none
Intuneにおける特定デバイスのWindows Hello 無効化設定が動作しない RRS feed

  • 質問

  • Intuneを使用して特定デバイスにだけWindows Helloの無効化の構成プロファイルを適用しましたが、意図したとおりに動作しません。

    構成プロファイルは対象のデバイスに適用されているようですが、Windows Helloが動作してしまいました。

    社内で特定多数のユーザーが入れ替わり立ち代わり使用するパソコンのため、共有PCモードの利用を検討しましたが、別途質問させていただいた通り問題が発生したため、指定したデバイスのみWindows Hello の無効化ができないかと考えた次第です。

    共有モードPCのユーザーフォルダが削除されない (microsoft.com)

    ●前提条件

    Azure Active Directoryでユーザーを管理している

    各PCはAzure AD Joinしてデバイスを登録している

    OSバージョン:Windows 10 1909 / 2004

    ●発生している現象

    Azure AD Join後にユーザーがサインインすると構成プロファイルの適用が行われ、Windows Helloを聞かれることなくサインインが完了する。

    サインアウトもしくは再起動後に別のユーザーがサインインすると、通常通りWindows Helloの設定画面が表示されてしまう。

    Azure の Endpoint Manager admin center において『Windows Hello 無効』 構成プロファイルの『デバイスの状態』メニューでは、サインインしたユーザーの展開状態が「成功」になっているので、正しく適用されているものと思われる。

    ●設定内容

    Endpoint Manager admin center の デバイス メニューから ポリシーを適用したいデバイスに『会議用』というデバイスカテゴリーを設定した。

    構成プロファイルにおいて、Windows Hello 無効のプロファイルを作成した。プロファイルの種類:Identity Protection 、Windows Hello for Business の構成:無効、『会議用』グループを割り当てた。

    2020年12月7日 9:11

すべての返信

  • 事象からすると構成プロファイルがデバイスでは無くユーザーに割り当てられている気がしますが、割り当てはどうなっているのでしょうか? 

    あと、デバイスには会議用"カテゴリ"を設定し、構成プロファイルの割り当ては会議用"グループ"に割り当てていると記載されていますが、この辺はどの様な設定・構成になっているのでしょうか?(動的グループを使用しているとか?) 

    なお、Intune であれば Microsoft Endpoint Manager Admin Center から Microsoft のサポートに問い合わせを行う事が可能ですので、そちらに問い合わせた方が解決に繋がる可能性が高いかもしれません。 


    • 編集済み LapivyMVP 2020年12月8日 13:24
    2020年12月8日 13:24
  • 返信ありがとうございます。

    >事象からすると構成プロファイルがデバイスでは無くユーザーに割り当てられている気がしますが、割り当てはどうなっているのでしょうか?

    割り当てはデバイスグループになっていると考えています。

    ●構成プロファイルの設定状況
    ホーム>デバイス>Windows Hello 無効>デバイスの状態

    会議グループに登録されているデバイスが表示されている
    ユーザープリンシパル名:システムアカウント
    展開状態:成功

    >あと、デバイスには会議用"カテゴリ"を設定し、構成プロファイルの割り当ては会議用"グループ"に割り当てていると記載されていますが、この辺はどの様な設定・構成になっているのでしょうか?(動的グループを使用しているとか?) 

    1.デバイスグループとして『会議用』を作成した
    2.登録デバイスに対してデバイスカテゴリー『会議用』を設定した
    3.グループとして『会議用』を作成した
     メンバーシップの種類:動的
     ソース:クラウド
     種類:セキュリティ
     動的メンバーシップルール:(device.deviceCategory -eq "会議用")

     『ホーム>グループ>会議用>メンバー』には 2 で設定した登録デバイスが表示されています。

    >なお、Intune であれば Microsoft Endpoint Manager Admin Center から Microsoft のサポートに問い合わせを行う事が可能ですので、そちらに問い合わせた方が解決に繋がる可能性が高いかもしれません。 

    構成プロファイルの設定関連でマイクロソフトのサポートに問い合わせたことがありましたが、サポートが外であるという返答が帰ってきたことがあったため、頼るところがなく情報をお持ちの方がいないかと思ってこちらに投稿させていただきました。

    あらためてサポートに問い合わせてみようと思います。

    どうもありがとうございました

    2020年12月9日 10:53