このリファレンス記事では、Windows Hello for Business のポリシー設定の包括的な一覧を提供します。 設定の一覧はアルファベット順に並べ替えられて、次の 4 つのカテゴリに分類されます。
1 番目と 2 番目のロック解除要素として使用されるように、顔や指紋プロバイダー GUID などの資格情報プロバイダー GUID のコンマ区切りの一覧を構成します。 信頼されたシグナル プロバイダーがロック解除要因の 1 つとして指定されている場合は、検証するシグナルの種類ごとに xml 形式のシグナル ルールのコンマ区切りリストも構成する必要があります。
このポリシー設定を有効にした場合、ユーザーは各リストの 1 つの要素を使用して正常にロックを解除する必要があります。 このポリシー設定を無効にするか、構成しない場合、ユーザーは既存のオプションを使用して引き続きロックを解除できます。
|
パス |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/
DeviceUnlock |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business |
詳細については、「 多要素ロック解除」を参照してください。
シグナルの種類ごとに xml 形式でシグナル ルールのコンマ区切りリストを構成します。
- このポリシー設定を有効にすると、シグナル ルールが評価され、ユーザーの不在が検出され、デバイスが自動的にロックされます
- 設定を無効にするか、構成しなかった場合、ユーザーは既存のオプションでロックを続行できます
|
パス |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/
DynamicLock |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business |
ハードウェアのセキュリティ デバイスを使用する
トラステッド プラットフォーム モジュール (TPM) は、ソフトウェアによって保護されたデータを他のデバイスで使用できないため、ソフトウェアに比して追加のセキュリティ上の利点を提供します。
- このポリシー設定を有効にすると、Windows Hello for Business プロビジョニングは、使用可能な 1.2 または 2.0 の TPM を持つデバイスでのみ行われます。 必要に応じて TPM リビジョン 1.2 モジュールを除外できます。これにより、これらのデバイスでの Windows Hello for Business プロビジョニングを禁止できます
ヒント
TPM 1.2 仕様では、RSA と SHA-1 ハッシュ アルゴリズムのみを使用できます。 TPM 1.2 の実装はポリシー設定によって異なるため、ロックアウト ポリシーが異なるため、サポートの問題が発生する可能性があります。 Windows Hello for Business プロビジョニングから TPM 1.2 デバイスを除外することをお勧めします。
-このポリシー設定を無効にした場合、または構成しない場合でも TPM が推奨されますが、TPM が機能しない場合や使用できない場合は、すべてのデバイスでソフトウェアを使用して Windows Hello for Business をプロビジョニングできます。
|
パス |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
RequireSecurityDevice
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/
TPM12 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business |
オンプレミスの認証に証明書を使用する
このポリシー設定を使用して、オンプレミス認証に使用されるサインイン証明書を登録するように Windows Hello for Business を構成します。
- このポリシー設定を有効にした場合、Windows Hello for Business は、オンプレミス認証に使用されるサインイン証明書を登録します
- このポリシー設定を無効にした場合、または構成しなかった場合、Windows Hello for Business では、オンプレミス認証にキーまたは Kerberos チケット (他のポリシー設定に応じて) が使用されます
|
パス |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
UseCertificateForOnPremAuth |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business
ユーザー構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business |
オンプレミス認証にクラウド信頼を使用する
このポリシー設定を使用して、クラウド Kerberos 信頼モデルを使用するように Windows Hello for Business を構成します。
- このポリシー設定を有効にすると、Windows Hello for Business は、認証から Microsoft Entra ID に取得した Kerberos チケットをオンプレミス認証に使用します
- このポリシー設定を無効にするか、構成しない場合、Windows Hello for Business では、オンプレミス認証にキーまたは証明書 (他のポリシー設定に応じて) が使用されます
|
パス |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
UseCloudTrustForOnPremAuth |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business |
注
Cloud Kerberos の信頼は、証明書の信頼と互換性がありません。 証明書信頼ポリシー設定が有効になっている場合は、このポリシー設定よりも優先されます。
Windows Hello for Business の使用
- このポリシーを有効にした場合、デバイスは、すべてのユーザーのキーまたは証明書を使用して Windows Hello for Business をプロビジョニングします
- このポリシー設定を無効にした場合、デバイスはどのユーザーにも Windows Hello for Business をプロビジョニングしません
- このポリシー設定を構成しない場合、ユーザーは Windows Hello for Business をプロビジョニングできます
Microsoft 以外のソリューションを使用して Windows Hello for Business をプロビジョニング する場合は、[サインイン後に Windows Hello プロビジョニングを開始しない] オプションを選択します。
-
[サインイン後に Windows Hello プロビジョニングを開始しない] を選択した場合、ユーザーがサインインした後に Windows Hello for Business は自動的にプロビジョニングを開始しません
-
[サインイン後に Windows Hello プロビジョニングを開始しない] を選択しない場合、ユーザーがサインインした後、Windows Hello for Business は自動的にプロビジョニングを開始します
|
パス |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
UsePassportForWork
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
DisablePostLogonProvisioning |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business
ユーザー構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business |
有効期限
この設定は、ユーザーが PIN を変更する前に PIN を使用できる期間 (日数) を指定します。 PIN は、1 日から 730 日の間に有効期限が切れるか、ポリシーが 0 に設定されている場合は PIN を期限切れにならないように設定できます。
既定値は 0 です。
履歴
この設定では、再利用できないユーザー アカウントに関連付けることができる過去の PIN の数を指定します。 このポリシーは、古い PIN が継続的に再利用されないようにすることで、セキュリティを強化します。 値は 0 から 50 PIN の間である必要があります。 このポリシーを 0 に設定すると、以前の PIN を保存する必要がなくなります。
既定値は 0 です。
注
PIN のリセットによって PIN 履歴は保持されません。
PIN の最大桁数
PIN の最大長は、PIN に許可される最大文字数を構成します。 このポリシー設定に構成できる最大数は 127 です。 構成できる最小の数値は、[最小 PIN の長さ] ポリシー設定で構成された数値または数値 4 のいずれか大きい方である必要があります。 このポリシー設定を構成する場合、PIN の長さは、この数値以下である必要があります。
このポリシー設定を無効にするか、構成しない場合、PIN の長さは 127 以下である必要があります。
注
PIN の最大長に対して上記で指定した条件が満たされていない場合、PIN の最大長と最小長の両方に既定値が使用されます。
PIN の最小桁数
PIN の最小長は、PIN に必要な最小文字数を構成します。 このポリシー設定で構成できる最小の数値は 4 です。 構成できる最大数は、[最大 PIN の長さ] ポリシー設定で構成されている数値または数値 127 のいずれか小さい方の数値である必要があります。
このポリシー設定を構成する場合、PIN の長さは、この数値以上である必要があります。
このポリシー設定を無効にするか、構成しない場合、PIN の長さは 6 以上である必要があります。
注
PIN の最小長に対して上記で指定した条件が満たされていない場合は、PIN の最大長と最小長の両方に既定値が使用されます。
数字を要求する
PIN で数字の使用を構成するには、次のポリシー設定を使用します。
- このポリシー設定を有効にすると、ユーザーは PIN に少なくとも 1 桁を含める必要があります
- このポリシー設定を無効にした場合、ユーザーは PIN に数字を含めることはできません
- このポリシー設定を構成しない場合、Windows では PIN 内の数字は許可されますが、必要ありません
小文字を要求する
PIN で小文字の使用を構成するには、次のポリシー設定を使用します。
- このポリシー設定を有効にすると、ユーザーは PIN に少なくとも 1 つの小文字を含める必要があります
- このポリシー設定を無効にした場合、ユーザーは PIN に小文字を含めることはできません
- このポリシー設定を構成しない場合、Windows では PIN で小文字が許可されますが、必要ありません
特殊文字を要求する
スコープ: マシン
PIN で特殊文字の使用を構成するには、このポリシー設定を使用します。 特殊文字には、次のセットが含まれます。
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- このポリシー設定を有効にすると、ユーザーは PIN に少なくとも 1 つの特殊文字を含める必要があります
- このポリシー設定を無効にした場合、ユーザーは PIN に特殊文字を含めることはできません
- このポリシー設定を構成しない場合、Windows では PIN で特殊文字が許可されますが、必要ありません
大文字を要求する
PIN で大文字の使用を構成するには、次のポリシー設定を使用します。
- このポリシー設定を有効にすると、ユーザーは PIN に少なくとも 1 つの大文字を含める必要があります
- このポリシー設定を無効にした場合、ユーザーは PIN に大文字を含めることはできません
- このポリシー設定を構成しない場合、Windows では PIN で大文字が許可されますが、必要ありません
PIN 回復を使用する
PIN 回復を使用すると、デバイス上のユーザーの個人アカウントに関連付けられているキーを含め、関連付けられている資格情報や証明書を失うことなく、Windows Hello for Business PIN 回復サービスを使用して忘れた PIN を変更できます。
これを実現するために、PIN 回復サービスは、デバイスに格納されている回復シークレットを暗号化し、PIN 回復サービスとデバイスの両方を暗号化解除する必要があります。
PIN 回復では、ユーザーが Microsoft Entra ID に対して多要素認証を実行する必要があります。
- このポリシー設定を有効にした場合、Windows Hello for Business では PIN 回復サービスが使用されます
- このポリシー設定を無効にした場合、または構成しなかった場合、Windows は PIN 回復シークレットを作成または格納しません。 ユーザーが PIN を忘れた場合は、既存の PIN を削除して新しい PIN を作成し、古い PIN がアクセスを提供したサービスに再登録する必要があります
|
パス |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
EnablePinRecovery
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
EnablePinRecovery |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business |
詳細については、「 PIN リセット」を参照してください。
このポリシー設定は、Windows Hello 顔認証に強化されたスプーフィング対策が必要かどうかを決定します。
- この設定を有効にした場合、Windows では顔認証に強化されたなりすまし対策を使用する必要があります
重要
これにより、強化されたなりすまし対策をサポートしていないデバイスでの顔認証が無効になります。
- この設定を無効にした場合、または構成していない場合、Windows では顔認証の強化されたなりすまし対策は必要ありません
サポートされている周辺機器で ESS を有効にする
強化されたサインイン セキュリティ (ESS) は、仮想化ベースのセキュリティ (VBS) やトラステッド プラットフォーム モジュール 2.0 など、特殊なハードウェアおよびソフトウェア コンポーネントを使用して、生体認証データにセキュリティレイヤーを追加します。
ESS では、Windows Hello 生体認証 (顔と指紋) テンプレート データと一致する操作は、信頼されたハードウェアまたは指定されたメモリ領域に分離され、オペレーティング システムの残りの部分はアクセスまたは改ざんできません。 センサーとアルゴリズム間の通信チャネルもセキュリティで保護されているため、マルウェアがユーザーのサインインをシミュレートしたり、ユーザーをマシンからロックアウトしたりするために、データを挿入または再生することはできません。
このポリシーを有効にした場合は、次の値を構成できます。
-
0: ESS は、周辺機器または組み込みの非 ESS センサーで有効になります。 Windows Hello 対応周辺機器の認証操作は、現在の機能制限に従って許可されます。 ESS は、ESS 対応指紋リーダーや ESS 対応以外のカメラなど、生体認証デバイスが混在するデバイスで有効になります。 したがって、この設定は推奨されません
-
1: ESS は、周辺機器または組み込みの非 ESS センサーなしで有効になります。 周辺機器の生体認証デバイスの認証操作はブロックされ、Windows Hello では使用できません。 この設定は、最高のセキュリティを実現するために推奨されます
この設定を無効にするか構成しない場合、ESS 以外のセンサーは ESS デバイスでブロックされます。
詳細については、「 拡張サインイン セキュリティで生体認証データを保護する方法」を参照してください。
生体認証を使用する
Windows Hello for Business を使用すると、ユーザーは PIN ジェスチャの代わりに、顔や指紋などの生体認証ジェスチャを使用できます。 ただし、ユーザーは引き続き、障害が発生した場合に使用するように PIN を構成する必要があります。
- このポリシー設定を有効にするか、構成しない場合、Windows Hello for Business では生体認証ジェスチャを使用できます
- このポリシー設定を無効にすると、Windows Hello for Business では生体認証ジェスチャの使用が禁止されます
注
このポリシーを無効にすると、すべてのアカウントの種類のデバイスで生体認証ジェスチャを使用できなくなります。
|
パス |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/
UseBiometrics |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business |
すべてのユーザーに対してエミュレートされたスマート カードの列挙を許可する
Windows では、同じデバイス上のユーザーが、他のユーザーのプロビジョニングされた Windows Hello for Business 資格情報を列挙できないようにします。 このポリシー設定を有効にした場合、Windows では、デバイスのすべてのユーザーがすべての Windows Hello for Business 資格情報を列挙できますが、各ユーザーは認証に独自の要素を提供する必要があります。 このポリシー設定を無効にした場合、または構成していない場合、Windows では、同じデバイス上の他のユーザーに対してプロビジョニングされた Windows Hello for Business 資格情報の列挙は許可されません。
このポリシー設定は、 特権 アカウントと 非特権 アカウントを 1 つのデバイスに登録する 1 人のユーザー向けに設計されています。 ユーザーは両方の資格情報を所有しています。これにより、特権のない資格情報を使用してサインインできますが、サインアウトせずに管理者特権のタスクを実行できます。このポリシー設定は、[ スマート カード エミュレーションをオフにする ] ポリシー設定が有効になっているときにプロビジョニングされた Windows Hello for Business 資格情報と互換性がありません。
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business |
スマート カード エミュレーションをオフにする
Windows Hello for Business では、スマート カード対応アプリケーションとの互換性のためにスマート カード エミュレーションが自動的に提供されます。
- このポリシー設定を有効にした場合、Windows Hello for Business では、スマート カード アプリケーションと互換性のない Windows Hello for Business 資格情報がプロビジョニングされます
- このポリシー設定を無効にするか、構成しない場合、Windows Hello for Business はスマート カード アプリケーションと互換性のある Windows Hello for Business 資格情報をプロビジョニングします
重要
このポリシーは、作成時の Windows Hello for Business 資格情報に影響します。 このポリシーの適用前に作成された資格情報は、引き続きスマート カード エミュレーションを提供します。 既存の資格情報を変更するには、このポリシー設定を有効にし、[設定] から [PIN を忘れた場合 ] を選択します。
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>Windows Hello for Business |
Windows Hello for Business 証明書をスマート カード証明書として使用する
このポリシー設定は、スマート カード証明書のみに依存するアプリケーションとの互換性を確保するように設計されています。
- このポリシー設定を有効にした場合、アプリケーションではスマート カード証明書として Windows Hello for Business 証明書が使用されます。 ユーザーが証明書の秘密キーの使用を承認するように求められた場合、生体認証要素は使用できません
- このポリシー設定を無効にするか、構成しない場合、アプリケーションは Windows Hello for Business 証明書をスマート カード証明書として使用せず、ユーザーが証明書の秘密キーの使用を承認するように求められたときに生体認証要素を使用できます
このポリシー設定は、[ スマート カード エミュレーションをオフにする ] が有効になっているときにプロビジョニングされた Windows Hello for Business 資格情報と互換性がありません。
機能の設定
PIN 設定
生体認証の設定
スマート カードの設定