10. Windows 10 デバイスに素早く安全にアクセスする手段
Windows Hello のポイント
◼ “Windows Hello” はパスワードを打つ代わりに、生体認証や PIN を利用して Windows へサインイン
◼ Hello 対応デバイスがあるのであれば、コストもかからず、パスワードを打たないことによりセキュリティを高めることが可能
◼ 企業利用にて、さらなるセキュリティの向上や Azure AD の ID 連携を考慮する場合には “Hello for Business” も検討
12. Windows Hello をエンタープライズ環境で使うための機能
セキュリティの向上
キーベースまたは証明書ベースの認証を使用
これにより、 Windows Hello よりもセキュリティが向上
リモート デスクトップ
証明書信頼を利用の場合は、RDP 経由のリモートデスクトップ
セッションに対して、資格情報を使用して認証を行うことが可能
暗証番号 (PIN) のリセット
ユーザーが PIN を自己管理することも可能
ユーザーが PIN を忘れた場合、設定またはロック画面からリセットが可能
Windows Hello for Business の機能
https://docs.microsoft.com/ja-jp/windows/security/identity-protection/hello-for-business/hello-features
13. Windows Hello と公開鍵暗号の仕組みを組み合わせた認証方式
※ TPM : PC 内のセキュリティ チップ
Windows Hello for Business のポイント
Windows Hello での Windows へのサインオンに加え、Azure AD アカウントで認証された状態にできる
14. Windows Hello よりも企業に向けたポリシーが追加
■ Windows Hello for Business の強制
Windows Hello for Business の登録を必須にさせることが可能
Windows Hello for Business のポリシー設定の構成
https://docs.microsoft.com/ja-jp/windows/security/identity-protection/hello-for-business/hello-cert-trust-policy-settings
[コンピューターの構成]
> [管理用テンプレート]
> [Windows コンポーネント]
> [Windows Hello for Business]
> [Windows Hello for Business の使用]
■ 多要素によるロック解除
[デバイスのロック解除要素を構成する] というポリシーを利用し、
複数要素によるロックの解除を促すことが可能 (次ページ)
16. Windows Hello for Business の構成や展開
■ Windows Hello for Business を簡単に展開
クラウド環境でデバイスの管理をしている環境であれば、
intune の管理コンソールより Hello for Business の有効化が可能。
フルクラウド環境であれば、インフラ環境でのサーバーの構築が無く、
Windows Hello for Business を使用することができる。
Windows Hello for Business と Microsoft Intune の統合
https://docs.microsoft.com/ja-jp/mem/intune/protect/windows-hello
■ プロファイルの作成が可能
全体での Windows Hello for Business の有効化や、
デバイスグループやユーザーグループに対しプロファイルの作成が可能
21. Windows Hello for Business の展開
キー信頼
ユーザー証明書の管理に関連する労力を減らす必要がある場合や、ADFS を使用しない構成に有効
証明書信頼
RDP 経由のリモートデスクトップセッションに対して、資格情報を使用して認証可能というメリット
Windows Hellofor Business 展開ガイド
https://docs.microsoft.com/ja-jp/windows/security/identity-protection/hello-for-business/hello-deployment-guide
さらに、ハイブリッド、オンプレミス環境については 2 つの信頼モデルに分かれる
クラウド
Azure AD / intune で Windows 10 デバイスを管理している環境
ハイブリッド
Azure AD と Active Directory (オンプレミス AD) を接続し、Windows 10 デバイスを管理している環境
クライアントが Azure AD 参加か Hybrid Azure AD Join (オンプレ AD 参加) かによって要件も異なる
オンプレミス
オンプレミス の AD のみで Windows 10 を管理している環境
インフラ環境の形態については 3 つの展開モデルに分かれる
22. Windows Hello for Business - 最新情報や詳細な構成はこちらでご確認ください
https://docs.microsoft.com/ja-jp/windows/security/identity-protection/hello-for-business/hello-identity-verification
Azure AD
ハイブリッド
(Azure AD + AD)
Active Directory
Azure MFA
intune
キー信頼
WS2008R2
DC
Azure AD 参加 Hybrid Azure AD 参加
証明書信頼
WS2012
CA
Azure AD
Conect
Azure MFA
WS2016
DC
WS2012
CA
WS2012
NDES
Azure AD
Conect
Azure MFA
キー信頼
WS2016
DC
証明書信頼
WS2012
CA
Azure AD
Conect
WS2016
DC
WS2012
CA
WS2016
ADFS
WS2012
NDES
Azure AD
Conect
Azure MFA
Azure AD 参加
Azure MFA 3rd Party MFA
キー信頼
WS2016
DC
証明書信頼
WS2012
CA
WS2016
ADFS
3rd Party MFA
WS2008R2
DC
WS2012
CA
WS2016
ADFS
Azure AD 参加
※ オンプレミス / ハイブリッド すべてにおいて WS2016 のスキーマが必要です
intune intune