こんにちは!
みなさんWindows 10はお使いですか?
企業でWindows 10を導入している場合の多くはWindows Hello for Businessを利用しているかと思います。
生体認証でログインできるのは楽ですもんね!!
でも生体認証って本当に安全なの?って心配される方もいますよね。
そんな方のためにWindows Hello for Businessを2つ組み合わせてログインする方法をご紹介します。
Windows Hello for Businessとは
Windows Hello for Businessは、パスワードの代わりになる新しい認証になります。
顔や指紋など生体認証とその端末でしか使えないPINを利用してPCにログインすることができます。
このことにより、パスワードの入力機会を減らしパスワードの盗み見やキーロガーなど漏洩を防ぐことができます。
組み合わせ出来るのは2つの要素
2つの要素を組み合わせて認証することができます。
可能な組み合わせはこちら
・PINと指紋
・PINと顔
・指紋とPIN
・顔と信頼できる信号 (ペアリングしているスマートフォンなど)
認証方式のGUID
認証方式はCredential Providerと呼ばれ、それぞれの認証方式にはGUIDがあります。
設定時はこれを使います。
| Credential Provider | GUID |
| PIN | {D6886603-9D2F-4EB2-B667-1971041FA96B} |
| Fingerprint(指紋認証) | {BEC09223-B018-416D-A0AC-523971B639F5} |
| Facial Recognition(顔認証) | {8AF662BF-65A0-4D0A-A540-A338A999D36F} |
| Trusted Signal(信頼できる信号) | {27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD} |
デバイスロック解除のシグナルルール
認証の1つの要素として、Bluetoothで接続しているデバイスを利用することができます。
これは追加のオプションになります。
Windows 10の機能でスマートフォンとのペアリングを利用した動的ロックを使用します。
接続するBluetoothデバイスごとにカテゴリ分けされており、設定値が異なってきます。
この値は後で利用します。
| カテゴリ | 値 |
| Miscellaneous | 0 |
| Computer | 256 |
| Phone | 512 |
| LAN/Network Access Point | 768 |
| Audio/Video | 1024 |
| Peripheral | 1280 |
| Imaging | 1536 |
| Wearable | 1792 |
| Toy | 2048 |
| Health | 2304 |
| Uncategorized | 7936 |
グループポリシーで設定する場合
ここから実際に設定をしていきます。
まずは、グループポリシーでの設定方法です。
自分のPCでお手軽に試せます。
「スタート」から「gpedit」を検索して、「グループポリシーの編集」を開きます。
「コンピューターの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「Windows Hello for Business」→「デバイスのロック解除要素を構成する」を開きます。
このポリシーを「有効」にします。
次に下記項目を設定していきます。
まず、「最初のロック解除要素である資格情報プロバイダー」です。
今回は、第1要素として3つの認証を使えるようにします。
・PIN
・顔認証
・指紋認証
設定値は、認証方式のGUIDを指定します。
この場合は下記になります。
{D6886603-9D2F-4EB2-B667-1971041FA96B},{8AF662BF-65A0-4D0A-A540-A338A999D36F},{BEC09223-B018-416D-A0AC-523971B639F5}
「2番目のロック解除要素である資格情報プロバイダー」の設定をします。
第2要素には、下記2つを使います。
・シグナル
・PIN
設定値はこちら
{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD},{D6886603-9D2F-4EB2-B667-1971041FA96B}
必要に応じてデバイスのロック解除のシグナルルールを設定します。
下記のように設定します。
<rule schemaVersion=”1.0″> <signal type=”bluetooth” scenario=”Authentication” classOfDevice=”512″ rssiMin=”-10″ rssiMaxDelta=”-10″/> </rule>
設定後、再起動して確認します。
顔認証後、2つ目の要素が要求されます。
Intuneから設定する場合
Intuneから設定を配布することもできます。
Intuneポータルにアクセスします。
そして「デバイス構成」→「プロファイル」→「プロファイルの作成」を開きます。
名前:ポリシー名を入力
説明:任意の説明
プラットフォーム:Windows 10以降
プロファイルの種類:カスタム
次に、設定値を追加していきます。
「OMA-URIのカスタム設定」画面で、「追加」から設定を追加していきます。
まず、第1要素の設定です。
名前:Windows Hello Multifactor Unlock – First Unlock Factor
説明:任意
OMA-URI:./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupA
データ型:文字列
値:{D6886603-9D2F-4EB2-B667-1971041FA96B},{8AF662BF-65A0-4D0A-A540-A338A999D36F},{BEC09223-B018-416D-A0AC-523971B639F5}
次に第2要素の設定です。
名前:Windows Hello Multifactor Unlock – Second Unlock Factor
説明:任意
OMA-URI:./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupB
データ型:文字列
値:{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD},{D6886603-9D2F-4EB2-B667-1971041FA96B}
次にデバイスのロック解除のシグナルルールの設定です。
名前:Windows Hello Multifactor Unlock – Unlock Signals Rules
説明:任意
OMA-URI:./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/Plugins
データ型:文字列
値:<rule schemaVersion=”1.0″> <signal type=”bluetooth” scenario=”Authentication” classOfDevice=”512″ rssiMin=”-10″ rssiMaxDelta=”-10″/> </rule>
これでユーザーに展開します。
おまけ:Windows 10のログイン画面からパスワードの項目を消す方法
せっかくWindows Hello for Businessの認証を2要素化して強化したので、パスワードを使わないでログインさせたいという要望もあると思います。
それならログイン画面からパスワードを選択できないように項目を削除しちゃいましょう!
レジストリを変更します。
※レジストリの変更は自己責任でお願いします。
スタートボタンから「レジストリエディター」を開きます。
下記パスに移動します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
そのパス内に{60b78e88-ead8-445c-9cfd-0b87f74ea6cd}があります。
これがPassword Providerになります。
ここに値を追加します。
ファイル:DWORD
名前:Disabled
値のデータ:1 (10進数)
これで再起動するとPCのログイン画面からパスワードの項目がなくなります。
この設定は、PCにログインする際の設定項目となり他への影響はないようです。
でも心配があると思います!
Windows Hello for Businessだけにして大丈夫?
顔や指紋が変わって認証できなくなった…なんてことも考えられます。
顔認証や指紋認証が通らない場合、2回失敗するとPINだけでログインできるようになります!
そしてPINを忘れた場合は、IntuneからPINのリセットができるようになったので救えるかと思います。
それでも救えない場合が出てくると思います。
その場合は、PCの初期化を行う必要があります。
メリット・デメリットがありますので、実際利用する場合はよく検討してください。
コメント