次の方法で共有


Intuneに登録するときにデバイスでWindows Hello for Businessを構成する

Microsoft Intuneでは、これらのデバイスがIntuneに登録された時点で、Windows 10またはWindows 11デバイスでWindows Hello for Businessの使用を構成するテナント全体のポリシーを作成できます。 このポリシーは、organization全体を対象とし、Windows Autopilot out-of-box-experience (OOBE) をサポートします。

Windows 10/11 デバイスの場合、Windows Hello for Business を使用することは、デバイスで強力な 2 要素認証によるパスワードを使用することに取って代わるものです。 この認証は、デバイスに関連付けられているユーザー資格情報によって構成され、生体認証または PIN を使用します。

デバイス登録後、またはテナント全体の登録ポリシーを使用しないことを選択した場合、Intuneでは、デバイスの個別のグループでWindows Helloを管理するための次の方法がサポートされます。

  • エンドポイント セキュリティ アカウント保護ポリシー: Intuneに登録した後にデバイスのWindows Helloを管理するには、エンドポイント セキュリティ アカウント保護ポリシーの一部である Intune アカウント保護プロファイルを使用します。

  • セキュリティ ベースライン: Windows Helloの一部の設定は、Microsoft Defender for EndpointセキュリティのベースラインやWindows 10以降のセキュリティ ベースラインなど、セキュリティ ベースラインによって管理できます。

  • 設定カタログ: エンドポイント セキュリティアカウント保護プロファイルの設定は、Intune設定カタログで使用できます。

重要

Anniversary Update (Windows バージョン 1607) より前には、リソースの認証に使用できる 2 つの異なる PIN を設定できます。

  • デバイス PIN をデバイスのロック解除とクラウド リソースへの接続に使用できました。
  • 作業 PIN は、ユーザーの個人用デバイス (BYOD) 上Microsoft Entraリソースにアクセスするために使用されました。

Anniversary Update では、これら 2 つの PIN が 1 つのデバイス PIN にまとめられました。 デバイス PIN の制御用に設定済みの Intune の構成ポリシー、さらに構成済みの Windows Hello for Business ポリシーの両方により、この新しい PIN の値が設定されるようになりました。 両方の種類のポリシーを PIN の制御用に設定している場合、Windows Hello for Business ポリシーが適用されます。 ポリシーの競合を解消して PIN ポリシーが適切に適用されるようにするために、構成ポリシーの設定に合わせて Windows Hello for Business ポリシーを更新し、ユーザーに Intune ポータル サイト アプリでデバイスを同期するように伝えてください。

役割ベースのアクセス制御

Windows 登録でWindows Hello for Business ポリシーを作成または編集するには、Intune サービス管理者である必要があります。 その他のすべてのIntuneロールには、読み取り専用アクセス権があります。 ロールベースのアクセス制御 (RBAC) の詳細については、「Microsoft Intuneを使用した RBAC」を参照してください。

デバイス登録のWindows Hello for Business ポリシーを作成する

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス>登録] に移動します。

  3. [Windows] タブの [登録オプション] で、[Windows Hello for Business] を選択します。 [Windows Hello for Business] ウィンドウが開くのを待ちます。

  4. [Windows Hello for Business の構成] を次のオプションから選択します:

    • [有効]。 Windows Hello for Business の設定を構成する場合は、この設定を選択します。 [有効] を選択した場合、Windows Hello のその他の設定が表示され、デバイスに対して構成できます。

    • [無効]。 デバイスの登録中に Windows Hello for Business を有効にしない場合、このオプションを選択します。 無効である場合、ユーザーが Windows Hello for Business をプロビジョニングすることはできません。 [無効] に設定されると、このポリシーで Windows Hello for Business が有効にならない場合でも、Windows Hello for Business に後続の設定を構成できます。

    • [未構成]。 Windows Hello for Business の設定の制御に Intune を使用しない場合は、この設定を選択します。 Windows 10/11 デバイスの既存のWindows Hello for Business設定は変更されません。 ウィンドウ上の他のすべての設定が使用できなくなります。

  5. 前の手順で [有効] を選択した場合は、すべての登録済みの Windows 10/11 デバイスに適用される必須設定を構成します。 これらの設定を構成した後、[保存] を選択します。

    • [Trusted Platform Module (TPM) の使用]:

      TPM チップにより、追加のデータ セキュリティ層が提供されます。 次のいずれかの値を選択します。

      • [必須] (既定)。 アクセス可能な TPM を装備したデバイスのみが Windows Hello for Business をプロビジョニングできます。
      • [優先]。 デバイスは最初に TPM を使用しようとします。 このオプションが使用できない場合、ソフトウェアの暗号化を使用できます。
    • [PIN の長さの最小値][PIN の長さの最大値]:

      サインインをセキュリティで保護するために指定する PIN の最小長と最大長を使用するようにデバイスを構成します。 既定の PIN の長さは 6 文字ですが、最小長を 4 文字にすることができます。 PIN の最大長は 127 文字です。

    • [PIN での小文字の使用][PIN での大文字の使用]、および [PIN での特殊文字の使用]

      大文字、小文字、特殊文字を PIN で使用するように要求することで、PIN をより強力にすることができます。 それぞれに対して、次のいずれかを選択します。

      • 許可: ユーザーは PIN で文字の種類を使用できますが、必須ではありません。

      • 必須: ユーザーは、PIN に少なくとも 1 つの文字型を含める必要があります。 たとえば、一般的なのは、少なくとも 1 つの大文字と 1 つの特殊文字の使用を要求する方法です。

      • 許可されていません (既定値): ユーザーは PIN でこれらの文字型を使用しないでください。 (これは、この設定を構成していない場合の動作でもあります)。

        特殊文字には、 が含まれます。 " # $ % & ' ( ) * + 、 - 。/ : ; < = > ?@ [ \ ] ^ _ ' { | } ~

    • [PIN の有効期間 (日)]:

      その期間が経過したらユーザーが PIN を変更する必要がある有効期間を指定することをお勧めします。 既定は 41 日です。

    • [PIN の履歴を保存]:

      以前に使用した PIN の再利用を制限します。 既定では、直近 5 回の PIN を再利用することはできません。

    • [生体認証を許可する]:

      Windows Hello for Business の PIN の代わりとして、顔認識や指紋などの生体認証を有効にします。 ユーザーは、生体認証に失敗した場合のために、職場の PIN も設定する必要があります。 次から選択します。

      • はい。 Windows Hello for Business で生体認証が使用可能になります。
      • いいえ。 Windows Hello for Business で生体認証を利用できません (すべてのアカウントの種類が対象)。
    • [使用可能な場合は、高度なスプーフィング対策を使用する]:

      サポートされるデバイス上で Windows Hello のスプーフィング対策機能を使用するかどうかを構成します。 たとえば、実際の顔ではなく顔の写真を検出します。

      [はい] に設定されていると、Windows のすべてのユーザーは、顔認証のためのスプーフィング対策 (サポートされている場合) を使用する必要があります。

    • [電話によるサインインの許可]:

      このオプションが [はい] に設定されている場合、ユーザーはデスクトップ コンピューターの認証にポータブル コンパニオン デバイスとして機能するリモートのパスポートを使用することができます。 デスクトップ コンピューターはMicrosoft Entra参加している必要があり、コンパニオン デバイスは Windows Hello for Business PIN で構成する必要があります。

    • 拡張サインイン セキュリティを有効にする:

      対応するハードウェアWindows Helloデバイスで拡張サインイン セキュリティを構成します。 次のようなオプションがあります。

      • 拡張サインイン セキュリティは、対応するハードウェアを備えたシステムで有効になります (既定値): デバイス ユーザーは外部周辺機器を使用して、Windows Helloを使用してデバイスにサインインできません。
      • 拡張サインイン セキュリティはすべてのシステムで無効になります。デバイス ユーザーは、Windows Helloと互換性のある外部周辺機器を使用してデバイスにサインインできます。
    • [サインインのセキュリティ キーを使用]:

      [有効] に設定すると、この設定は、顧客のorganization内のすべてのコンピューターに対して、リモートで Windows Hello セキュリティ キーをオン/オフにする容量を提供します。

Windows Holographic for Business のサポート

Windows Holographic for Business では、Windows Hello for Business の以下の設定がサポートされます。

  • Trusted Platform Module (TPM) の使用
  • [PIN の最小の長さ]
  • PIN の最大長
  • PIN での小文字
  • PIN での大文字
  • PIN での特殊文字
  • PIN の有効期間 (日)
  • PIN の履歴を保存

次の手順

Windows Helloの詳細については、Windows ドキュメントの次の件名を参照してください。