クラウドのみのデプロイ ガイド
この記事では、次Windows Hello for Business適用される機能またはシナリオについて説明します。
- 展開の種類:クラウド専用で行われます
- 結合の種類:Microsoft Entra参加
要件
デプロイを開始する前に、「Windows Hello for Businessデプロイの計画」の記事で説明されている要件を確認してください。
開始する前に、次の要件が満たされていることを確認してください。
展開の手順
前提条件が満たされたら、Windows Hello for Businessのデプロイは次の手順で構成されます。
Windows Hello for Business のポリシー設定の構成
デバイスに参加Microsoft Entraすると、システムは自動的にWindows Hello for Businessに登録しようとします。 既定の設定でクラウド専用環境でWindows Hello for Businessを使用する場合は、追加の構成は必要ありません。
クラウドのみのデプロイでは、Windows Hello for Business登録中Microsoft Entra多要素認証 (MFA) が使用され、他の MFA 構成は必要ありません。 MFA にまだ登録していない場合は、Windows Hello for Business登録プロセスの一環として MFA 登録に関するガイドが表示されます。
ポリシー設定は、構成サービス プロバイダー (CSP) またはグループ ポリシー (GPO) を使用して、Windows Hello for Businessの動作を制御するように構成できます。 クラウドのみのデプロイでは、デバイスは通常、PassportForWork CSP を使用して、Microsoft Intuneなどの MDM ソリューションを介して構成されます。
注
Windows Hello for Businessを構成するためにMicrosoft Intuneによって提供されるさまざまなオプションについては、「Microsoft Intuneを使用してWindows Hello for Businessを構成する」の記事を参照してください。
Intuneテナント全体のポリシーがWindows Hello for Businessを無効にするように構成されている場合、またはデバイスがWindows Hello無効にされた状態で展開されている場合は、Windows Hello for Businessを有効にするには、1 つのポリシー設定を構成する必要があります。
もう 1 つのオプションですが、推奨されるポリシー設定は次のとおりです。
次の手順に従って、Microsoft Intuneまたはグループ ポリシー (GPO) を使用してデバイスを構成します。
Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。
カテゴリ | 設定名 | 値 |
---|---|---|
Windows Hello for Business | Windows Hello For Business を使用する | true |
Windows Hello for Business | セキュリティ デバイスが必要 | true |
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
または、PassportForWork CSP でカスタム ポリシーを使用してデバイスを構成することもできます。
設定 |
---|
-
OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - データ型: bool - 価値: True |
-
OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - データ型: bool - 価値: True |
ヒント
Microsoft Intuneを使用していて、テナント全体のポリシーを使用していない場合は、登録状態ページ (ESP) を有効にして、ユーザーがデスクトップにアクセスする前にデバイスがWindows Hello for Businessポリシー設定を受け取ることを確認します。 ESP の詳細については、「 登録状態ページの設定」を参照してください。
その他のポリシー設定を構成して、Windows Hello for Businessの動作を制御できます。 詳細については、「ポリシー設定のWindows Hello for Business」を参照してください。
Windows Hello for Businessに登録する
Windows Hello for Businessプロビジョニング プロセスは、ユーザーがサインインした直後に、特定の前提条件チェックに合格した場合に開始されます。
ユーザー エクスペリエンス
ユーザーがサインインすると、Windows Hello for Business登録プロセスが開始されます。
- デバイスが生体認証をサポートしている場合、ユーザーは生体認証ジェスチャを設定するように求められます。 このジェスチャを使用して、デバイスのロックを解除し、Windows Hello for Businessを必要とするリソースに対する認証を行うことができます。 ユーザーが生体認証ジェスチャを設定したくない場合は、この手順をスキップできます
- ユーザーは、organization アカウントでWindows Helloを使用するように求められます。 ユーザーが [OK] を選択する
- プロビジョニング フローは、登録の多要素認証部分に進みます。 プロビジョニングは、構成済みの MFA 形式でユーザーに積極的に連絡しようとしていることをユーザーに通知します。 プロビジョニング プロセスは、認証が成功、失敗、またはタイムアウトするまで続行されません。MFA が失敗またはタイムアウトするとエラーが発生し、ユーザーに再試行を求められます
- MFA に成功した場合は、プロビジョニング フローは、ユーザーに PIN の作成と確認を求めます。 この PIN は、デバイスで構成されている PIN の複雑さのポリシーを確認する必要があります
- プロビジョニングの残りの部分では、Windows Hello for Business がユーザーの非対称キー ペアを要求します。TPM の非対称キー ペアをお勧めします (またはポリシーで明示的に設定されている場合は必須です)。 キー ペアが取得されると、Windows は IdP と通信して公開キーを登録します。 キーの登録が完了すると、プロビジョニングWindows Hello for Business、PIN を使用してサインインできることをユーザーに通知します。 ユーザーはプロビジョニング アプリケーションを閉じ、デスクトップにアクセスできます
シーケンス図
プロビジョニング フローを理解するには、認証の種類に基づいて次のシーケンス図を確認します。
認証フローについて理解を深めるために、次のシーケンス図を確認します。
自動登録を無効にする
自動Windows Hello for Business登録を無効にする場合は、ポリシー設定またはレジストリ キーを使用してデバイスを構成できます。 詳細については、「Windows Hello for Business登録を無効にする」を参照してください。
注
Microsoft Entra参加のアウトオブボックス エクスペリエンス (OOBE) フローでは、Intuneがない場合は、Windows Hello for Businessに登録するようにガイドされます。 PIN 画面を取り消し、Windows Hello for Businessに登録せずにデスクトップにアクセスできます。