次の方法で共有


PassportForWork CSP

Windows Insider のロゴ。

重要

この CSP には、開発中であり、Windows Insider Preview ビルド にのみ適用される一部の設定が含まれています。 これらの設定は変更する可能性があり、プレビューで他の機能やサービスに依存する場合があります。

PassportForWork 構成サービス プロバイダーは、Windows Hello for Business (旧称 Microsoft Passport for Work) をプロビジョニングするために使用されます。 これにより、Active Directory または Microsoft Entra アカウントを使用して Windows にログインし、パスワード、スマートカード、仮想スマート カードを置き換えることができます。

重要

Windows 10以降、バージョン 1607 のすべてのデバイスには、Windows Hello for Businessに関連付けられている PIN が 1 つだけです。 つまり、デバイス上の任意の PIN は、PassportForWork CSP で指定されているポリシーの対象になることを意味します。 指定されている値は、Exchange ActiveSync や DeviceLock CSP で設定されているどのような複雑さの規則よりも優先されます。

次の一覧は、PassportForWork 構成サービス プロバイダー ノードを示しています。

Device/{TenantId}

適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}

このポリシーでは、プロビジョニングと管理の一部として使用される、中かっこ{ }を使用せずにグローバル一意識別子 (GUID) の形式でテナント ID を指定Windows Hello for Business。

GUID を取得するには、PowerShell コマンドレット Get-AzureAccount を使用します。 詳細については、「Windows PowerShellで Windows Azure Active Directory テナント ID を取得する」を参照してください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 node
アクセスの種類 追加、削除、取得
動的ノードの名前付け UniqueName: プロビジョニングと管理の一部として使用される、中かっこ ( { 、 } ) を含まないグローバル一意識別子 (GUID) Windows Hello for Business。 GUID を取得するには、PowerShell コマンドレット Get-AzureAccount を使用します。 詳細については、「 https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell」を参照してください。

Device/{TenantId}/Policies

適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies

ポリシーのルート ノード。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 node
アクセスの種類 追加、削除、取得

Device/{TenantId}/Policies/DisablePostLogonProvisioning

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.2402] 以降
✅Windows 10バージョン 2004 [10.0.19041.4239] 以降
✅Windows 11、バージョン 21H2 と KB5036894 [10.0.22000.2899] 以降
✅Windows 11、バージョン 22H2 とKB5035942 [10.0.22621.3374] 以降
✅Windows Insider Preview
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonProvisioning

サインイン後Windows Helloプロビジョニングを開始しないでください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 bool
アクセスの種類 追加、削除、取得、置換
既定値 False

指定可能な値

説明
false (既定値) プロビジョニングが有効です。
true プロビジョニングが無効です。

Device/{TenantId}/Policies/EnablePinRecovery

適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1703 [10.0.15063] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery

ユーザーが PIN を忘れた場合は、Windows Hello for Business PIN 回復サービスを使用して新しい PIN に変更できます。 このクラウド サービスは、クライアントにローカルに格納されているが、クラウド サービスによってのみ復号化できる回復シークレットを暗号化します。

  • このポリシー設定を有効にすると、PIN 回復シークレットがデバイスに保存され、PIN が忘れられた場合に備えてユーザーは新しい PIN に変更できます。

  • このポリシー設定を無効にした場合、または構成しなかった場合、PIN 回復シークレットは作成または格納されません。 ユーザーの PIN が忘れられた場合、新しい PIN を取得する唯一の方法は、既存の PIN を削除し、新しい PIN を作成することです。これにより、ユーザーは古い PIN から提供されたアクセス権を持つサービスに再登録する必要があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 bool
アクセスの種類 追加、削除、取得、置換
既定値 False

指定可能な値

説明
false (既定値) 無効。
true 有効。

Device/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11バージョン 22H2 [10.0.22621] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys

ユーザーが FIDO2 セキュリティ キーを使用してデバイスにサインインした場合は、Windows Helloプロビジョニングを有効にします。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 bool
アクセスの種類 追加、削除、取得、置換
既定値 False

指定可能な値

説明
false (既定値) 無効。
true 有効。

Device/{TenantId}/Policies/ExcludeSecurityDevices

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1703 [10.0.15063] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices

除外されたセキュリティ デバイスのルート ノード。

Windows Holographic とWindows Holographic for Businessではサポートされていません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 node
アクセスの種類 追加、削除、取得
Device/{TenantId}/Policies/ExcludeSecurityDevices/TPM12
適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1703 [10.0.15063] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/TPM12

一部のトラステッド プラットフォーム モジュール (TPM) は、トラステッド コンピューティング グループ (TCG) によって定義された TPM 仕様の以前の 1.2 リビジョンにのみ準拠しています。

  • このポリシー設定を有効にすると、TPM リビジョン 1.2 モジュールがWindows Hello for Businessで使用できなくなります。

  • このポリシー設定を無効にした場合、または構成しなかった場合、TPM リビジョン 1.2 モジュールはWindows Hello for Businessで使用できます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 bool
アクセスの種類 追加、削除、取得、置換
既定値 False

指定可能な値

説明
false (既定値) 無効。
true 有効。

Device/{TenantId}/Policies/PINComplexity

適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity

PIN ポリシーのルート ノード。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 node
アクセスの種類 追加、削除、取得
Device/{TenantId}/Policies/PINComplexity/Digits
適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits

このポリシー設定を使用して、Windows Hello for Business PIN で数字の使用を構成します。

値 1 は "必須" に対応します。 このポリシー設定を 1 に構成した場合、Windows Hello for Businessユーザーは PIN に少なくとも 1 桁を含める必要があります。

値 2 は "許可しない" に対応します。 このポリシー設定を 2 に構成すると、Windows Hello for Businessユーザーが PIN で数字を使用できなくなります。

このポリシー設定を構成しない場合、Windows Hello for Businessユーザーは PIN で数字を使用する必要があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) PIN での数字の使用を許可します。
1 PIN で少なくとも 1 桁の数字を使用する必要があります。
2 PIN で数字を使用することはできません。
Device/{TenantId}/Policies/PINComplexity/Expiration
適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration

このポリシーは、PIN の有効期限 (日数) を指定します。 有効な値は 0 ~ 730 です。 このポリシーが 0 に設定されている場合、PIN は期限切れになりません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-730]
既定値 0
Device/{TenantId}/Policies/PINComplexity/History
適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History

このポリシーでは、使用できない履歴に格納できる過去の PIN の数を指定します。 有効な値は 0 ~ 50 です。 このポリシーが 0 に設定されている場合、以前の PIN のストレージは必要ありません。 PIN のリセットによって PIN 履歴は保持されません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-50]
既定値 0
Device/{TenantId}/Policies/PINComplexity/小文字Letters
適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters

このポリシー設定を使用して、Windows Hello for Business PIN での小文字の使用を構成します。

値 1 は "必須" に対応します。 このポリシー設定を 1 に構成した場合、Windows Hello for Businessユーザーは PIN に少なくとも 1 つの小文字を含める必要があります。

値 2 は "許可しない" に対応します。 このポリシー設定を 2 に構成すると、Windows Hello for Businessユーザーが PIN で小文字を使用できなくなります。

このポリシー設定を構成しない場合、Windows Hello for Businessはユーザーが PIN で小文字を使用することを許可しません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) PIN で小文字を使用できます。
1 PIN で少なくとも 1 つの小文字を使用する必要があります。
2 PIN で小文字を使用することはできません。
Device/{TenantId}/Policies/PINComplexity/MaximumPINLength
適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength

PIN の最大長は、PIN に許可される最大文字数を構成します。 このポリシー設定に構成できる最大数は 127 です。 構成できる最小の数値は、[最小 PIN の長さ] ポリシー設定で構成された数値または数値 4 のいずれか大きい方である必要があります。

  • このポリシー設定を構成する場合、PIN の長さは、この数値以下である必要があります。

  • このポリシー設定を構成しない場合、PIN の長さは 127 以下である必要があります。

最大 PIN 長に対して上記で指定した条件が満たされていない場合、PIN の最大長と最小長の両方に既定値が使用されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [4-127]
既定値 127
Device/{TenantId}/Policies/PINComplexity/MinimumPINLength
適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength

PIN の最小長は、PIN に必要な最小文字数を構成します。 このポリシー設定で構成できる最小の数値は 4 です。 構成できる最大数は、[最大 PIN の長さ] ポリシー設定で構成されている数値または数値 127 のいずれか小さい方の数値である必要があります。

  • このポリシー設定を構成する場合、PIN の長さは、この数値以上である必要があります。

  • このポリシー設定を構成しない場合、PIN の長さは 4 以上である必要があります。

PIN の最小長に対して上記で指定した条件が満たされていない場合は、PIN の最大長と最小長の両方に既定値が使用されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [4-127]
既定値 4
Device/{TenantId}/Policies/PINComplexity/SpecialCharacters
適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters

このポリシー設定を使用して、Windows Hello for Business PIN ジェスチャで特殊文字の使用を構成します。 Windows Hello for Business PIN ジェスチャの有効な特殊文字には、 が含まれます。 " # $ % & ' ( ) * + 、 - 。 / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .

値 1 は "必須" に対応します。 このポリシー設定を 1 に構成した場合、Windows Hello for Businessユーザーは PIN に少なくとも 1 つの特殊文字を含める必要があります。

値 2 は "許可しない" に対応します。 このポリシー設定を 2 に構成すると、Windows Hello for Businessユーザーが PIN で特殊文字を使用できなくなります。

このポリシー設定を構成しない場合、Windows Hello for Businessはユーザーが PIN で特殊文字を使用することを許可しません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) PIN で特殊文字を使用できるようにします。
1 PIN で少なくとも 1 つの特殊文字を使用する必要があります。
2 PIN で特殊文字を使用することはできません。
Device/{TenantId}/Policies/PINComplexity/UppercaseLetters
適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters

このポリシー設定を使用して、Windows Hello for Business PIN で大文字の使用を構成します。

値 1 は "必須" に対応します。 このポリシー設定を 1 に構成した場合、Windows Hello for Businessユーザーは PIN に少なくとも 1 つの大文字を含める必要があります。

値 2 は "許可しない" に対応します。 このポリシー設定を 2 に構成すると、Windows Hello for Businessユーザーが PIN で大文字を使用できなくなります。

このポリシー設定を構成しない場合、Windows Hello for Businessはユーザーが PIN で大文字を使用することを許可しません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) PIN で大文字を使用できます。
1 PIN で少なくとも 1 つの大文字を使用する必要があります。
2 PIN で大文字を使用することはできません。

Device/{TenantId}/Policies/Remote

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote

電話サインイン ポリシーのルート ノード。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 node
アクセスの種類 追加、削除、取得
Device/{TenantId}/Policies/Remote/UseRemotePassport
適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote/UseRemotePassport

デバイスで電話のサインインを使用できるかどうかを指定するブール値。 電話サインインを使用すると、ポータブルで登録済みのデバイスをデスクトップ認証のコンパニオン デバイスとして使用できます。

既定値は false です。

  • この設定を有効にした場合、デスクトップ デバイスでは、登録済みのコンパニオン デバイスを認証要素として使用できます。

  • この設定を無効にした場合、デスクトップ認証シナリオではコンパニオン デバイスを使用できません。

Windows 10 バージョン 1903 (2019 年 5 月の更新プログラム) より前の Windows Holographic および Windows Holographic for Business ではサポートされていません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 bool
アクセスの種類 追加、削除、取得、置換
既定値 False

指定可能な値

説明
false (既定値) 無効。
true 有効。

Device/{TenantId}/Policies/RequireSecurityDevice

適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice

トラステッド プラットフォーム モジュール (TPM) は、その中に格納されているデータを他のデバイスで使用できないため、ソフトウェアに比して追加のセキュリティ上の利点を提供します。

  • このポリシー設定を有効にした場合、使用可能な TPM プロビジョニングを持つデバイスのみがWindows Hello for Business。

  • このポリシー設定を無効にした場合、または構成しない場合でも TPM が推奨されますが、TPM が機能しない場合や使用できない場合は、すべてのデバイスでソフトウェアを使用してWindows Hello for Businessプロビジョニングされます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 bool
アクセスの種類 追加、削除、取得、置換
既定値 False

指定可能な値

説明
false (既定値) 無効。
true 有効。

Device/{TenantId}/Policies/UseCertificateForOnPremAuth

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth

Windows Hello for Businessは、証明書を使用してオンプレミスリソースに対する認証を行うことができます。

  • このポリシー設定を有効にした場合、Windows Hello for Businessは、デバイスがモバイル デバイス管理サーバーから証明書ペイロードを受信するまで待ってから、PIN をプロビジョニングします。

  • このポリシー設定を無効にするか、構成しなかった場合、ユーザーがログインしたときに、証明書ペイロードを待たずに PIN がプロビジョニングされます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 bool
アクセスの種類 追加、削除、取得、置換
既定値 False

指定可能な値

説明
false (既定値) 無効。
true 有効。

Device/{TenantId}/Policies/UseCloudTrustForOnPremAuth

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 21H2 と KB5010415 [10.0.19044.1566] 以降
✅Windows 11、バージョン 21H2 と KB5010414 [10.0.22000.527] 以降
✅Windows 11バージョン 22H2 [10.0.22621] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth

Windows Hello for Businessが Microsoft Entra Kerberos を使用してオンプレミス リソースに対して認証できるようにするブール値。

  • このポリシー設定を有効にした場合、Windows Hello for Businessは Microsoft Entra Kerberos チケットを使用してオンプレミス リソースに対する認証を行います。 Microsoft Entra Kerberos チケットは、認証が成功した後にクライアントに返され、テナントとドメインに対して Kerberos Microsoft Entraが有効になっている場合にMicrosoft Entra IDされます。

  • このポリシー設定を無効にした場合、または構成していない場合、Windows Hello for Businessは、オンプレミスのリソースに対する認証にキーまたは証明書を使用します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 bool
アクセスの種類 追加、削除、取得、置換
既定値 False

指定可能な値

説明
false (既定値) 無効。
true 有効。

Device/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 Version 1809 [10.0.17763] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates
  • このポリシー設定を有効にすると、アプリケーションはスマート カード証明書としてWindows Hello for Business証明書を使用します。 ユーザーが証明書の秘密キーの使用を承認するように求められた場合、生体認証要素は使用できません。 このポリシー設定は、スマート カード証明書のみに依存するアプリケーションとの互換性を確保するように設計されています。

  • このポリシー設定を無効にするか、構成しない場合、アプリケーションはスマート カード証明書としてWindows Hello for Business証明書を使用しません。また、ユーザーが証明書の秘密キーの使用を承認するように求められた場合、生体認証要素を使用できます。

Windows では、ユーザーが現在サインインしている場合、この設定を変更した後にセッションをロックおよびロック解除する必要があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 bool
アクセスの種類 追加、削除、取得、置換
既定値 False

指定可能な値

説明
false (既定値) 無効。
true 有効。

Device/{TenantId}/Policies/UsePassportForWork

適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork

Windows Hello for Businessは、Active Directory または Microsoft Entra アカウントを使用して Windows にサインインするための代替方法であり、パスワード、スマート カード、仮想スマート カードを置き換えることができます。

  • このポリシー設定を有効にするか、構成しない場合、デバイスはすべてのユーザーに対してWindows Hello for Businessプロビジョニングされます。

  • このポリシー設定を無効にした場合、デバイスはどのユーザーにもWindows Hello for Businessプロビジョニングされません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 bool
アクセスの種類 追加、削除、取得、置換
既定値 True

指定可能な値

説明
false 無効。
true (既定値) 有効。

デバイス/生体認証

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/Biometrics

生体認証ポリシーのルート ノード。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 node
アクセスの種類 [ゲームをゲット] を選びます

Device/生体認証/EnableESSwithSupportedPeripherals

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11バージョン 22H2 [10.0.22621] 以降
./Device/Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals

拡張サインイン セキュリティ (ESS) は、生体認証テンプレート データと一致操作の両方を、信頼されたハードウェアまたは指定されたメモリ領域に分離します。つまり、オペレーティング システムの残りの部分はアクセスまたは改ざんできません。 センサーとアルゴリズム間の通信チャネルもセキュリティで保護されているため、マルウェアがユーザーのサインインをシミュレートしたり、ユーザーをコンピューターからロックアウトしたりするためにデータを挿入または再生することはできません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1

指定可能な値

説明
0 ESS は、Windows の既存の既定の動作に従って、対応するソフトウェアとハードウェアを持つシステムで有効になります。 周辺機器Windows Hello対応デバイスの認証操作は、現在の機能制限に従って許可されます。 さらに、この設定では、ESS 対応 FPR や ESS 対応以外のカメラなど、生体認証デバイスが混在するデバイスで ESS が有効になります。 (推奨されません)。
1 (既定値) ESS は、Windows の既存の既定の動作に従って、対応するソフトウェアとハードウェアを持つシステムで有効になります。 周辺機器の生体認証デバイスの認証操作はブロックされ、Windows Helloでは使用できません。 (既定で、最高のセキュリティに推奨されます)。

グループ ポリシー マッピング:

名前
名前 サポートされている周辺機器で ESS を有効にする
パス Passport > AT > WindowsComponents > MSPassportForWorkCategory

Device/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing

この設定は、顔認証に強化されたスプーフィング対策が必要かどうかを判断Windows Hello。

  • この設定を有効にした場合、Windows では、マネージド デバイス上のすべてのユーザーに対して、顔認証に強化されたなりすまし対策を使用Windows Hello必要があります。 これにより、強化されたなりすまし対策Windows Helloサポートされていないデバイスでの顔認証が無効になります。

  • この設定を無効にした場合、または構成していない場合、Windows では、顔認証Windows Hello強化されたなりすまし対策は必要ありません。

非管理対象デバイスでは、Windows Hello顔認証の強化されたなりすまし対策は必要ありません。

Windows 10 バージョン 1903 (2019 年 5 月の更新プログラム) より前の Windows Holographic および Windows Holographic for Business ではサポートされていません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 bool
アクセスの種類 追加、削除、取得、置換
既定値 False

指定可能な値

説明
false (既定値) 無効。
true 有効。

デバイス/生体認証/UseBiometrics

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics

Windows Hello for Businessを使用すると、ユーザーは PIN ジェスチャの代わりに、顔や指紋などの生体認証ジェスチャを使用できます。 ただし、ユーザーは引き続き、障害が発生した場合に使用するように PIN を構成する必要があります。

  • このポリシー設定を有効にするか、構成しない場合、Windows Hello for Businessは生体認証ジェスチャの使用を許可します。

  • このポリシー設定を無効にした場合、Windows Hello for Businessは生体認証ジェスチャの使用を禁止します。

このポリシーを無効にすると、すべてのアカウントの種類に対してデバイスで生体認証ジェスチャが使用できなくなります。

Windows 10 バージョン 1903 (2019 年 5 月の更新プログラム) より前の Windows Holographic および Windows Holographic for Business ではサポートされていません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 bool
アクセスの種類 追加、削除、取得、置換
既定値 False

指定可能な値

説明
false (既定値) 無効。
true 有効。

Device/DeviceUnlock

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock

デバイスのロック解除。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 node
アクセスの種類 [ゲームをゲット] を選びます

Device/DeviceUnlock/GroupA

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupA

認証の最初の手順で考慮される GUID によるプロバイダーの一覧が含まれます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 正規表現: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\}

Device/DeviceUnlock/GroupB

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupB

認証の 2 番目の手順で考慮される GUID によるプロバイダーの一覧が含まれます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 正規表現: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\}

Device/DeviceUnlock/Plugins

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/Plugins

パッシブ プロバイダーがユーザーのプレゼンスを検出するために監視するプラグインの一覧。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

Device/DynamicLock

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/PassportForWork/DynamicLock

動的ロック。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 node
アクセスの種類 [ゲームをゲット] を選びます

Device/DynamicLock/DynamicLock

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/PassportForWork/DynamicLock/DynamicLock

動的ロックを有効または無効にします。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 bool
アクセスの種類 追加、削除、取得、置換
既定値 False

指定可能な値

説明
false (既定値) 無効。
true 有効。

Device/DynamicLock/Plugins

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/PassportForWork/DynamicLock/Plugins

パッシブ プロバイダーがユーザーの不在を検出するために監視するプラグインの一覧。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

Device/SecurityKey

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1903 [10.0.18362] 以降
./Device/Vendor/MSFT/PassportForWork/SecurityKey

セキュリティ キー。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 node
アクセスの種類 [ゲームをゲット] を選びます

Device/SecurityKey/UseSecurityKeyForSignin

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1903 [10.0.18362] 以降
./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin

サインインにはセキュリティ キーを使用します。 0 は無効です。 1 は有効です。 このポリシー設定を構成しない場合、既定値は無効になります。

ユーザーが、Microsoft の実装と互換性のある FIDO2 セキュリティ キー を使用してデバイスにサインインできるようにします。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) 無効。
1 有効。

Device/UseBiometrics

このポリシーは非推奨であり、今後のリリースで削除される可能性があります。

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./Device/Vendor/MSFT/PassportForWork/UseBiometrics

このノードは非推奨であり、将来のバージョンで削除される予定です。 代わりに、生体認証/UseBiometrics NODE を使用してください。

Windows Hello for Businessを使用すると、ユーザーは PIN ジェスチャの代わりに、顔や指紋などの生体認証ジェスチャを使用できます。 ただし、ユーザーは引き続き、障害が発生した場合に使用するように PIN を構成する必要があります。

  • このポリシー設定を有効にするか、構成しない場合、Windows Hello for Businessは生体認証ジェスチャの使用を許可します。

  • このポリシー設定を無効にした場合、Windows Hello for Businessは生体認証ジェスチャの使用を禁止します。

このポリシーを無効にすると、すべてのアカウントの種類に対してデバイスで生体認証ジェスチャが使用できなくなります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 bool
アクセスの種類 追加、削除、取得、置換
既定値 False

指定可能な値

説明
false (既定値) 無効。
true 有効。

User/{TenantId}

適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./User/Vendor/MSFT/PassportForWork/{TenantId}

このポリシーでは、プロビジョニングと管理の一部として使用される、中かっこ{ }を使用せずにグローバル一意識別子 (GUID) の形式でテナント ID を指定Windows Hello for Business。

GUID を取得するには、PowerShell コマンドレット Get-AzureAccount を使用します。 詳細については、「Windows PowerShellで Windows Azure Active Directory テナント ID を取得する」を参照してください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 node
アクセスの種類 追加、削除、取得
動的ノードの名前付け UniqueName: プロビジョニングと管理の一部として使用される、中かっこ ( { 、 } ) を含まないグローバル一意識別子 (GUID) Windows Hello for Business。 GUID を取得するには、PowerShell コマンドレット Get-AzureAccount を使用します。 詳細については、「 https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell」を参照してください。

User/{TenantId}/Policies

適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies

ポリシーのルート ノード。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 node
アクセスの種類 追加、削除、取得

User/{TenantId}/Policies/EnablePinRecovery

適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1703 [10.0.15063] 以降
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery

ユーザーが PIN を忘れた場合は、Windows Hello for Business PIN 回復サービスを使用して新しい PIN に変更できます。 このクラウド サービスは、クライアントにローカルに格納されているが、クラウド サービスによってのみ復号化できる回復シークレットを暗号化します。

  • このポリシー設定を有効にすると、PIN 回復シークレットがデバイスに保存され、PIN が忘れられた場合に備えてユーザーは新しい PIN に変更できます。

  • このポリシー設定を無効にした場合、または構成しなかった場合、PIN 回復シークレットは作成または格納されません。 ユーザーの PIN が忘れられた場合、新しい PIN を取得する唯一の方法は、既存の PIN を削除し、新しい PIN を作成することです。これにより、ユーザーは古い PIN から提供されたアクセス権を持つサービスに再登録する必要があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 bool
アクセスの種類 追加、削除、取得、置換
既定値 False

指定可能な値

説明
false (既定値) 無効。
true 有効。

User/{TenantId}/Policies/PINComplexity

適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity

PIN ポリシーのルート ノード。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 node
アクセスの種類 追加、削除、取得
User/{TenantId}/Policies/PINComplexity/Digits
適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits

このポリシー設定を使用して、Windows Hello for Business PIN で数字の使用を構成します。

値 1 は "必須" に対応します。 このポリシー設定を 1 に構成した場合、Windows Hello for Businessユーザーは PIN に少なくとも 1 桁を含める必要があります。

値 2 は "許可しない" に対応します。 このポリシー設定を 2 に構成すると、Windows Hello for Businessユーザーが PIN で数字を使用できなくなります。

このポリシー設定を構成しない場合、Windows Hello for Businessユーザーは PIN で数字を使用する必要があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) PIN での数字の使用を許可します。
1 PIN で少なくとも 1 桁の数字を使用する必要があります。
2 PIN で数字を使用することはできません。
User/{TenantId}/Policies/PINComplexity/Expiration
適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration

このポリシーは、PIN の有効期限 (日数) を指定します。 有効な値は 0 ~ 730 です。 このポリシーが 0 に設定されている場合、PIN は期限切れになりません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-730]
既定値 0
User/{TenantId}/Policies/PINComplexity/History
適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History

このポリシーでは、使用できない履歴に格納できる過去の PIN の数を指定します。 有効な値は 0 ~ 50 です。 このポリシーが 0 に設定されている場合、以前の PIN のストレージは必要ありません。 PIN のリセットによって PIN 履歴は保持されません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [0-50]
既定値 0
User/{TenantId}/Policies/PINComplexity/小文字Letters
適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters

このポリシー設定を使用して、Windows Hello for Business PIN での小文字の使用を構成します。

値 1 は "必須" に対応します。 このポリシー設定を 1 に構成した場合、Windows Hello for Businessユーザーは PIN に少なくとも 1 つの小文字を含める必要があります。

値 2 は "許可しない" に対応します。 このポリシー設定を 2 に構成すると、Windows Hello for Businessユーザーが PIN で小文字を使用できなくなります。

このポリシー設定を構成しない場合、Windows Hello for Businessはユーザーが PIN で小文字を使用することを許可しません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) PIN で小文字を使用できます。
1 PIN で少なくとも 1 つの小文字を使用する必要があります。
2 PIN で小文字を使用することはできません。
User/{TenantId}/Policies/PINComplexity/MaximumPINLength
適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength

PIN の最大長は、PIN に許可される最大文字数を構成します。 このポリシー設定に構成できる最大数は 127 です。 構成できる最小の数値は、[最小 PIN の長さ] ポリシー設定で構成された数値または数値 4 のいずれか大きい方である必要があります。

  • このポリシー設定を構成する場合、PIN の長さは、この数値以下である必要があります。

  • このポリシー設定を構成しない場合、PIN の長さは 127 以下である必要があります。

最大 PIN 長に対して上記で指定した条件が満たされていない場合、PIN の最大長と最小長の両方に既定値が使用されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [4-127]
既定値 127
User/{TenantId}/Policies/PINComplexity/MinimumPINLength
適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength

PIN の最小長は、PIN に必要な最小文字数を構成します。 このポリシー設定で構成できる最小の数値は 4 です。 構成できる最大数は、[最大 PIN の長さ] ポリシー設定で構成されている数値または数値 127 のいずれか小さい方の数値である必要があります。

  • このポリシー設定を構成する場合、PIN の長さは、この数値以上である必要があります。

  • このポリシー設定を構成しない場合、PIN の長さは 4 以上である必要があります。

PIN の最小長に対して上記で指定した条件が満たされていない場合は、PIN の最大長と最小長の両方に既定値が使用されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
指定可能な値 範囲: [4-127]
既定値 4
User/{TenantId}/Policies/PINComplexity/SpecialCharacters
適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters

このポリシー設定を使用して、Windows Hello for Business PIN ジェスチャで特殊文字の使用を構成します。 Windows Hello for Business PIN ジェスチャの有効な特殊文字には、 が含まれます。 " # $ % & ' ( ) * + 、 - 。 / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .

値 1 は "必須" に対応します。 このポリシー設定を 1 に構成した場合、Windows Hello for Businessユーザーは PIN に少なくとも 1 つの特殊文字を含める必要があります。

値 2 は "許可しない" に対応します。 このポリシー設定を 2 に構成すると、Windows Hello for Businessユーザーが PIN で特殊文字を使用できなくなります。

このポリシー設定を構成しない場合、Windows Hello for Businessはユーザーが PIN で特殊文字を使用することを許可しません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) PIN で特殊文字を使用できるようにします。
1 PIN で少なくとも 1 つの特殊文字を使用する必要があります。
2 PIN で特殊文字を使用することはできません。
User/{TenantId}/Policies/PINComplexity/UppercaseLetters
適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters

このポリシー設定を使用して、Windows Hello for Business PIN で大文字の使用を構成します。

値 1 は "必須" に対応します。 このポリシー設定を 1 に構成した場合、Windows Hello for Businessユーザーは PIN に少なくとも 1 つの大文字を含める必要があります。

値 2 は "許可しない" に対応します。 このポリシー設定を 2 に構成すると、Windows Hello for Businessユーザーが PIN で大文字を使用できなくなります。

このポリシー設定を構成しない場合、Windows Hello for Businessはユーザーが PIN で大文字を使用することを許可しません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) PIN で大文字を使用できます。
1 PIN で少なくとも 1 つの大文字を使用する必要があります。
2 PIN で大文字を使用することはできません。

User/{TenantId}/Policies/RequireSecurityDevice

適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice

トラステッド プラットフォーム モジュール (TPM) は、その中に格納されているデータを他のデバイスで使用できないため、ソフトウェアに比して追加のセキュリティ上の利点を提供します。

  • このポリシー設定を有効にした場合、使用可能な TPM プロビジョニングを持つデバイスのみがWindows Hello for Business。

  • このポリシー設定を無効にした場合、または構成しない場合でも TPM が推奨されますが、TPM が機能しない場合や使用できない場合は、すべてのデバイスでソフトウェアを使用してWindows Hello for Businessプロビジョニングされます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 bool
アクセスの種類 追加、削除、取得、置換
既定値 False

指定可能な値

説明
false (既定値) 無効。
true 有効。

User/{TenantId}/Policies/UsePassportForWork

適用範囲 エディション 対象となる OS
✅ デバイス
✅ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1511 [10.0.10586] 以降
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork

Windows Hello for Businessは、Active Directory または Microsoft Entra アカウントを使用して Windows にサインインするための代替方法であり、パスワード、スマート カード、仮想スマート カードを置き換えることができます。

  • このポリシー設定を有効にするか、構成しない場合、デバイスはすべてのユーザーに対してWindows Hello for Businessプロビジョニングされます。

  • このポリシー設定を無効にした場合、デバイスはどのユーザーにもWindows Hello for Businessプロビジョニングされません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 bool
アクセスの種類 追加、削除、取得、置換
既定値 True

指定可能な値

説明
false 無効。
true (既定値) 有効。

Windows Hello for Businessを設定し、PIN ポリシーを設定する例を次に示します。 また、生体認証と TPM の使用も有効になります。

<SyncML xmlns="SYNCML:SYNCML1.2">
          <SyncBody>
            <Add>
              <CmdID>2</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F
                  </LocURI>
                </Target>
              </Item>
            </Add>
            <Add>
              <CmdID>3</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/UsePassportForWork
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>4</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/RequireSecurityDevice
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>5</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MinimumPINLength
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>8</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>6</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MaximumPINLength
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>16</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>7</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/UppercaseLetters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>0</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>8</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/LowercaseLetters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>1</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>9</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/SpecialCharacters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>2</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>10</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Digits
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>1</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>11</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/History
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>20</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>12</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Expiration
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>70</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>13</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/Remote/UseRemotePassport
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>14</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>15</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/FacialFeatureUseEnhancedAntiSpoofing
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>16</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>0</Data>
              </Item>
            </Add>
            <Final/>
          </SyncBody>
        </SyncML>

構成サービス プロバイダーのリファレンス