次の方法で共有


クラウドのみのデプロイ ガイド

この記事では、次に該当する Windows Hello for Business の機能またはシナリオについて説明します。


要件

展開を開始する前に、「 Windows Hello for Business 展開の計画 」の記事で説明されている要件を確認してください。

開始する前に、次の要件が満たされていることを確認してください。

展開の手順

前提条件が満たされたら、Windows Hello for Business の展開は次の手順で構成されます。

Windows Hello for Business のポリシー設定の構成

Microsoft Entra がデバイスに参加すると、システムは自動的に Windows Hello for Business に登録しようとします。 既定の設定でクラウドのみの環境で Windows Hello for Business を使用する場合は、追加の構成は必要ありません。

クラウドのみのデプロイでは、Windows Hello for Business 登録中に Microsoft Entra 多要素認証 (MFA) が使用され、他の MFA 構成は必要ありません。 MFA にまだ登録していない場合は、Windows Hello for Business 登録プロセスの一部として MFA 登録のガイドが表示されます。

ポリシー設定は、構成サービス プロバイダー (CSP) またはグループ ポリシー (GPO) を使用して、Windows Hello for Business の動作を制御するように構成できます。 クラウドのみの展開では、デバイスは通常、 PassportForWork CSP を使用して、Microsoft Intune などの MDM ソリューションを介して構成されます。

「Microsoft Intune を使用して Windows Hello for Business を構成する」の記事を参照して、Windows Hello for Business を構成するために Microsoft Intune によって提供されるさまざまなオプションについて説明します。

Windows Hello for Business を無効にするように Intune テナント全体のポリシーが構成されている場合、または Windows Hello が無効になっているデバイスが展開されている場合は、Windows Hello for Business を有効にするように 1 つのポリシー設定を構成する必要があります。

もう 1 つのオプションですが、推奨されるポリシー設定は次のとおりです。

次の手順に従って、Microsoft Intune またはグループ ポリシー (GPO) を使用してデバイスを構成します。

Microsoft Intune でデバイスを構成するには、 設定カタログ ポリシーを作成 し、次の設定を使用します。

カテゴリ 設定名
Windows Hello for Business 仕事にパスポートを使用する true
Windows Hello for Business セキュリティ デバイスが必要 true

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

または、PassportForWork CSPカスタム ポリシーを使用してデバイスを構成することもできます。

設定
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
- データ型:bool
- 価値:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
- データ型:bool
- 価値:True

ヒント

Microsoft Intune を使用していて、 テナント全体のポリシーを使用していない場合は、登録状態ページ (ESP) を有効にして、ユーザーがデスクトップにアクセスする前にデバイスが Windows Hello for Business ポリシー設定を受け取ることを確認します。 ESP の詳細については、「 登録状態ページの設定」を参照してください。

Windows Hello for Business の動作を制御するために、その他のポリシー設定を構成できます。 詳細については、「 Windows Hello for Business ポリシー設定」を参照してください。

Windows Hello for Business に登録する

特定の前提条件チェックに合格した場合、ユーザーがサインインした直後に Windows Hello for Business プロビジョニング プロセスが開始されます。

ユーザー エクスペリエンス

ユーザーがサインインすると、Windows Hello for Business 登録プロセスが開始されます。

  1. デバイスが生体認証をサポートしている場合、ユーザーは生体認証ジェスチャを設定するように求められます。 このジェスチャを使用して、デバイスのロックを解除し、Windows Hello for Business を必要とするリソースに対する認証を行うことができます。 ユーザーが生体認証ジェスチャを設定したくない場合は、この手順をスキップできます
  2. ユーザーは、組織アカウントで Windows Hello を使用するように求められます。 ユーザーが [OK] を選択する
  3. プロビジョニング フローは、登録の多要素認証部分に進みます。 プロビジョニングは、構成済みの MFA 形式でユーザーに積極的に連絡しようとしていることをユーザーに通知します。 プロビジョニング プロセスは、認証が成功、失敗、またはタイムアウトするまで続行されません。MFA が失敗またはタイムアウトするとエラーが発生し、ユーザーに再試行を求められます
  4. MFA に成功した場合は、プロビジョニング フローは、ユーザーに PIN の作成と確認を求めます。 この PIN は、デバイスで構成されている PIN の複雑さのポリシーを確認する必要があります
  5. プロビジョニングの残りの部分では、Windows Hello for Business がユーザーの非対称キー ペアを要求します。TPM の非対称キー ペアをお勧めします (またはポリシーで明示的に設定されている場合は必須です)。 キー ペアが取得されると、Windows は IdP と通信して公開キーを登録します。 キーの登録が完了すると、Windows Hello for Business プロビジョニングによって、PIN を使用してサインインできることをユーザーに通知します。 ユーザーはプロビジョニング アプリケーションを閉じ、デスクトップにアクセスできます

シーケンス図

プロビジョニング フローを理解するには、認証の種類に基づいて次のシーケンス図を確認します。

認証フローについて理解を深めるために、次のシーケンス図を確認します。

自動登録を無効にする

Windows Hello for Business の自動登録を無効にする場合は、ポリシー設定またはレジストリ キーを使用してデバイスを構成できます。 詳細については、「 Windows Hello for Business の登録を無効にする」を参照してください。

Microsoft Entra 参加の既定のエクスペリエンス (OOBE) フローでは、Intune がない場合は、Windows Hello for Business に登録するように指示されます。 PIN 画面をキャンセルし、Windows Hello for Business に登録せずにデスクトップにアクセスできます。