Windows Hello for Businessを2要素にしてWindows 10のログインを強化(GPO、Intune)

こんにちは!

みなさんWindows 10はお使いですか?

企業でWindows 10を導入している場合の多くはWindows Hello for Businessを利用しているかと思います。
生体認証でログインできるのは楽ですもんね!!

でも生体認証って本当に安全なの?って心配される方もいますよね。
そんな方のためにWindows Hello for Businessを2つ組み合わせてログインする方法をご紹介します。

Windows Hello for Businessとは

Windows Hello for Businessは、パスワードの代わりになる新しい認証になります。
顔や指紋など生体認証とその端末でしか使えないPINを利用してPCにログインすることができます。
このことにより、パスワードの入力機会を減らしパスワードの盗み見やキーロガーなど漏洩を防ぐことができます。

組み合わせ出来るのは2つの要素

2つの要素を組み合わせて認証することができます。
可能な組み合わせはこちら

・PINと指紋
・PINと顔
・指紋とPIN
・顔と信頼できる信号 (ペアリングしているスマートフォンなど)

認証方式のGUID

認証方式はCredential Providerと呼ばれ、それぞれの認証方式にはGUIDがあります。
設定時はこれを使います。

Credential Provider GUID
PIN {D6886603-9D2F-4EB2-B667-1971041FA96B}
Fingerprint(指紋認証) {BEC09223-B018-416D-A0AC-523971B639F5}
Facial Recognition(顔認証) {8AF662BF-65A0-4D0A-A540-A338A999D36F}
Trusted Signal(信頼できる信号) {27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}

デバイスロック解除のシグナルルール

認証の1つの要素として、Bluetoothで接続しているデバイスを利用することができます。
これは追加のオプションになります。
Windows 10の機能でスマートフォンとのペアリングを利用した動的ロックを使用します。

接続するBluetoothデバイスごとにカテゴリ分けされており、設定値が異なってきます。
この値は後で利用します。

カテゴリ
Miscellaneous 0
Computer 256
Phone 512
LAN/Network Access Point 768
Audio/Video 1024
Peripheral 1280
Imaging 1536
Wearable 1792
Toy 2048
Health 2304
Uncategorized 7936

グループポリシーで設定する場合

ここから実際に設定をしていきます。
まずは、グループポリシーでの設定方法です。
自分のPCでお手軽に試せます。

「スタート」から「gpedit」を検索して、「グループポリシーの編集」を開きます。

「コンピューターの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「Windows Hello for Business」→「デバイスのロック解除要素を構成する」を開きます。

このポリシーを「有効」にします。

次に下記項目を設定していきます。

まず、「最初のロック解除要素である資格情報プロバイダー」です。

今回は、第1要素として3つの認証を使えるようにします。
 ・PIN
 ・顔認証
 ・指紋認証

設定値は、認証方式のGUIDを指定します。
この場合は下記になります。

{D6886603-9D2F-4EB2-B667-1971041FA96B},{8AF662BF-65A0-4D0A-A540-A338A999D36F},{BEC09223-B018-416D-A0AC-523971B639F5}

「2番目のロック解除要素である資格情報プロバイダー」の設定をします。
第2要素には、下記2つを使います。

 ・シグナル
 ・PIN

設定値はこちら

{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD},{D6886603-9D2F-4EB2-B667-1971041FA96B}

必要に応じてデバイスのロック解除のシグナルルールを設定します。
下記のように設定します。

<rule schemaVersion=”1.0″> <signal type=”bluetooth” scenario=”Authentication” classOfDevice=”512″ rssiMin=”-10″ rssiMaxDelta=”-10″/> </rule>

設定後、再起動して確認します。

顔認証後、2つ目の要素が要求されます。

Intuneから設定する場合

Intuneから設定を配布することもできます。

Intuneポータルにアクセスします。
そして「デバイス構成」→「プロファイル」→「プロファイルの作成」を開きます。

 名前:ポリシー名を入力
 説明:任意の説明
 プラットフォーム:Windows 10以降
 プロファイルの種類:カスタム

次に、設定値を追加していきます。
「OMA-URIのカスタム設定」画面で、「追加」から設定を追加していきます。

まず、第1要素の設定です。

 名前:Windows Hello Multifactor Unlock – First Unlock Factor
 説明:任意
 OMA-URI:./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupA
 データ型:文字列
 値:{D6886603-9D2F-4EB2-B667-1971041FA96B},{8AF662BF-65A0-4D0A-A540-A338A999D36F},{BEC09223-B018-416D-A0AC-523971B639F5}

次に第2要素の設定です。

 名前:Windows Hello Multifactor Unlock – Second Unlock Factor
 説明:任意
 OMA-URI:./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupB
 データ型:文字列
 値:{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD},{D6886603-9D2F-4EB2-B667-1971041FA96B}

次にデバイスのロック解除のシグナルルールの設定です。

 名前:Windows Hello Multifactor Unlock – Unlock Signals Rules
 説明:任意
 OMA-URI:./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/Plugins
 データ型:文字列
 値:<rule schemaVersion=”1.0″> <signal type=”bluetooth” scenario=”Authentication” classOfDevice=”512″ rssiMin=”-10″ rssiMaxDelta=”-10″/> </rule>



これでユーザーに展開します。

おまけ:Windows 10のログイン画面からパスワードの項目を消す方法

せっかくWindows Hello for Businessの認証を2要素化して強化したので、パスワードを使わないでログインさせたいという要望もあると思います。
それならログイン画面からパスワードを選択できないように項目を削除しちゃいましょう!

レジストリを変更します。

※レジストリの変更は自己責任でお願いします。

スタートボタンから「レジストリエディター」を開きます。
下記パスに移動します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers

そのパス内に{60b78e88-ead8-445c-9cfd-0b87f74ea6cd}があります。
これがPassword Providerになります。

ここに値を追加します。

 ファイル:DWORD
 名前:Disabled
 値のデータ:1 (10進数)

これで再起動するとPCのログイン画面からパスワードの項目がなくなります。

この設定は、PCにログインする際の設定項目となり他への影響はないようです。

でも心配があると思います!

Windows Hello for Businessだけにして大丈夫?
顔や指紋が変わって認証できなくなった…なんてことも考えられます。

顔認証や指紋認証が通らない場合、2回失敗するとPINだけでログインできるようになります!

そしてPINを忘れた場合は、IntuneからPINのリセットができるようになったので救えるかと思います。

それでも救えない場合が出てくると思います。
その場合は、PCの初期化を行う必要があります。

メリット・デメリットがありますので、実際利用する場合はよく検討してください。

シェアする

フォローする