Windows Hello でよくお問い合わせをいただくグループ ポリシー

Last Update:
Active DirectoryWindows Hello
feedback 共有

本記事はマイクロソフト社員によって公開されております。

こんにちは。Windows Commercial Support Directory Services チームです。
最近 Windows Hello のグループ ポリシーに関するお問い合わせが増えております。
今回は、Windows Hello でよくお問い合わせをいただくグループ ポリシーについて、ご紹介したいと思います。

サインイン時のプロビジョニングを無効にする

Windows Hello for Business をご利用可能な環境において、ユーザーがサインインすると、PIN や 生体認証の登録を促すプロビジョニング画面が表示される場合がございます。

このプロビジョニング画面を非表示にしたい場合、以下のグループ ポリシーをご利用ください。

 ポリシー パス : [コンピューターの構成] - [管理用テンプレート] - [Windows コンポーネント] - [Windows Hello for Business]
 ポリシー名 : Windows Hello for Business の使用
 設定値 : 有効 ( “サインイン後に Windows Hello のプロビジョニングを開始しない” にチェックを入れてください )

  ※ このポリシーは [ユーザーの構成] 配下にもございます。
  ※ ポリシーをユーザー単位で適用されたい場合は、[ユーザーの構成] 配下のポリシーをご利用ください。


なお、サインイン時のプロビジョニング画面を非表示にした場合も、サインインした後に [設定] - [アカウント] - [サインイン オプション] から、プロビジョニングを行うことができます。



PIN の複雑さ要件を設定する

Windows Hello の PIN に対して、文字数 や 有効期限などの要件を設定したい場合、以下のグループ ポリシーをご利用ください。

 ポリシー パス : [コンピューターの構成] - [管理用テンプレート] - [システム] - [PIN の複雑さ]
 ポリシー名 :
  数字を要求する
  小文字を要求する
  PINの最大文字数
  PINの最小文字数
  有効期限
  履歴
  特殊文字を要求する
  大文字を要求する

このポリシーは Windows Hello for Business と 便利な PIN ( Windows Hello ) の両方に対してご利用いただけます。


多要素のロック解除を設定にする

Windows Hello で使用する PIN や生体認証を組み合わせて多要素で認証をさせたい場合、以下のグループ ポリシーをご利用ください。

 ポリシー パス : [コンピューターの構成] - [管理用テンプレート] - [Windows コンポーネント] - [Windows Hello for Business]
 ポリシー名 : デバイスのロック解除要素を構成する
 設定値 : 有効

 「最初のロック解除要素である資格情報プロバイダー」と「2 番目のロック解除要素である資格情報プロバイダー」に、
 以下の中から認証要素に組み込みたい資格情報プロバイダーをご指定ください。

  PIN: {D6886603-9D2F-4EB2-B667-1971041FA96B}
  顔:{8AF662BF-65A0-4D0A-A540-A338A999D36F}
  指紋:{BEC09223-B018-416D-A0AC-523971B639F5}
  信頼された信号:{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}

 例) 第一認証要素に “PIN” と “顔”、第二認証要素に “指紋” を設定したい場合
  最初のロック解除要素である資格情報プロバイダー : {D6886603-9D2F-4EB2-B667-1971041FA96B},{8AF662BF-65A0-4D0A-A540-A338A999D36F}
  2 番目のロック解除要素である資格情報プロバイダー : {BEC09223-B018-416D-A0AC-523971B639F5}

このポリシーは Windows Hello for Business と 便利な PIN ( Windows Hello ) の両方に対してご利用いただけます。

留意事項

  1. 解除要素として、少なくともどちらかの設定に PIN が含まれている必要があります。
  2. 「最初のロック解除要素である資格情報プロバイダー」と「2 番目のロック解除要素である資格情報プロバイダー」という名称ですが、どちらのリストから開始されても問題ありません。例えば、「PIN/顔」+「PIN/指紋」と設定した場合には先に「2 番目のロック解除要素である資格情報プロバイダー」に設定されている指紋認証からでも認証を開始することができ、その後に顔認証でロックが解除される状態となります。なお、最初は必ず顔認証してから、次に指紋認証、などといった順序を厳密に定義することはできません。
  3. “パスワード” を認証要素に組み込むことはできません。

多要素認証のポリシーについては別途ブログも公開しておりますので、こちらもご参照いただけますと幸いです。

Windows Hello における多要素のロック解除について
https://social.technet.microsoft.com/Forums/windowsserver/ja-JP/44247f22-3ec1-4d7b-8748-218763f7c2f4/windows-hello


更新履歴

2021/11/8 : 本ブログの公開