これにより、PCからEntra IDにサインインする際、PINや指紋等の生体認証を使用し、パスワード認証より安全に運用することができます。
- 操作環境:
- OS:Windows 11
- Webブラウザー:Edge
- 使用プラン:Microsoft 365 Business Premium(試用版)
*クラウド単独型
- 方法1.Intune管理C 全デバイスWHfB有効化
- 方法2-1.Intune管理C 指定グループWHfB有効化(デバイス構成ポリシー使用)
- 方法2-2.Intune管理C 指定グループWHfB有効化(アカウント保護ポリシー使用)
- ユーザーPC WHfB設定
- 導入検討時・開始時の想定FAQ(参考)
- おわりに
方法1.Intune管理C 全デバイスWHfB有効化
Microsoft Intuneに登録された全デバイスに対し、WHfBを有効化する方法を紹介します(ユーザーやデバイスを限定したい場合はこの手順をスキップしてください)。
Microsoft Intune管理センターは、Microsoft 365 管理センターの[管理センター>エンドポイントマネージャー]からアクセスできます。
Microsoft Intune管理センターの左メニューの[デバイス]を選択し、サブメニューの[デバイスのオンボーディング>登録]を選択し、登録オプションの[Windows Hello for Business]を選択します。
[Windows Hello for Businessの構成]で[有効]を選択し、他の項目を要件に応じて適宜設定し、[保存]を選択します。
方法2-1.Intune管理C 指定グループWHfB有効化(デバイス構成ポリシー使用)
ここから指定グループ(ユーザー・デバイスとどちらでも)のWHfBを有効化する方法を紹介します(全デバイスに対し有効化したい場合、この手順は設定不要です)。
以下の通り方法は二つあります。
- デバイス構成ポリシーの設定カタログ使用
- アカウント保護ポリシーのプロファイル使用
なお、公式記事によると、テンプレートを使用した設定は2024年7月以降非推奨となり、新規作成はできないようです。それ以前にテンプレートを使用して設定したプロファイルは継続利用できます。
Microsoft Intune管理センターの左メニューの[デバイス]を選択し、サブメニューの[デバイスの管理>構成]を選択し、[ポリシー]タブの[作成>新しいポリシー]を選択します。
プラットフォームは[Windows10以降]、プロファイルの種類は[設定カタログ]を選択し、[作成]を選択します。
プロファイルの名前を適宜入力し、[次へ]を選択します。
[設定の追加]を選択し、右側に表示された画面上部にて[Windows Hello for Business]を選択し、同画面下部で設定したい項目にチェックをつけ、右上の[×]を選択します。
前の画面で選択した項目を適宜設定し、[次へ]を選択します。
この例では、PINの最小長を4にしましたが、実際組織で使うならもっと大きい値にしてセキュリティを厳しくした方が良いかもしれません。
また、[Passport for Work を使用する]は、次回PCサインイン時にWHfBの登録を促してくれる機能です。
スコープタグは特に設定せず[次へ]を選択します。
割り当てでは、組織内メンバーのグループを選択します。
ここで選択できるグループについて、Teamsのプライベートのチームとして作成したグループは選択できないようです(選択肢に表示されません)。
適切なグループがない場合は、先にMicrosoft Intune管理センターの左メニューの[グループ]から作成しておきます。
設定内容を確認し、問題なければ[作成]を選択します。
一覧画面に作成したポリシーが表示されます。これを選択します。
割り当てたグループに属するユーザーのPCが表示されれば、これらのPCについて、WHfBの設定が行えるようになっています。
なお、デバイス名を選択すると、詳細情報を確認できます。エラー発生時はこの画面でエラー原因を確認します。
方法2-2.Intune管理C 指定グループWHfB有効化(アカウント保護ポリシー使用)
方法2-1でデバイス構成ポリシーによる設定を行いましたが、ここでは別の方法として、アカウント保護ポリシーによる設定を冒頭だけ紹介します。
Intune管理センターの左メニューの[エンドポイントセキュリティ]を選択し、サブメニューの[アカウント保護]を選択し、[ポリシーの作成]を選択します。
プラットフォームは[Windows10以降]、プロファイルは[アカウント保護]を選択し、[作成]を選択します。
ここから先はデバイス構成ポリシーの設定の流れとほぼ一緒ですので、割愛します。
ユーザーPC WHfB設定
ユーザーPCにてWHfBを設定してみます。
次回サインイン時にWHfBを使用するよう求められた時に設定すれば良いのですが、サインイン中に手動で設定することもできます。これについて紹介します。
Windowsの[設定]メニューを起動し、[アカウント>サインインオプション]を選択します。
[PIN]を選択し、[セットアップ]を選択します。
ユーザーPCのサインインパスワードを入力し、[OK]を選択します。
[PIN]の値を入力し(二箇所)、[OK]を選択します。なお、PINに数字以外の値も含める場合は、[英字と記号を含める]のチェックをつけてから値を入力します。
なお、[PINの要件]を選択すると、Microsoft Intune管理センターで設定したポリシーが表示されます。
PINの設定が完了すると、元の画面からPINの変更や削除も行えるようになります。
また、顔認証や指紋認証等が使用できるPCの場合、必要に応じてPINと同じように登録しておきます。
ユーザーPCから一度サインアウトしてサインインしようとすると、パスワード認証以外に、PINや指紋認証等、設定済の認証手段が選択できるようになります。
導入検討時・開始時の想定FAQ(参考)
導入検討時・開始時に疑問を持ちそうな事項を挙げてみました。
- 設定はデバイス全体と指定グループのどちらがよいか?
⇒複数人で使用する共有のアカウントや一時貸出用のデバイスを対象から外したい等の要件があれば、全デバイスではなく指定グループでの運用の方が良いです。 - Windowsリモートデスクトップ経由でWHfB設定済PCにサインインする際、WHfBは使用できるか?
⇒Windowsリモートデスクトップ経由ではWHfBは機能しません。パスワード認証を使用します。 - PC上のWindows Helloの設定がデバイス単体の機能なのか、for Businessの機能なのか区別がつかない(for Businessの設定が正しくできているか見分けがつかない)。
⇒ユーザーPCのPIN設定時に表示される[PINの要件]が組織のポリシーであれば後者です。また、サインイン時にWHfBの設定を求められた際、「組織の要件により、Windows Helloの・・・」のような記載があれば後者です。また、Microsoft Entra ID管理センターのサインインログでも確認できます。 - オンプレミスのActiveDirectoryとのハイブリッド環境の場合、この記事の手順で設定できるか?
⇒この記事の手順だけでは不足しています。Cloud Kerberos信頼を適用する場合、Entra Kerberosの展開とIntuneデバイス構成ポリシーへのクラウド信頼の設定が必要になります。
- ハイブリッド環境 Cloud Kerberos信頼の設定に関する公式記事:
Cloud Kerberos 信頼デプロイ ガイド
おわりに
この例はクラウド単独環境(オンプレミスADとのハイブリッド環境ではない)での設定のため、割とシンプルな設定でした。
しかし、2024年7月にポリシーの設定方法が変わっていたり、以前からWindows Helloのデバイス単体とfor Businessとの判別のつき辛さがあったりと、若干煩雑な点もあります。
