none
ドメイン環境下でのWindows Hello運用について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Windows Helloの運用についていまいち理解ができないので、ご存知の方ご教示いただけないでしょうか。

    今度、社内のクライアントをWindows10マシンにリプレースをする方向で検討しています。

    併せて、サーバの保守切れも来るのでActive Directoryも更新をします。(たぶんWindows Server 2016かな???)

    私の会社は中高年が多くどちらかというとリテラシーやスキルが低いのが悩みの種で教育の充実をやってきましたが、なかなか難しく特にIDとパスワードのポリシー運用はうまくいっていないと言ってもいい状態です。

    Win10で生体認証が搭載され非常に有難いと思う反面運用について文献が少なく困っています。

    よくわからないのが、ドメイン環境下にいる場合、ログインそのものは生体認証を使えるがユーザーアカウントのパスワードは今まで通り存在していてポリシーで何か月に一度更新をするものに設定していると結局パスワード更新作業が発生してしまうのでしょうか?

    社内のユーザーは結構そういったことを嫌がるので・・・パスワード更新の運用をなくせるのであれば一番いいのですが・・・

    詳しい方ご教示頂けないでしょうか。 よろしくお願い致します。

    2016年10月29日 23:37
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    おっしゃる機能はWindows Helloを使った「Microsoft Windows Hello for Business」(Microsoft Passport for Work)を有効化することで、実現できます。その意味ではパスワードが不要になることは本当です。

    ただし、現状ではうえの機能を有効化するための条件は「Azure Active Directoryを使用すること」になっており、オンプレのActive Directoryのみの環境では実現できません。

    https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-azureadjoin-passport
    https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-azureadjoin-passport-deployment
    http://yamanxworld.blogspot.jp/2016/02/windows-10-microsoft-passport-for-work.html

    Windows Server 2016ドメインコントローラには、うえの機能がオンプレActive Directoryで対応できるよう実装されていますが、Windows 10がオンプレ対応していないため、現時点では実現できません。

    したがって今現在で「Microsoft Windows Hello for Business」を実現させるには、オンプレでWindows Server 2016ドメインコントローラを構成し、それをAzure Active Directoryと同期させ、(AADに)Windows 10をデバイス登録させたうえ機能を有効にする、といったかなり面倒くさい実装になると思います。

    うえのような方針が採れない場合、残念ですがWindows 10のオンプレ対応が実装されるまでお待ちいただくしかないと思います。

    他の方の投稿内容は、「既存ドメイン環境でのPINおよびWindows Helloの有効化」といえるもので、パスワードとPIN情報を内部的に結び付けているだけです。ですから、おっしゃる通り既存パスワードの影響は受けてしまいます。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2016年11月16日 3:54
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    当方、テスト的にAD参加しているWin10ノートPCにて、Windows Helloの指紋認証でログインしています。ポリシーでパスワード有効期限が設定されていれば、パスワード更新は必要です。

    パスワード有効期限が切れていたり、パスワードリセット後の強制変更を設定していれば、ノートPCでの指紋認証ログイン後に、パスワード変更のプロンプト画面が表示されます。

    ノートPCとデスクトップPCを併用しているユーザも同様に、もしデスクトップPC側でパスワードを変更していれば、

    ADと通信できるネットワーク接続状態で、ノートPCの指紋認証ログイン後にノートPCのWindows Hello側で保持しているパスワードが、ドメインコントローラー認証で最新のパスワードと合わないと拒否されたら、パスワード変更のプロンプト画面が表示されます。

    指紋登録は変更なしのままです。更新パスワードだけ入力を求められます。

    2016年11月15日 9:11
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    おっしゃる機能はWindows Helloを使った「Microsoft Windows Hello for Business」(Microsoft Passport for Work)を有効化することで、実現できます。その意味ではパスワードが不要になることは本当です。

    ただし、現状ではうえの機能を有効化するための条件は「Azure Active Directoryを使用すること」になっており、オンプレのActive Directoryのみの環境では実現できません。

    https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-azureadjoin-passport
    https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-azureadjoin-passport-deployment
    http://yamanxworld.blogspot.jp/2016/02/windows-10-microsoft-passport-for-work.html

    Windows Server 2016ドメインコントローラには、うえの機能がオンプレActive Directoryで対応できるよう実装されていますが、Windows 10がオンプレ対応していないため、現時点では実現できません。

    したがって今現在で「Microsoft Windows Hello for Business」を実現させるには、オンプレでWindows Server 2016ドメインコントローラを構成し、それをAzure Active Directoryと同期させ、(AADに)Windows 10をデバイス登録させたうえ機能を有効にする、といったかなり面倒くさい実装になると思います。

    うえのような方針が採れない場合、残念ですがWindows 10のオンプレ対応が実装されるまでお待ちいただくしかないと思います。

    他の方の投稿内容は、「既存ドメイン環境でのPINおよびWindows Helloの有効化」といえるもので、パスワードとPIN情報を内部的に結び付けているだけです。ですから、おっしゃる通り既存パスワードの影響は受けてしまいます。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2016年11月16日 3:54
    |