none
PINの初期化について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    WindowsHello設定後のPINの初期化について質問があります。

    これから社内にWindows10を展開するにあたり、
    認証方式をパスワード認証から、WindowsHelloによる指紋認証に切り替えようと考えています。

    WindowsHello設定時に、PINについても設定する必要がありますが、
    数字のみのパスワード(暗証番号)でPCにログオンさせることは、
    当社のセキュリティポリシーに適合しないため、PINをログオン認証として利用させたくありません。
    PINについては、システム管理者のみ把握して、各ユーザーには秘匿にしようと考えています。

    そこで問題なのですが、秘匿にしたとしても、
    Windowsのパスワードさえ分かれば、サインインオプションの設定画面から
    PINを初期化することが出来てしまい、秘匿しても意味がありません。

    グループポリシーで、サインインオプションにある
    PINの初期化ボタンを無効化することは出来ないでしょうか。
    2017年11月23日 4:39
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    セキュリティポリシーと適合しないとは、数字だけのパスワードといえるからですか?
    PIN はデフォルトだと 4 桁以上の数値だけになりますが、グループポリシーで大文字小文字を必須とすることもできるそうです。
    https://docs.microsoft.com/ja-jp/windows/access-protection/hello-for-business/hello-manage-in-organization

    そうすれば、ポリシーに適合するのなら、そっち方面で考えても良さそうと感じました。
    (実験していません)

    • 回答としてマーク hktakashi 2017年11月29日 0:31
    2017年11月23日 10:58
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    まず前提ですが、Windowsのパスワード「デザイン」についてですが、「パスワードはユーザーのもの」という前提で設計されているという理解です。Windows Hello for BusinessではPINがパスワード本体であり、生体認証は「ジェスチャー」というオプション扱いになっていますので、PINをユーザー管理から引き離す、という運用はしくみ上ムリがあると思います。ドメインアカウントと紐づけて認証する場合、ドメインアカウントのパスワードが期限切れになれば、そちらの変更(管理)も問題になるでしょうから。

    Azuleanさんからもあるよう、PINの文字種や文字数は強制できるので、その方向で対応されることを、私もお奨めします。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク hktakashi 2017年11月29日 0:31
    2017年11月27日 2:55
    |

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    セキュリティポリシーと適合しないとは、数字だけのパスワードといえるからですか?
    PIN はデフォルトだと 4 桁以上の数値だけになりますが、グループポリシーで大文字小文字を必須とすることもできるそうです。
    https://docs.microsoft.com/ja-jp/windows/access-protection/hello-for-business/hello-manage-in-organization

    そうすれば、ポリシーに適合するのなら、そっち方面で考えても良さそうと感じました。
    (実験していません)

    • 回答としてマーク hktakashi 2017年11月29日 0:31
    2017年11月23日 10:58
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    まず前提ですが、Windowsのパスワード「デザイン」についてですが、「パスワードはユーザーのもの」という前提で設計されているという理解です。Windows Hello for BusinessではPINがパスワード本体であり、生体認証は「ジェスチャー」というオプション扱いになっていますので、PINをユーザー管理から引き離す、という運用はしくみ上ムリがあると思います。ドメインアカウントと紐づけて認証する場合、ドメインアカウントのパスワードが期限切れになれば、そちらの変更(管理)も問題になるでしょうから。

    Azuleanさんからもあるよう、PINの文字種や文字数は強制できるので、その方向で対応されることを、私もお奨めします。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク hktakashi 2017年11月29日 0:31
    2017年11月27日 2:55
    |
  • Question
    サインインして投票
    0
    サインインして投票
    Azuleanさん、チャブーンさん
    ご返信ありがとうございます。
    パスワードポリシーはご指摘の通り、英数字混在というのもあるのですが、
    3か月に一度更新、過去3世代と同じパスワードは禁止などもあり、
    グループポリシーでの制御では現行出来ません。

    また、出来たとしても、WindowsパスワードとPINで
    2種類のパスワードをユーザに管理させるのは負担になるため、実施したくありません。
    PINとWindowsHelloの切り離しが難しいようでしたら、
    サードパーティーの指紋認証ソフトを導入するしかないようですね・・・。
    2017年11月27日 10:41
    |