Windows パスワードレス エクスペリエンス
KB5030310を使用したバージョン 22H2 Windows 11以降、Windows パスワードレス エクスペリエンスは、Microsoft Entra参加しているデバイスでパスワードのないユーザー エクスペリエンスを促進するセキュリティ ポリシーです。
ポリシーが有効になっている場合、特定のWindows 認証シナリオでは、ユーザーにパスワードを使用するオプションが提供されないため、組織を支援し、ユーザーがパスワードから徐々に移行する準備を行うことができます。
Windows パスワードレス エクスペリエンスでは、Windows Helloまたは FIDO2 セキュリティ キーを使用してサインインするユーザー:
Windows ロック画面でパスワード資格情報プロバイダーを使用できない
セッション内認証中にパスワードを使用するように求められません (たとえば、UAC 昇格、ブラウザーのパスワード マネージャーなど)
[アカウント] > [設定] アプリの [パスワードの変更] オプションがありません
注
ユーザーは Ctrl+ALT+DEL>アカウントを管理してパスワードをリセットできます
Windows パスワードレス エクスペリエンスは、初期サインイン エクスペリエンスとローカル アカウントには影響しません。 これは、Microsoft Entra アカウントの後続のサインインにのみ適用されます。 また、ロック画面で [その他のユーザー] オプションを使用しても 、ユーザー がパスワードでサインインできなくなります。
パスワード資格情報プロバイダーは、Windows Helloまたは FIDO2 セキュリティ キーにサインインした最後にサインインしたユーザーに対してのみ非表示になります。 Windows パスワードレス エクスペリエンスは、ユーザーがパスワードを使用できないようにすることではなく、パスワードを使用しないようにガイドして教育することです。
この記事では、Windows パスワードレス エクスペリエンスを有効にする方法と、ユーザー エクスペリエンスについて説明します。
ヒント
Windows Hello for Businessユーザーは、Web サインイン機能を使用して、最初のサインインからパスワードレス サインインを実現できます。 Web サインインの詳細については、「 Windows デバイスの Web サインイン」を参照してください。
システム要件
Windows パスワードレス エクスペリエンスには、次の要件があります。
- Windows 11 バージョン 22H2 (KB5030310 以降)
- Microsoft Entra参加済み
- ユーザー Windows Hello for Business登録されている資格情報、または FIDO2 セキュリティ キー
- MDM 管理: Microsoft Intuneまたはその他の MDM ソリューション
注
Microsoft Entraハイブリッド参加済みデバイスと Active Directory ドメイン参加済みデバイスは現在スコープ外です。
Windows エディションとライセンスに関する要件
次の表に、Windows パスワードレス エクスペリエンスをサポートする Windows エディションを示します。
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
はい | はい | はい | はい |
Windows パスワードレス エクスペリエンス ライセンスの権利は、次のライセンスによって付与されます。
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
はい | はい | はい | はい | はい |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
Intuneで Windows パスワードレス エクスペリエンスを有効にする
Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。
カテゴリ | 設定名 | 値 |
---|---|---|
認証 | パスワードレス エクスペリエンスを有効にする | 有効 |
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
または、ポリシー CSP でカスタム ポリシーを使用してデバイスを構成することもできます。
設定 |
---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience - データ型: int - 価値: 1 |
ユーザー エクスペリエンス
ロック画面エクスペリエンス
パスワードレス エクスペリエンスがオフになっている: ユーザーは、Windows ロック画面にパスワード資格情報プロバイダー が存在することで示されているように、パスワードを使用してサインインできます。
パスワードレス エクスペリエンスが有効になっている: 強力な資格情報でサインインした最後のユーザーに対して、パスワード資格情報プロバイダーの がありません。 ユーザーは、強力な資格情報を使用してサインインするか、[ その他のユーザー ] オプションを使用してパスワードでサインインすることを選択できます。
セッション内認証エクスペリエンス
Windows パスワードレス エクスペリエンスが有効になっている場合、ユーザーはセッション内認証シナリオでパスワード資格情報プロバイダーを使用できません。 セッション内認証のシナリオは次のとおりです。
- Web ブラウザーのパスワード マネージャー
- ファイル共有またはイントラネット サイトへの接続
- ローカル ユーザー アカウントが昇格に使用されている場合を除き、ユーザー アカウント制御 (UAC) の昇格
注
RDP サインインの既定値は、サインイン時に使用される資格情報プロバイダーです。 ただし、ユーザーは [ 別のアカウントを使用して パスワードでサインインする] オプションを選択できます。
別のユーザーとして実行 することは、Windows パスワードレス エクスペリエンスの影響を受けません。
UAC 昇格エクスペリエンスの例:
パスワードレス エクスペリエンスがオフになっている: UAC 昇格により、ユーザーはパスワードを使用して認証できます。
パスワードレス エクスペリエンスが有効になっている: UAC 昇格では、ユーザーは現在ログオンしているユーザーのパスワード資格情報プロバイダーを使用できません。 ユーザーは、Windows Hello、FIDO2 セキュリティ キー、またはローカル ユーザー アカウント (使用可能な場合) を使用して認証できます。
推奨事項
Windows パスワードレス エクスペリエンスを有効にする前に考慮すべき推奨事項の一覧を次に示します。
- Windows Hello for Businessが有効になっている場合は、ユーザーがロック画面から PIN をリセットできるように PIN リセット機能を構成します。 WINDOWS 11 バージョン 22H2 以降では、KB5030310 で PIN リセット エクスペリエンスが向上しています
- セキュリティ ポリシーを構成しない 対話型ログオン: Windows パスワードレス エクスペリエンスが機能しなくなるため、最後にサインインした状態を表示しない
- [資格情報プロバイダーの除外] ポリシーを使用して、パスワード 資格情報プロバイダーを 無効にしないでください。 2 つのポリシーの主な違いは次のとおりです。
- [資格情報プロバイダーの除外] ポリシーでは、ローカル アカウントを含 むすべてのアカウントのパスワードが無効になります。 Windows パスワードレス エクスペリエンスは、Windows Helloまたは FIDO2 セキュリティ キーを使用してサインインするMicrosoft Entra アカウントにのみ適用されます。 また、他の ユーザー がポリシーから除外されるため、ユーザーにはバックアップ サインイン オプションがあります
- 資格情報プロバイダーを除外ポリシーを使用すると、RDP と 認証として実行 のシナリオでパスワードを使用できなくなります
- ヘルプデスクのサポート操作を容易にするには、ローカル管理者アカウントを有効にするか、別のアカウントを作成し、Windows ローカル管理者パスワード ソリューション (LAPS) を使用してそのパスワードをランダム化することを検討してください
既知の問題
FIDO2 セキュリティ キーを使用する場合、セッション内認証エクスペリエンスに影響する既知の問題があります。セキュリティ キーは常に使用可能なオプションとは限りません。 製品グループはこの動作を認識しており、今後これを改善する予定です。
フィードバックを提供する
Windows パスワードレス エクスペリエンスに関するフィードバックを提供するには、 Feedback Hub を 開き、[ セキュリティとプライバシー] > [パスワードレス エクスペリエンス] カテゴリを使用します。