsoft Entra Domain Services は Azure の個別に管理された環境であり、クラウド Microsoft Entra ID を使用したハイブリッド デバイスの登録は、Microsoft Entra Connect を介して利用できません。 そのため、Windows Hello for Business は Microsoft Entra Domain Services では機能しません。

Windows Hello for Business は、自分が 持っているもの、 知っていること、および自分の 一部であるという、観察された認証要素に基づく 2 要素認証です。 Windows Hello for Business は、これらの認証要素のうち、ユーザーが所有しているもの (デバイスのセキュリティ モジュールによって保護されるユーザーの秘密キー) とユーザーが知っていること (ユーザーの PIN) の 2 つを実装しています。 適切なハードウェアがあれば、生体認証を導入して、ユーザー エクスペリエンスを向上できます。 生体認証を使用すると、"知っているもの" の認証要素を "自分の一部である" 要素に置き換えることができます。ユーザーが "既知の要素" にフォールバックできることを保証します。

どちらの種類の認証も同じセキュリティを提供します。1 つは他のものよりも安全ではありません。 デプロイの信頼モデルによって、Active Directory に対する認証方法が決まります。 キー信頼と証明書信頼の両方で、同じハードウェアでサポートされた 2 要素資格情報が使用されます。 2 つの信頼の種類の違いは、エンド エンティティ証明書の発行です。

• キー信頼モデルは、生のキーを使用して Active Directory に対して認証します。 キー信頼にはエンタープライズ発行の証明書は必要ないため、ユーザーに証明書を発行する必要はありません (ドメイン コントローラー証明書は引き続き必要です)
• 証明書信頼モデルは、証明書を使用して Active Directory に対して認証します。 そのため、ユーザーに証明書を発行する必要があります。 証明書信頼で使用される証明書は、TPM で保護された秘密キーを使用して、企業の発行元 CA に証明書を要求します

便利な PIN を使用すると、パスワードよりも簡単に Windows にサインインできますが、認証にはパスワードが引き続き使用されます。 適切な利便性 PIN が Windows に提供されると、パスワード情報がキャッシュから読み込まれ、ユーザーが認証されます。 便利な PIN を使用している組織は 、Windows Hello for Business に移行する必要があります。 新しい Windows 展開では、利便性の高い PIN ではなく、Windows Hello for Business を展開する必要があります。

いいえ、そうではありません。 Microsoft Entra 参加済みデバイスと Microsoft Entra ハイブリッド参加済みデバイスに便利な PIN を設定することは可能ですが、Microsoft Entra ユーザー アカウント (同期 ID を含む) では便利な PIN はサポートされていません。 利便性 PIN は、オンプレミスの Active Directory ユーザーとローカル アカウント ユーザーに対してのみサポートされます。

Windows Hello for Business は、Windows の最新の 2 要素認証です。 仮想スマート カードを使用しているお客様は、Windows Hello for Business に移行することを強くお勧めします。

必要な URL の一覧については、「 Microsoft 365 Common and Office Online」を参照してください。

環境で Microsoft Intune を使用している場合は、「 Microsoft Intune のネットワーク エンドポイント」を参照してください。

はい。デバイスに内部 Windows Hello カメラがある場合は、外部の Windows Hello 互換カメラを使用できます。 両方のカメラが存在する場合、外部カメラは顔認証に使用されます。 詳細については、「Windows 10 バージョン 21H1 をサポートする IT ツール」を参照してください。 ESS が有効になっている場合は、「 Windows Hello 拡張サインイン セキュリティ」を参照してください。

閉じたキーボードを備えたノート PC やタブレットの中には、コンピューターが蓋を閉じてドッキングされている場合、外部の Windows Hello 対応カメラや他の Windows Hello 互換アクセサリを使用しない場合があります。 この問題は、Windows 11 バージョン 22H2 で解決されています。

Windows Hello for Business 資格情報は、プライベート ブラウザー モードまたはシークレット モードでは使用できないデバイスの状態にアクセスする必要があります。 そのため、プライベート ブラウザーまたはシークレット モードでは使用できません。

多要素ロック解除を使用して、ユーザーがデバイスのロックを解除するための追加の要素を提供することを要求できます。 認証は 2 要素のままですが、Windows でユーザーがデスクトップに到達するまでに、もう 1 つの要素が必要です。 詳細については、「 多要素ロック解除」を参照してください。

Windows Hello for Business クラウド Kerberos 信頼は、Microsoft Entra ハイブリッド参加済みデバイスでのセキュリティ キー サインインと Microsoft Entra 参加済みデバイスでのオンプレミス リソース アクセスをサポートするために導入されたインフラストラクチャを使用して、Windows Hello for Business の展開を可能にする信頼モデルです。 証明書認証シナリオをサポートする必要がない場合は、Cloud Kerberos 信頼が推奨されるデプロイ モデルです。 詳細については、「 Cloud Kerberos trust deployment」を参照してください。

この機能は、純粋なオンプレミス AD ドメイン サービス環境では機能しません。

Windows Hello for Business クラウド Kerberos 信頼は、部分的な TGT を交換する書き込み可能な DC を探します。 サイトごとに少なくとも 1 つの書き込み可能な DC がある限り、クラウド Kerberos 信頼を使用したログインは機能します。

Windows Hello for Business クラウド Kerberos の信頼には、次の場合にドメイン コントローラーへの視線が必要です。

• ユーザーが初めてサインインするか、プロビジョニング後に Windows Hello for Business でロックを解除する
• Active Directory によってセキュリティ保護されたオンプレミス リソースにアクセスしようとしています

Windows Hello for Business クラウド Kerberos 信頼は、RDP/VDI で指定された資格情報として使用できません。 キー信頼と同様に、この目的で 証明書が Windows Hello for Business に登録されている場合は 、クラウド Kerberos 信頼を RDP に使用できます。 別の方法として、証明書を展開する必要のない リモート資格情報ガード の使用を検討してください。

いいえ。すべてのクラウド Kerberos 信頼デバイスからの負荷を処理するために必要な数だけです。

ハイブリッド展開では、ユーザーの公開キーを使用してドメイン コントローラーに対する認証を行う前に、ユーザーの公開キーを Microsoft Entra ID から Active Directory に同期する必要があります。 この同期は Microsoft Entra Connect によって処理され、通常の同期サイクル中に発生します。

リモート デスクトップ プロトコル (RDP) では、指定された資格情報としてのキーベースの認証の使用はサポートされていません。 ただし、キー信頼モデルに証明書をデプロイして RDP を有効にすることはできます。 詳細については、「 キー信頼ユーザーに証明書を展開して RDP を有効にする」を参照してください。 別の方法として、証明書を展開する必要のない リモート資格情報ガード の使用を検討してください。