Windows Hello for Business の"強制"を"任意"にする方法
Azure AD 参加 PC にユーザーがサインインするときに、以下のような Windows Hello のセットアップ ウィザードが必ず起動して、しかもセットアップを完了しないと毎回表示され続けて、ウンザリしていませんか?
Intune で Windows Hello for Business を無効にしてしまえば表示されなくなるものの、これでは便利な生体認証が使えません。
というわけで、このサインイン時のウィザードの強制起動だけを無効にし、生体認証は使える設定のご紹介です。
設定方法
設定を行うと、サインイン時のウィザードは起動しませんが、ユーザーは設定アプリの [アカウント] > [サインイン オプション] からは Windows Hello をセットアップできる状態になります。
この設定には、グループポリシーもしくはレジストリ値を使用します。
グループ ポリシーの場合
グループ ポリシー (またはローカル ポリシー) で設定するのは簡単です。
以下のポリシーを設定してください:
[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Hello for Business]
[Windows Hello for Business の使用] : 有効
[サインイン後に Windows Hello のプロビジョニングを開始しない] : オン
この設定は [ユーザーの構成] にもあります。ユーザーごとに有効 / 無効にしたい場合はそちらで設定してください。
レジストリの場合
Intune の場合、残念ながら [サインイン後に Windows Hello のプロビジョニングを開始しない] に相当する設定項目がありません。
代わりに、下記レジストリ値を設定するスクリプト等を Intune から配布します:
パス : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork
名前 : DisablePostLogonProvisioning
型 : REG_DWORD
値 : 1
さいごに
Windows Hello for Business セットアップには電話番号またはスマホ アプリが必要 → 社員全員に携帯電話を貸与していない → 社則で私物の携帯電話の使用は全面的に禁止されている、といった流れで、誰もが Windows Hello for Business を使える状況ではない組織も結構あります。
とはいえ生体認証はセキュリティも向上するし、何より便利。
強制的に使えなくするのではなく、「使えるユーザーは好きに使えるようにしておく」のが最適解ではないでしょうか。
当社では Microsoft 365 を使い倒すためのお手伝いもしていますので、お気軽にご相談ください!