デュアル登録

  • [アーティクル]
  • 適用対象:
    Windows 11, ✅ Windows 10

この記事では、次に該当する Windows Hello for Business の機能またはシナリオについて説明します。

重要

デュアル登録では、Privileged Access Workstations 機能と同じセキュリティが置き換えられるか、提供されません。 Microsoft は、特権アクセス ワークステーションを特権資格情報ユーザーに使用することを組織に推奨します。 組織は、特権アクセス機能を使用できない状況で、Windows Hello for Business のデュアル登録を検討できます。 詳細については、「 Privileged Access Workstations」を参照してください。

デュアル登録を使用すると、管理者は特権のない資格情報と特権を持つ資格情報の両方をデバイスに登録することで、管理者特権の管理機能を実行できます。

設計上、Windows はユーザーのセッション内からすべての Windows Hello for Business ユーザーを列挙するわけではありません。 グループ ポリシー設定 [ すべてのユーザーのエミュレートされたスマート カードの列挙を許可する] を使用して、選択したデバイスで登録済みのすべての Windows Hello for Business 資格情報を列挙するようにデバイスを構成できます。

この設定を使用すると、管理者ユーザーは、メールなどの通常のワークフロー用の特権のない Windows Hello 資格情報を使用して Windows にサインインできますが、[ 別のユーザーとして実行 ] または [ 管理者として実行] を選択し、特権ユーザー アカウントを選択し、PIN を指定することで、Microsoft 管理コンソール (MMC)、リモート デスクトップ サービス クライアント、およびその他のアプリケーションを起動できます。 管理者は、 runas.exe/smartcard 引数と組み合わせて使用することで、コマンド ライン アプリケーションでこの機能を利用することもできます。 これにより、管理者は、サインインやサインアウトを必要とせずに日常的な操作を実行したり、特権ワークロードと非特権ワークロードを交互に切り替えるときに高速なユーザー切り替えを使用したりできます。

重要

ユーザー (特権または非特権) によって Windows Hello for Business がプロビジョニングされる前に、Windows Hello for Business の Windows コンピューターをデュアル登録用に構成する必要があります。 デュアル登録は、作成時に Windows Hello コンテナーで構成される特別な設定です。

Windows Hello for Business のデュアル登録を構成する

デュアル登録を有効にする手順を次に示します。

  • ドメイン管理者の登録をサポートするように Active Directory を構成する
  • グループ ポリシーを使用してデュアル登録を構成する

ドメイン管理者の登録をサポートするように Active Directory を構成する

設計された Windows Hello for Business 構成は、 Key Admins グループに msDS-KeyCredentialsLink 属性に対する読み取りおよび書き込みアクセス許可を付与します。 ドメインのルートでこれらのアクセス許可を指定し、オブジェクトの継承を使用して、ドメイン階層内の場所に関係なく、ドメイン内のすべてのユーザーにアクセス許可が確実に適用されるようにしました。

Active Directory Domain Services では、 AdminSDHolder を使用して、特権ユーザーとグループのセキュリティを比較し、1 時間単位のサイクルで AdminSDHolder オブジェクトで定義されているものと一致するように、特権ユーザーとグループのセキュリティを比較して置き換えることで、意図しない変更から保護します。 Windows Hello for Business の場合、ドメイン管理者アカウントはアクセス許可を受け取る可能性がありますが、 AdminSDHolder の読み取りおよび書き込みアクセス許可を msDS-KeyCredential 属性に付与しない限り、ユーザー オブジェクトから消えます。

ドメイン管理者と同等のアクセス権を持つ ドメイン コントローラーまたは管理ワークステーションにサインインします。

  1. 次のコマンドを入力して、AdminSDHolder オブジェクトのKey Admins グループの msDS-KeyCredentialLink 属性の読み取りおよび書き込み許可プロパティのアクセス許可を追加します。

    dsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink

    DC=domain,DC=comは Active Directory ドメインの LDAP パスであり、domainName\keyAdminGroupはドメインの NetBIOS 名と、デプロイに基づいてキーへのアクセスを許可するために使用するグループの名前です。 次に、例を示します。

    dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink

  2. セキュリティ記述子の伝達をトリガーするには、 ldp.exe

  3. [ 接続] を選択し、[ 接続]を選択します。 [ サーバー] の横に、ドメインの PDC ロールを保持するドメイン コントローラーの名前を入力します。 [ポート] の横に「389」と入力し、[OK] を選択します

  4. [ 接続] を選択し、[ バインド]を選択します。 [ OK] を 選択して、現在サインインしているユーザーとしてバインドします

  5. [ ブラウザー ] を選択し、[変更] を選択 します[DN] テキスト ボックスは空白のままにします。 [属性] の横に「RunProtectAdminGroupsTask」と入力します。 [ 値] の横に「 1」と入力します。 [Enter] を選択して、エントリ リストに追加します

  6. [ 実行] を 選択してタスクを開始します

  7. LDP を閉じる

グループ ポリシーを使用してデュアル登録を構成する

グループ ポリシー オブジェクトのコンピューター構成部分を使用して、デュアル登録をサポートするように Windows を構成します。

  1. グループ ポリシー管理コンソール (GPMC) を使用して、新しいドメイン ベースのグループ ポリシー オブジェクトを作成し、特権ユーザーが使用する Active Directory コンピューター オブジェクトを含む組織単位にリンクします
  2. 手順 1 からグループ ポリシー オブジェクトを編集する
  3. [コンピューターの構成] [管理用テンプレート] -> [Windows コンポーネント] ->> [Windows Hello for Business] の下にある [すべてのユーザーに対してエミュレートされたスマート カードの列挙を許可する] ポリシー設定を有効にする
  4. グループ ポリシー管理エディターを閉じて、グループ ポリシー オブジェクトを保存します。 GPMC を閉じる
  5. このグループ ポリシー オブジェクトの対象となるコンピューターを再起動する

コンピューターはデュアル登録の準備ができています。 まず特権ユーザーとしてサインインし、Windows Hello for Business に登録します。 完了したら、サインアウトして特権のないユーザーとしてサインインし、Windows Hello for Business に登録します。 パスワードを使用せずに、ユーザーを切り替えることなく、特権資格情報を使用して特権タスクを実行できるようになりました。