組織での Microsoft Passport の実装
Windows 10 を実行しているデバイスに Microsoft Passport を実装するグループ ポリシーまたはモバイル デバイス管理 (MDM) ポリシーを作成できます。
重要
グループ ポリシー設定 [PIN を使用したサインインをオンにする] は Windows 10 には適用されません。PIN の管理には [Microsoft Passport for Work] を使用します。
次の表は、職場で Passport を使うために構成できるグループ ポリシー設定の一覧です。ポリシー設定は、[コンピューターの構成]、[ポリシー]、[管理用テンプレート]、[Windows コンポーネント]、[Microsoft Passport for Work] の順に選択して行うことができます。
ポリシー | オプション | |
---|---|---|
Microsoft Passport for Work を使用する |
未構成: ユーザーが Passport for Work をプロビジョニングできます。これによってドメイン パスワードが暗号化されます。 有効: デバイスがすべてのユーザーのためにキーまたは証明書を使用して Passport for Work をプロビジョニングします。 無効: デバイスはどのユーザーについても Passport for Work をプロビジョニングしません。 | |
ハードウェアのセキュリティ デバイスを使用する |
未構成: Passport for Work は、TPM を利用できる場合は、それを使用してプロビジョニングされ、使用できない場合は、ソフトウェアを使用してプロビジョニングされます。 有効: Passport for Work が、TPM でのみプロビジョニングされます。 無効: Passport for Work は、TPM を利用できる場合は、それを使用してプロビジョニングされ、使用できない場合は、ソフトウェアを使用してプロビジョニングされます。 | |
生体認証を使用する |
未構成: ジェスチャとして、PIN の代わりに生体認証を使用できます。 [有効]: ジェスチャとして、PIN の代わりに生体認証を使用できます。 無効: ジェスチャとして使えるのは PIN だけです。 | |
PIN の複雑さ | Require digits (数字が必要です) |
未構成: ユーザーは PIN に数字を含める必要があります。 有効: ユーザーは PIN に数字を含める必要があります。 無効: ユーザーは PIN で数時を使用できません。 |
Require lowercase letters (小文字が必要です) |
未構成: ユーザーは PIN で小文字を使用できません。 有効: ユーザーは 1 つ以上の小文字を PIN に含める必要があります。 無効: ユーザーは PIN で小文字を使用できません。 | |
PIN の最大桁数 |
[未構成]: PIN の長さは 127 字以内にする必要があります。 [有効]: PIN の長さをユーザーが指定する文字数以内にする必要があります。 [無効]: PIN の長さは 127 字以内にする必要があります。 | |
PIN の最小桁数 |
[未構成]: PIN の長さは 4 字以上にする必要があります。 [有効]: PIN の長さをユーザーが指定する文字数以上にする必要があります。 [無効]: PIN の長さは 4 字以上にする必要があります。 | |
有効期限 |
未構成: PIN の有効期限はありません。 有効: PIN の有効期間を 1 ~ 730 の日数で設定できます。またはポリシーを 0 に設定すると PIN の有効期限がなくなります。 無効: PIN の有効期限はありません。 | |
履歴 |
未構成: 以前の PIN は保存されません。 有効: 再利用できないようにユーザー アカウントに関連付ける、以前の PIN の数を指定します。 無効: 以前の PIN は保存されません。 注 現在の PIN は PIN の履歴に含まれます。 | |
Require special characters (特殊文字が必要です) |
未構成: ユーザーは PIN に特殊文字を含めることはできません。 有効: ユーザーは 1 つ以上の特殊文字を PIN に含める必要があります。 無効: ユーザーは PIN に特殊文字を含めることはできません。 | |
Require uppercase letters (大文字が必要です) |
未構成: ユーザーは PIN に大文字を含めることはできません。 有効: ユーザーは 1 つ以上の大文字を PIN に含める必要があります。 無効: ユーザーは PIN に大文字を含めることはできません。 | |
Remote Passport |
Use Remote Passport (Remote Passport を使用します) 注 デスクトップのみに適用されます。電話によるサインインは現在、一部の Technology Adoption Program (TAP) 加盟企業に限られています。 |
未構成: Remote Passport は無効です。 有効: ユーザーは登録済みのポータブル デバイスをデスクトップ認証用のコンパニオン デバイスとして使用することができます。 無効: Remote Passport は無効です。 |
次の表は、職場で Passport を使うために構成できる MDM ポリシー設定の一覧です。これらの MDM ポリシー設定は、PassportForWork 構成サービス プロバイダー (CSP) を使用します。
ポリシー | スコープ | Default (既定) | オプション | |
---|---|---|---|---|
UsePassportForWork | デバイス | True |
True: Passport が、デバイス上のすべてのユーザー用にプロビジョニングされます。 False: ユーザーは Passport をプロビジョニングできません。 注 Passport が有効であり、ポリシーが False に変更された場合、以前に Passport をセットアップしたユーザーは、Passport を使い続けることができますが、他のデバイスで Passport をセットアップすることはできません。 | |
RequireSecurityDevice | デバイス | False |
True: Passport が、TPM でのみプロビジョニングされます。 False: Passport は、TPM を利用できる場合は、それを使用してプロビジョニングされ、使用できない場合は、ソフトウェアを使用してプロビジョニングされます。 | |
生体認証 |
UseBiometrics | デバイス | False |
True: ドメイン ログオンでジェスチャとして PIN の代わりに生体認証を使用できます。 False: ドメイン ログオンでジェスチャとして使えるのは PIN だけです。 |
FacialFeaturesUser EnhancedAntiSpoofing | デバイス | 未構成 |
未構成: 強化されたなりすまし対策を有効にするかどうかユーザーが選択できます。 True: サポートするデバイス上で、強化されたなりすまし対策が必要です。 False: ユーザーは強化されたなりすまし対策を有効にすることができません。 | |
PINComplexity | ||||
数字 | デバイスまたはユーザー | 2 |
1: 数字は許可されません。 2: 1 文字以上の数字が必要です。 | |
小文字 | デバイスまたはユーザー | 1 |
1: 小文字は許可されません。 2: 1 文字以上の小文字が必要です。 | |
PIN の最大桁数 | デバイスまたはユーザー | 127 |
設定できる最大桁数は 127 です。最大桁数は、最小桁数の設定値を下回ることはできません。 | |
PIN の最小桁数 | デバイスまたはユーザー | 4 |
設定できる最小桁数は 4 です。最小桁数は、最大桁数の設定値を超えることはできません。 | |
有効期限 | デバイスまたはユーザー | 0 |
整数値によって PIN を使用できる期間 (日数) を指定します。この期間を過ぎるとユーザーが PIN を変更する必要があります。このポリシー設定に構成できる最大数は 730 です。このポリシー設定に構成できる最小数は 0 です。このポリシーを 0 に設定するとユーザーの PIN の期限がなくなります。 | |
履歴 | デバイスまたはユーザー | 0 |
整数値によって、再利用できないようにユーザー アカウントに関連付ける以前の PIN の数を指定します。このポリシー設定に構成できる最大数は 50 です。このポリシー設定に構成できる最小数は 0 です。このポリシーを 0 に設定すると、以前の PIN を保存する必要がなくなります。 | |
特殊文字 | デバイスまたはユーザー | 1 |
1: 特殊文字は許可されません。 2: 1 文字以上の特殊文字が必要です。 | |
大文字 | デバイスまたはユーザー | 1 |
1: 大文字は許可されません。 2: 1 文字以上の大文字が必要です。 | |
Remote |
UseRemotePassport 注 デスクトップのみに適用されます。電話によるサインインは現在、一部の Technology Adoption Program (TAP) 加盟企業に限られています。 | デバイスまたはユーザー | False |
True: Remote Passport が有効になります。 False:Remote Passport は無効になります。 |
注
文字または特殊文字を明示的に要求するようにポリシーを構成していない場合、ユーザーは、数値の PIN を作成しなければならなくなります。
企業内で Microsoft Passport ポリシーを設定するために、次のソフトウェアが必要です。
Microsoft Passport モード | Azure AD | 社内の Active Directory (AD) (Windows Server 2016 Technical Preview 製品版リリースで利用可能) | Azure AD/AD ハイブリッド (Windows Server 2016 Technical Preview 製品版リリースで利用可能) |
---|---|---|---|
キー ベースの認証 | Azure AD サブスクリプション |
|
|
証明書ベースの認証 |
|
|
|
Configuration Manager と MDM は、Passport ポリシーを管理する機能と、Passport によって保護されている証明書を展開して管理する機能を提供しています。
Azure AD は、企業にデバイスを登録する機能と、組織のアカウント用に Passport をプロビジョニングする機能を提供します。
Active Directory は、ドメイン コントローラーが Windows 10 と、Windows 10 AD FS の Microsoft Passport プロビジョニング サービスを実行している場合に、Passport で保護されているキーを使って、ユーザーとデバイスを承認する機能を提供します。
Passport は、従業員が MDM を使用して業務目的で使用する個人用デバイスで管理できます。ユーザーは個人用デバイスで、デバイスをロック解除するための個人用の Passport PIN と、作業リソースにアクセスするための別の作業 PIN を作成できます。
作業 PIN は、組織所有のデバイスで Passport を管理するために使用するのと同じ Passport ポリシーを使用して管理されます。個人用の PIN は、DeviceLock ポリシーを使用して個別に管理されます。DeviceLock ポリシーを使用して、長さ、複雑さ、履歴、および有効期限の要件を制御できます。これは、ポリシー構成サービス プロバイダーを使用して構成できます。
Microsoft Passport を使った本人確認の管理
Microsoft Passport を使うためのユーザーの準備