見出し画像

Windows Hello for Business の"強制"を"任意"にする方法

Azure AD 参加 PC にユーザーがサインインするときに、以下のような Windows Hello のセットアップ ウィザードが必ず起動して、しかもセットアップを完了しないと毎回表示され続けて、ウンザリしていませんか?

Windows Hello セットアップ ウィザード

Intune で Windows Hello for Business を無効にしてしまえば表示されなくなるものの、これでは便利な生体認証が使えません。
というわけで、このサインイン時のウィザードの強制起動だけを無効にし、生体認証は使える設定のご紹介です。

設定方法

設定を行うと、サインイン時のウィザードは起動しませんが、ユーザーは設定アプリの [アカウント] > [サインイン オプション] からは Windows Hello をセットアップできる状態になります。
この設定には、グループポリシーもしくはレジストリ値を使用します。

グループ ポリシーの場合

グループ ポリシー (またはローカル ポリシー) で設定するのは簡単です。
以下のポリシーを設定してください:

  • [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Hello for Business]

    • [Windows Hello for Business の使用] : 有効

    • [サインイン後に Windows Hello のプロビジョニングを開始しない] : オン

グループ ポリシーの場合の設定箇所

この設定は [ユーザーの構成] にもあります。ユーザーごとに有効 / 無効にしたい場合はそちらで設定してください。

レジストリの場合

Intune の場合、残念ながら [サインイン後に Windows Hello のプロビジョニングを開始しない] に相当する設定項目がありません。
代わりに、下記レジストリ値を設定するスクリプト等を Intune から配布します:

  • パス : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork

  • 名前 : DisablePostLogonProvisioning

  • 型 : REG_DWORD

  • 値 : 1

さいごに

Windows Hello for Business セットアップには電話番号またはスマホ アプリが必要 → 社員全員に携帯電話を貸与していない → 社則で私物の携帯電話の使用は全面的に禁止されている、といった流れで、誰もが Windows Hello for Business を使える状況ではない組織も結構あります。
とはいえ生体認証はセキュリティも向上するし、何より便利。
強制的に使えなくするのではなく、「使えるユーザーは好きに使えるようにしておく」のが最適解ではないでしょうか。

当社では Microsoft 365 を使い倒すためのお手伝いもしていますので、お気軽にご相談ください!

https://www.tknetservice.com


いいなと思ったら応援しよう!