PINコードや指紋認証・顔認証でログインしたい!との要望がありました。ActiveDirectory(以下:AD)下ではWindows Hello for Business(PINコードや指紋・顔認証の総称)は使用できないようにデフォルトではなっています。使えるよう設定していきます。
環境
環境はオンプレミスADです。ネットを調べてみるとクラウドAD(Azure Active Directory)やオンプレミスとクラウドのハイブリッドADなどの説明が載っています。そんなハイテクノロジー弊社では使用しておりませんので「オンプレミスAD」での設定方法を説明いたします。
グループポリシーオブジェクト作成
まずは「グループポリシーの管理」画面からグループポリシーオブジェクト(以下:GPO)を作成して下さい。名称はなんでもよいです。私は「WindowsHello」にしました。
コンピューターの構成
「コンピューターの構成」→「ポリシー」→「管理用テンプレート」→「システム」→「ログオン」の順番で開きます。「便利なPINを使用したサインインをオンにする」を「有効」にします。
ユーザーの構成
「ユーザーの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「Windows Hello for Business」の順番で開きます。「Windows Hello for Businessの使用」を「有効」にします。
最後に大事なこと
設定は以上で完了です。Windwos Hello for Businessを利用したいOUとリンクさせてください。
注意点としてはリンクさせるOUが端末のみとかユーザーのみとかですとこのGPOは機能しません。GPOの基本中の基本ですが、「コンピューターの構成」はコンピューターに、「ユーザーの構成」はユーザーにそれぞれ適用されます。今回作成したGPOは「コンピューターの構成」と「ユーザーの構成」両方あります。ですので、Windwos Hello for Businessを使用したい端末とユーザーどちらにもリンクさせてください。
コメント