TAP(一時アクセスパス)を用いたWindows PC設定をやってみた

ユーザーのPC故障時やリースアップに伴う入れ替えの際、交換用PCを用意しますが、証明書を用いたシステム等自動配布が難しい設定があり、ユーザーに渡す前に手動でキッティングしておかなくてはならないケースが往々にしてあります。
その際、ユーザーにパスワードを聞いたりパスワードリセットを行わなくても、Entra IDのTAP(一時アクセスパス)という仕組みを用い、一時的に使用できるパスワードを発行して、そちらでサインインを行う事でPCの設定が可能になります。
※TAPとはTemporaryAccess Passの略です

環境設定

TAPの有効化

Microsoft Entra 管理センターより 保護 ＞ 認証方法 ＞ ポリシー を開き、一時アクセスパスを有効化します。

TAPの有効化

Webサインインについて

Autopilotなど、OOBE の際にMicrosoft Entra Joinできる環境の場合は不要ですが、ローカルユーザーだけ設定してある環境で[他のユーザー]を選択してサインインする場合、Entra IDとTAPを使用したログインはできません。
その場合、Webサインインという機能を使うので、あらかじめ有効化しておきます。

※ WebサインインはWindows11 22H2以降かつEntra ID Join済の端末で使用可能です

Windows の Web サインイン - Windows Security

Webサインインの有効化設定

Microsoft Intune管理センターより デバイス ＞ Widnows ＞構成プロファイル ＞作成 ＞ 新しいポリシー を開き、下記の内容で新しく構成プロファイルを作成します。

• プラットフォームはWindows 10以降

• プロファイルの種類は設定カタログ

新しく構成プロファイルを作成

名前は任意の名称を設定します。
構成設定で設定の追加を押し、認証 ＞ Web サインインを有効にする を選択し、設定内容で有効を選択します。

Webサインインを有効にする①

Webサインインを有効にする②

スコープタグは既定値のままにし、割り当てで設定対象を割り当てます。
注意点として、割り当てる対象はユーザーではなくデバイスを割り当てる必要があります。

TAPを発行

Microsoft Entra 管理センターより、ユーザーを選択して 認証方法 ＞ 認証方法の追加 を選択し、方法の追加で一時アクセス パスを選択します。
アクティブ化時間（パスワードが使える期間）を任意の期間設定します。
一時使用はいいえにします。（はいにすると1回のログインにしか使えません）

TAPを発行

パスワード発行出来たらそれをメモしておきます。

この一時アクセスパスでサインイン可能

TAPを使用した端末のEntra ID Join

ローカルユーザーだけ設定済みの端末でユーザー切り替えによりEntra IDのユーザーでWebサインインをする場合、先に端末をEntra ID Joinさせておきますが、その際TAPを使用してJoin可能です。
サインイン時に一時アクセスパスを入れる様求められます。

サインイン時に一時アクセスパスの入力画面が出てくる

TAPを使用したEntra ID Joinを行う事により、Entra管理センター上にデバイス名が登録されるのでWebサインインの構成プロファイルの対象デバイスとして選択可能となります。

TAPを使用してWebサインインで端末にEntra IDでサインインする

Webサインインの対象デバイス設定が反映されると、Windowsログイン時に[他のユーザー]を選んだ際の表示が変わります。
※反映まで少し時間がかかるかも

他のユーザーを選んだ際に表示が変わる

サインインを押すとWeb上のサインイン画面が出ます。（つまり、ネットに繋がっていないとサインインできない）

Entra IDのサインイン画面が表示される

この画面からだとEntra IDとTAPでログインが可能になります。

サインイン後

サインインが出来たら以後は、端末個別の設定などを行います。

キッティング後

端末個別の設定が終わり、ユーザーに渡せる状態になったら、Webサインインの構成プロファイルの対象からデバイスを除外しておきます。
Webサインインの場合、毎回Entra IDとパスワードの入力が必要になり通常のWindowsサインインと比べると面倒に感じるかと思います。
※こちらも反映にしばらく時間がかかるかも

その他（一度設定したPIN設定をリセットする）

TAPを用いてWebサインインでWindowsへサインインした場合、組織のWindows Hello for Businessの設定によっては必ずPINを設定しなくてはいけない場合があります。
ユーザーへ引き渡す前に、PIN設定（Windows Hello for Businessの設定）をリセットしておきます。

PIN設定のリセット手順

• ユーザー権限でコマンド プロンプトを起動して、下記コマンドを実行します。 (管理者権限で起動しないでください)

certutil -deletehellocontainer

Azure AD 参加後に有効になる Windows Hello for Business とその無効化方法について

さいごに

TAPを利用することにより、不要なパスワードのやり取りを減らすことが可能になりました。これをきっかけに、将来は完全パスワードレス環境を目指したい！

参考

パスワードレスの認証方法を登録するように Microsoft Entra ID で一時アクセス パスを構成する - Microsoft Entra ID

一時アクセスパス (TAP) を使用したパスワードレスの実現 | SBテクノロジー (SBT)