Microsoftとしては、Active directory環境ではWindows Hello for Businessが推奨ですが、
”企業で使ってもいいよ” との公開情報もあるので、きちんと設定することで企業でWindows Helloも使用に耐えうると考えます。
目次
Microsoftの公開情報
Microsoftは以下の2つの情報を公開しています。
ビジネスモデルとして期待するのは、”Azure AD と連携する” Windows Hello for Business なのでしょうが、Windows Helloだけでも企業で使っても大丈夫と言っています。
Windows Hello 生体認証の企業利用
https://docs.microsoft.com/ja-jp/windows/security/identity-protection/hello-for-business/hello-biometrics-in-enterprise
組織での Windows Hello for Business の管理
https://docs.microsoft.com/ja-jp/windows/security/identity-protection/hello-for-business/hello-manage-in-organization
Microsoftでは ”基本的にActive directory環境ではWindows Hello for Businessを推奨” しています。
これは、Windows Hello for Businessでは
・2要素での認証(PINコードと顔、PINコードと指紋など)
・Active Directoryグループポリシでの管理
・IntuneのMDM機能でのデバイスコントロール
などが実装できるからです。
しかし、Windows Hello for Businessの環境にはAzureADが必要になるので、Active Directory環境(構成)の変更が必要となります。
Windows Hello 利用の注意点
PINコード
セキュリティの面から考えると、規定値のまま Windows Hello を使うのは推奨できません。
たとえば、”規定値ではPINコードだけでログオンできてしまう” ことが懸念されます。
悪意を持った者がPINコード解析プログラムを作成すると ”10,000回のループで解析” できてしまうことになります(PINコードミスマッチのLockなどは無い)。
そのため 最低限でも ”PINコードの複雑さ” を設定することが必須となります。
ログオンは ”そのPC”
PINコードや生体認証でログオンするのは、”そのPC であって Active Directoryでは無い” ということです。
そのPCの ”ドメインユーザにログオン” するだけで、Active Directoryへログオンするわけではありません。
Windows Hello の設定
生体認証の有効化
Windows10をインストールした直後(ワークグループ環境)の windows10 は規定値で顔/指紋認証やPIN認証は有効となっています。
ですが、Active Directoryに参加した場合は、規定値で顔/指紋認証やPIN認証が無効となります。
まずは、これを有効とします。
指紋認証(PIN認証)を有効にするには、Active Directoryグループポリシで以下の設定を行います。
■場所:
[コンピュータの構成] – [ポリシー] – [管理用テンプレート] – [システム] – [ログオン]
■設定項目:
[PINを使用したサインインをオンにする] を ”有効”
PINコードの複雑さ
PINコードを規定値の「数字4桁」からより複雑なものに設定します。
■場所:
[コンピュータの構成] – [ポリシー] – [管理用テンプレート] – [システム] – [PINの複雑さ]
■設定項目:
数字を要求する :有効 (数字の使用が必須となる)
小文字を要求する :有効 (1つ以上の小文字の使用が必須)
PINの最大文字数 :127 (最大で127文字まで)
PINの最小文字数 :10 (最少は4文字)
有効期限 :0 (有効期限なし、1~730の日数で設定。0にすると無期限)
履歴 :未構成(以前のPINは保存されない)
特殊文字を要求する:有効(1つ以上の特殊文字の使用が必須)
大文字を要求する :有効(1つ以上の大文字の使用が必須)
PCでの設定
個々のPCで顔や指紋の設定をします。
①[設定]を開く(スタートから歯車マーク)
②[アカウント]を選ぶ
③[サインインオプション]を選ぶ
④PINを設定する
⑤Windows Hello欄にある”認識精度を高める”を選ぶ
⑥顔や指紋を登録する
[参考]
Windows Hello の概要とセットアップ
<https://support.microsoft.com/ja-jp/help/4028017/windows-learn-about-windows-hello-and-set-it-up>
ドメイン参加しているPCに対してパスワード認証をやめて、生体認証を強制したいです。
ADにてグループポリシーを適用することのみで実現可能でしょうか?
多要素認証などが目的ではなく、単純にドメインユーザーログインを生体認証にしたいのが目的です。
Active directoryのグループポリシで以下の設定ができます。
・PINを使える
・Windows Hello またはHello for businessを使える
この情愛では、ユーザのログオンは
①生体認証(顔とか指紋とか)を試みる
②もし①が失敗したら、PINでログオンする
③もし②が失敗したら、パスワードを入力
と、なります。
ですので、「パスワードを全く使わない」はActive directoryでは出来ません。
もし、「パスワードを全く使いたくない」のであれば、AzureADを使ってのWindows Hello for businessとIntune(MDM ポリシなど)を併用することで実現できます。