組織での Microsoft Passport の実装

Windows 10 を実行しているデバイスに Microsoft Passport を実装するグループ ポリシーまたはモバイル デバイス管理 (MDM) ポリシーを作成できます。

重要  

グループ ポリシー設定 [PIN を使用したサインインをオンにする] は Windows 10 には適用されません。PIN の管理には [Microsoft Passport for Work] を使用します。

 

Passport のグループ ポリシー設定

次の表は、職場で Passport を使うために構成できるグループ ポリシー設定の一覧です。ポリシー設定は、[コンピューターの構成][ポリシー][管理用テンプレート][Windows コンポーネント][Microsoft Passport for Work] の順に選択して行うことができます。

ポリシーオプション
Microsoft Passport for Work を使用する

未構成: ユーザーが Passport for Work をプロビジョニングできます。これによってドメイン パスワードが暗号化されます。

有効: デバイスがすべてのユーザーのためにキーまたは証明書を使用して Passport for Work をプロビジョニングします。

無効: デバイスはどのユーザーについても Passport for Work をプロビジョニングしません。

ハードウェアのセキュリティ デバイスを使用する

未構成: Passport for Work は、TPM を利用できる場合は、それを使用してプロビジョニングされ、使用できない場合は、ソフトウェアを使用してプロビジョニングされます。

有効: Passport for Work が、TPM でのみプロビジョニングされます。

無効: Passport for Work は、TPM を利用できる場合は、それを使用してプロビジョニングされ、使用できない場合は、ソフトウェアを使用してプロビジョニングされます。

生体認証を使用する

未構成: ジェスチャとして、PIN の代わりに生体認証を使用できます。

[有効]: ジェスチャとして、PIN の代わりに生体認証を使用できます。

無効: ジェスチャとして使えるのは PIN だけです。

PIN の複雑さRequire digits (数字が必要です)

未構成: ユーザーは PIN に数字を含める必要があります。

有効: ユーザーは PIN に数字を含める必要があります。

無効: ユーザーは PIN で数時を使用できません。

Require lowercase letters (小文字が必要です)

未構成: ユーザーは PIN で小文字を使用できません。

有効: ユーザーは 1 つ以上の小文字を PIN に含める必要があります。

無効: ユーザーは PIN で小文字を使用できません。

PIN の最大桁数

[未構成]: PIN の長さは 127 字以内にする必要があります。

[有効]: PIN の長さをユーザーが指定する文字数以内にする必要があります。

[無効]: PIN の長さは 127 字以内にする必要があります。

PIN の最小桁数

[未構成]: PIN の長さは 4 字以上にする必要があります。

[有効]: PIN の長さをユーザーが指定する文字数以上にする必要があります。

[無効]: PIN の長さは 4 字以上にする必要があります。

有効期限

未構成: PIN の有効期限はありません。

有効: PIN の有効期間を 1 ~ 730 の日数で設定できます。またはポリシーを 0 に設定すると PIN の有効期限がなくなります。

無効: PIN の有効期限はありません。

履歴

未構成: 以前の PIN は保存されません。

有効: 再利用できないようにユーザー アカウントに関連付ける、以前の PIN の数を指定します。

無効: 以前の PIN は保存されません。

  現在の PIN は PIN の履歴に含まれます。
 
Require special characters (特殊文字が必要です)

未構成: ユーザーは PIN に特殊文字を含めることはできません。

有効: ユーザーは 1 つ以上の特殊文字を PIN に含める必要があります。

無効: ユーザーは PIN に特殊文字を含めることはできません。

Require uppercase letters (大文字が必要です)

未構成: ユーザーは PIN に大文字を含めることはできません。

有効: ユーザーは 1 つ以上の大文字を PIN に含める必要があります。

無効: ユーザーは PIN に大文字を含めることはできません。

Remote Passport

Use Remote Passport (Remote Passport を使用します)

  デスクトップのみに適用されます。電話によるサインインは現在、一部の Technology Adoption Program (TAP) 加盟企業に限られています。
 

未構成: Remote Passport は無効です。

有効: ユーザーは登録済みのポータブル デバイスをデスクトップ認証用のコンパニオン デバイスとして使用することができます。

無効: Remote Passport は無効です。

 

Passport の MDM ポリシー設定

次の表は、職場で Passport を使うために構成できる MDM ポリシー設定の一覧です。これらの MDM ポリシー設定は、PassportForWork 構成サービス プロバイダー (CSP) を使用します。

ポリシースコープDefault (既定)オプション
UsePassportForWorkデバイスTrue

True: Passport が、デバイス上のすべてのユーザー用にプロビジョニングされます。

False: ユーザーは Passport をプロビジョニングできません。

  Passport が有効であり、ポリシーが False に変更された場合、以前に Passport をセットアップしたユーザーは、Passport を使い続けることができますが、他のデバイスで Passport をセットアップすることはできません。
 
RequireSecurityDeviceデバイスFalse

True: Passport が、TPM でのみプロビジョニングされます。

False: Passport は、TPM を利用できる場合は、それを使用してプロビジョニングされ、使用できない場合は、ソフトウェアを使用してプロビジョニングされます。

生体認証

UseBiometrics

デバイスFalse

True: ドメイン ログオンでジェスチャとして PIN の代わりに生体認証を使用できます。

False: ドメイン ログオンでジェスチャとして使えるのは PIN だけです。

FacialFeaturesUser

EnhancedAntiSpoofing

デバイス未構成

未構成: 強化されたなりすまし対策を有効にするかどうかユーザーが選択できます。

True: サポートするデバイス上で、強化されたなりすまし対策が必要です。

False: ユーザーは強化されたなりすまし対策を有効にすることができません。

PINComplexity
数字デバイスまたはユーザー2

1: 数字は許可されません。

2: 1 文字以上の数字が必要です。

小文字デバイスまたはユーザー1

1: 小文字は許可されません。

2: 1 文字以上の小文字が必要です。

PIN の最大桁数デバイスまたはユーザー127

設定できる最大桁数は 127 です。最大桁数は、最小桁数の設定値を下回ることはできません。

PIN の最小桁数デバイスまたはユーザー4

設定できる最小桁数は 4 です。最小桁数は、最大桁数の設定値を超えることはできません。

有効期限 デバイスまたはユーザー0

整数値によって PIN を使用できる期間 (日数) を指定します。この期間を過ぎるとユーザーが PIN を変更する必要があります。このポリシー設定に構成できる最大数は 730 です。このポリシー設定に構成できる最小数は 0 です。このポリシーを 0 に設定するとユーザーの PIN の期限がなくなります。

履歴デバイスまたはユーザー0

整数値によって、再利用できないようにユーザー アカウントに関連付ける以前の PIN の数を指定します。このポリシー設定に構成できる最大数は 50 です。このポリシー設定に構成できる最小数は 0 です。このポリシーを 0 に設定すると、以前の PIN を保存する必要がなくなります。

特殊文字デバイスまたはユーザー1

1: 特殊文字は許可されません。

2: 1 文字以上の特殊文字が必要です。

大文字デバイスまたはユーザー1

1: 大文字は許可されません。

2: 1 文字以上の大文字が必要です。

Remote

UseRemotePassport

  デスクトップのみに適用されます。電話によるサインインは現在、一部の Technology Adoption Program (TAP) 加盟企業に限られています。
 
デバイスまたはユーザーFalse

True: Remote Passport が有効になります。

False:Remote Passport は無効になります。

 

  

文字または特殊文字を明示的に要求するようにポリシーを構成していない場合、ユーザーは、数値の PIN を作成しなければならなくなります。

 

必要条件

企業内で Microsoft Passport ポリシーを設定するために、次のソフトウェアが必要です。

Microsoft Passport モード Azure AD 社内の Active Directory (AD) (Windows Server 2016 Technical Preview 製品版リリースで利用可能) Azure AD/AD ハイブリッド (Windows Server 2016 Technical Preview 製品版リリースで利用可能)
キー ベースの認証 Azure AD サブスクリプション
  • Active Directory フェデレーション サービス (AD FS) (Windows Server 2016 Technical Preview)
  • オンサイトのいくつかの Windows Server 2016 Technical Preview ドメイン コントローラー
  • Microsoft System Center 2012 R2 Configuration Manager SP2
  • Azure AD サブスクリプション
  • Azure AD 接続
  • オンサイトのいくつかの Windows Server 2016 Technical Preview ドメイン コントローラー
  • Configuration Manager、グループ ポリシー、または MDM などの管理ソリューション
  • ネットワーク デバイス登録サービス (NDES) 使用しない Active Directory 証明書サービス (AD CS)
証明書ベースの認証
  • Azure AD サブスクリプション
  • Intune、または Microsoft 以外のモバイル デバイス管理 (MDM) ソリューション
  • PKI インフラストラクチャ
  • ADFS (Windows Server 2016 Technical Preview)
  • Active Directory ドメイン サービス (AD DS) Windows Server 2016 Technical Preview スキーマ
  • PKI インフラストラクチャ
  • Configuration Manager SP2、Intune、または Microsoft 以外の MDM ソリューション
  • Azure AD サブスクリプション
  • Azure AD 接続
  • NDES を使用した AD CS
  • ドメインに参加している証明書の登録用の Configuration Manager (current branch) または Configuration Manager 2016 Technical Preview、InTune ドメインに参加しているデバイス、または Passport for Work をサポートしている Microsoft 以外の MDM サービス

 

Configuration Manager と MDM は、Passport ポリシーを管理する機能と、Passport によって保護されている証明書を展開して管理する機能を提供しています。

Azure AD は、企業にデバイスを登録する機能と、組織のアカウント用に Passport をプロビジョニングする機能を提供します。

Active Directory は、ドメイン コントローラーが Windows 10 と、Windows 10 AD FS の Microsoft Passport プロビジョニング サービスを実行している場合に、Passport で保護されているキーを使って、ユーザーとデバイスを承認する機能を提供します。

BYOD 用の Passport

Passport は、従業員が MDM を使用して業務目的で使用する個人用デバイスで管理できます。ユーザーは個人用デバイスで、デバイスをロック解除するための個人用の Passport PIN と、作業リソースにアクセスするための別の作業 PIN を作成できます。

作業 PIN は、組織所有のデバイスで Passport を管理するために使用するのと同じ Passport ポリシーを使用して管理されます。個人用の PIN は、DeviceLock ポリシーを使用して個別に管理されます。DeviceLock ポリシーを使用して、長さ、複雑さ、履歴、および有効期限の要件を制御できます。これは、ポリシー構成サービス プロバイダーを使用して構成できます。

関連トピック

Windows Hello 生体認証の企業利用

PIN がパスワードよりも優れている理由

Microsoft Passport を使った本人確認の管理

Microsoft Passport を使うためのユーザーの準備

Microsoft Passport とパスワードの変更

PIN 作成時の Microsoft Passport エラー

イベント ID 300 - Passport の正常作成