次の方法で共有

デュアル登録

  • [アーティクル]
  • 適用対象:
    Windows 11, ✅ Windows 10

この記事では、次Windows Hello for Business適用される機能またはシナリオについて説明します。

重要

デュアル登録では、Privileged Access Workstations 機能と同じセキュリティが置き換えられるか、提供されません。 Microsoft は、特権アクセス ワークステーションを特権資格情報ユーザーに使用することを組織に推奨します。 組織は、Privileged Access 機能を使用できない状況で、Windows Hello for Business二重登録を検討できます。 詳細については、「 Privileged Access Workstations」を参照してください。

デュアル登録を使用すると、管理者は特権のない資格情報と特権を持つ資格情報の両方をデバイスに登録することで、管理者特権の管理機能を実行できます。

設計上、Windows はユーザーのセッション内からすべてのWindows Hello for Businessユーザーを列挙するわけではありません。 グループ ポリシー設定 [エミュレートされたスマート カードの列挙をすべてのユーザーに許可する] を使用して、選択したデバイスに登録されているすべてのWindows Hello for Business資格情報を列挙するようにデバイスを構成できます。

この設定を使用すると、管理ユーザーは、メールなどの通常のワークフローの特権のないWindows Hello資格情報を使用して Windows にサインインできますが、[別のユーザーとして実行] または [管理者として実行] を選択し、特権ユーザー アカウントを選択し、PIN を指定することで、Microsoft 管理コンソール (MMC)、リモート デスクトップ サービス クライアント、およびその他のアプリケーションを起動できます。 管理者は、 runas.exe/smartcard 引数と組み合わせて使用することで、コマンド ライン アプリケーションでこの機能を利用することもできます。 これにより、管理者は、サインインやサインアウトを必要とせずに日常的な操作を実行したり、特権ワークロードと非特権ワークロードを交互に切り替えるときに高速なユーザー切り替えを使用したりできます。

重要

ユーザー (特権または非特権) のプロビジョニングをWindows Hello for Businessする前に、Windows Hello for Businessデュアル登録用に Windows コンピューターを構成する必要があります。 デュアル登録は、作成時にWindows Hello コンテナーで構成される特別な設定です。

デュアル登録Windows Hello for Business構成する

デュアル登録を有効にする手順を次に示します。

  • ドメイン管理者の登録をサポートするように Active Directory を構成する
  • グループ ポリシーを使用してデュアル登録を構成する

ドメイン管理者の登録をサポートするように Active Directory を構成する

設計されたWindows Hello for Business構成では、msDS-KeyCredentialsLink属性に対する読み取りおよび書き込みアクセス許可をKey Admins グループに付与します。 ドメインのルートでこれらのアクセス許可を指定し、オブジェクトの継承を使用して、ドメイン階層内の場所に関係なく、ドメイン内のすべてのユーザーにアクセス許可が確実に適用されるようにしました。

Active Directory Domain Servicesでは、AdminSDHolderを使用して、特権ユーザーとグループのセキュリティを比較し、1 時間単位のサイクルで AdminSDHolder オブジェクトで定義されているものと一致するように置き換えることで、意図しない変更から特権ユーザーとグループをセキュリティで保護します。 Windows Hello for Businessの場合、ドメイン管理者アカウントはアクセス許可を受け取る可能性がありますが、msDS-KeyCredential属性に対して読み取りおよび書き込みアクセス許可をAdminSDHolderしない限り、ユーザー オブジェクトから消えます。

ドメイン管理者と同等のアクセス権を持つ ドメイン コントローラーまたは管理ワークステーションにサインインします。

  1. 次のコマンドを入力して、AdminSDHolderオブジェクトのKey Admins グループの msDS-KeyCredentialLink 属性の読み取りおよび書き込み許可プロパティのアクセス許可を追加します。

    dsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink

    DC=domain,DC=comは Active Directory ドメインの LDAP パスであり、domainName\keyAdminGroupはドメインの NetBIOS 名と、デプロイに基づいてキーへのアクセスを許可するために使用するグループの名前です。 次に、例を示します。

    dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink

  2. セキュリティ記述子の伝達をトリガーするには、 ldp.exeを開きます。

  3. [ 接続] を選択し、[ 接続]を選択します。 [ サーバー] の横に、ドメインの PDC ロールを保持するドメイン コントローラーの名前を入力します。 [ポート] の横に「389」と入力し、[OK] を選択します

  4. [ 接続] を選択し、[ バインド]を選択します。 [ OK] を 選択して、現在サインインしているユーザーとしてバインドします。

  5. [ ブラウザー ] を選択し、[変更] を選択 します[DN] テキスト ボックスは空白のままにします。 [属性] の横に「RunProtectAdminGroupsTask」と入力します。 [ 値] の横に「 1」と入力します。 [ Enter] を選択して、 エントリ リストに追加します。

  6. [ 実行] を 選択してタスクを開始します。

  7. LDP を閉じます。

グループ ポリシーを使用してデュアル登録を構成する

グループ ポリシー オブジェクトのコンピューター構成部分を使用して、デュアル登録をサポートするように Windows を構成します。

  1. グループ ポリシー管理コンソール (GPMC) を使用して、新しいドメイン ベースのグループ ポリシー オブジェクトを作成し、特権ユーザーが使用する Active Directory コンピューター オブジェクトを含む組織単位にリンクします。

  2. 手順 1 からグループ ポリシー オブジェクトを編集します。

  3. [コンピューターの構成] -> [管理用テンプレート] ->Windows コンポーネント->Windows Hello for Businessにある [エミュレートされたスマート カードの列挙をすべてのユーザーに許可する] ポリシー設定を有効にします。

  4. グループ ポリシー管理エディターを閉じて、グループ ポリシー オブジェクトを保存します。 GPMC を閉じます。

  5. このグループ ポリシー オブジェクトの対象となるコンピューターを再起動します。

    コンピューターはデュアル登録の準備ができています。 最初に特権ユーザーとしてサインインし、Windows Hello for Businessに登録します。 完了したら、サインアウトして特権のないユーザーとしてサインインし、Windows Hello for Businessに登録します。 パスワードを使用せずに、ユーザーを切り替えることなく、特権資格情報を使用して特権タスクを実行できるようになりました。