ハイブリッド証明書信頼モデルでWindows Hello for Businessを構成して登録する
この記事では、次Windows Hello for Business適用される機能またはシナリオについて説明します。
- 展開の種類:
- 信頼の種類:
- 結合の種類:Microsoft Entra に参加します。ハイブリッド参加
前提条件が満たされ、PKI と AD FS の構成が検証されたら、Windows Hello for Businessの展開は次の手順で構成されます。
Windows Hello for Business のポリシー設定の構成
証明書信頼モデルでWindows Hello for Businessを有効にするには、次の 2 つのポリシー設定が必要です。
もう 1 つのオプションですが、推奨されるポリシー設定は次のとおりです。
次の手順に従って、Microsoft Intuneまたはグループ ポリシー (GPO) を使用してデバイスを構成します。
GPO のコンピューターまたはユーザー ノードで、[Windows Hello for Business使用] ポリシー設定を構成できます。
- コンピューター ノード ポリシー設定を展開すると、対象デバイスにサインインするすべてのユーザーがWindows Hello for Business登録を試みます
- ユーザー ノード ポリシー設定を展開すると、対象ユーザーのみがWindows Hello for Business登録を試行します
ユーザーとコンピューターの両方のポリシー設定が展開される場合は、ユーザーのポリシー設定が優先されます。
ヒント
同じWindows Hello for Business Users セキュリティ グループを使用して証明書テンプレートのアクセス許可を割り当て、同じメンバーがWindows Hello for Business認証証明書に登録できるようにします。
Windows Hello for Business のプロビジョニング中に、Windows Hello for Business 認証証明書の初期登録が実行されます。 この証明書は、Windows Hello for Business認証証明書テンプレートで構成された期間に基づいて有効期限が切れます。
ユーザーがWindows Hello for Businessを使用してサインインする場合、このプロセスではユーザーの操作は必要ありません。 証明書は有効期限が切れる前に、バックグラウンドで更新されます。
グループ ポリシーを使用してデバイスを構成するには、ローカル グループ ポリシー エディターを使用します。 Active Directory に参加している複数のデバイスを構成するには、グループ ポリシー オブジェクト (GPO) を 作成または編集 し、次の設定を使用します。
グループ ポリシー パス | グループ ポリシー設定 | 値 |
---|---|---|
コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Hello for Business or ユーザー構成\管理用テンプレート\Windows コンポーネント\Windows Hello for Business |
Windows Hello for Business の使用 | Enabled |
コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Hello for Business or ユーザー構成\管理用テンプレート\Windows コンポーネント\Windows Hello for Business |
オンプレミスの認証に証明書を使用する | Enabled |
コンピューターの構成\Windows 設定\セキュリティ設定\公開キー ポリシー or ユーザー構成\Windows 設定\セキュリティ設定\公開キー ポリシー |
Certificate Services クライアント - 自動登録 | - 構成モデルから [有効] を選択します - [期限切れの証明書の更新]、[保留中の証明書の更新]、[失効した証明書の削除] を選択します - 証明書 テンプレートを使用する証明書を更新するを選択します |
コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Hello for Business | ハードウェアのセキュリティ デバイスを使用する | Enabled |
注
[ハードウェア セキュリティ デバイスの使用] ポリシー設定の有効化は省略可能ですが、推奨されます。
グループ ポリシーは、ドメインまたは組織単位に リンク したり、 セキュリティ グループを使用してフィルター処理したり、 WMI フィルターを使用してフィルター処理したりできます。
ヒント
Windows Hello for Business GPO を展開する最善の方法は、セキュリティ グループのフィルター処理を使用することです。 ターゲット セキュリティ グループのメンバーのみがWindows Hello for Businessをプロビジョニングし、段階的なロールアウトを有効にします。 このソリューションを使用すると、GPO をドメインにリンクし、GPO のスコープがすべてのセキュリティ プリンシパルに設定されていることを確認できます。 セキュリティ グループのフィルター処理により、グローバル グループのメンバーのみが GPO を受け取って適用し、その結果、Windows Hello for Businessのプロビジョニングが行われます。
グループ ポリシーとIntuneの両方を使用して構成Windows Hello for Business展開する場合、グループ ポリシー設定が優先され、Intune設定は無視されます。 ポリシーの競合の詳細については、「複数のポリシー ソースからのポリシーの競合」を参照してください。
その他のポリシー設定を構成して、Windows Hello for Businessの動作を制御できます。 詳細については、「ポリシー設定のWindows Hello for Business」を参照してください。
Windows Hello for Businessに登録する
Windows Hello for Business プロビジョニング プロセスは、ユーザー プロファイルが読み込まれた直後と、ユーザーがデスクトップを受け取る前に開始されます。 プロビジョニング プロセスを開始するには、すべての前提条件チェックに合格する必要があります。
前提条件のチェックの状態を確認するには、Microsoft > Windows の [アプリケーションとサービス ログ] > [ユーザー デバイス登録] 管理者ログを表示します。
この情報は、コンソールの dsregcmd.exe /status
コマンドを使用して入手することもできます。 詳細については、「 dsregcmd」を参照してください。
ユーザー エクスペリエンス
ユーザーがサインインすると、Windows Hello for Business登録プロセスが開始されます。
- デバイスが生体認証をサポートしている場合、ユーザーは生体認証ジェスチャを設定するように求められます。 このジェスチャを使用して、デバイスのロックを解除し、Windows Hello for Businessを必要とするリソースに対する認証を行うことができます。 ユーザーが生体認証ジェスチャを設定したくない場合は、この手順をスキップできます
- ユーザーは、organization アカウントでWindows Helloを使用するように求められます。 ユーザーが [OK] を選択する
- プロビジョニング フローは、登録の多要素認証部分に進みます。 プロビジョニングは、構成済みの MFA 形式でユーザーに積極的に連絡しようとしていることをユーザーに通知します。 プロビジョニング プロセスは、認証が成功、失敗、またはタイムアウトするまで続行されません。MFA が失敗またはタイムアウトするとエラーが発生し、ユーザーに再試行を求められます
- MFA に成功した場合は、プロビジョニング フローは、ユーザーに PIN の作成と確認を求めます。 この PIN は、デバイスで構成されている PIN の複雑さのポリシーを確認する必要があります
- プロビジョニングの残りの部分では、Windows Hello for Business がユーザーの非対称キー ペアを要求します。TPM の非対称キー ペアをお勧めします (またはポリシーで明示的に設定されている場合は必須です)。 キー ペアが取得されると、Windows は IdP と通信して公開キーを登録します。 キーの登録が完了すると、プロビジョニングWindows Hello for Business、PIN を使用してサインインできることをユーザーに通知します。 ユーザーはプロビジョニング アプリケーションを閉じ、デスクトップにアクセスできます
キーの登録が完了した後、Windows は、同じキー ペアを使用して証明書を要求する証明書の要求を作成します。 Windows は、証明書の登録のために証明書要求を AD FS サーバーに送信します。
AD FS 登録機関は、証明書の要求で使用されているキーが以前に登録されたキーと一致することを確認します。 照合が成功すると、AD FS 登録機関は登録エージェント証明書を使用して証明書要求に署名し、それを証明機関に送信します。
注
AD FS が証明書要求で使用されるキーを検証するには、 https://enterpriseregistration.windows.net
エンドポイントにアクセスできる必要があります。
CA は、証明書が登録機関によって署名されていることを検証します。 検証が成功すると、要求に基づいて証明書が発行され、証明書が AD FS 登録機関に返されます。 登録機関は、証明書を Windows に返し、現在のユーザーの証明書ストアに証明書をインストールします。 このプロセスが完了すると、Windows Hello for Business プロビジョニング ワークフローによって、ユーザーは PIN を使用してアクション センター経由でサインインできることを通知します。
注
Windows Server 2016 の更新プログラム KB4088889 (14393.2155) は、ハイブリッド証明書信頼のプロビジョニング中に同期的な証明書の登録を実行します。 この更新プログラムでは、ユーザーは、Microsoft Entra Connect がオンプレミスで公開キーを同期するのを待つ必要はありません。 ユーザーはプロビジョニング中に証明書を登録し、プロビジョニングが完了した直後に証明書を使用してサインインできます。 更新プログラムは、フェデレーション サーバーにインストールする必要があります。
シーケンス図
プロビジョニング フローを理解するには、デバイスの参加と認証の種類に基づいて、次のシーケンス図を確認します。
- マネージド認証を使用したMicrosoft Entra参加済みデバイスのプロビジョニング
- フェデレーション認証を使用したMicrosoft Entra参加済みデバイスのプロビジョニング
- フェデレーション認証を使用したハイブリッド証明書信頼デプロイ モデルでのプロビジョニング
認証フローについて理解を深めるために、次のシーケンス図を確認します。