セキュリティ意識と利便性の向上からパスワードレス化の流れが高まりつつある中で、

生体情報を利用してサインインするサービスとしてMicrosoftが提供している

「Windows Hello」と「Windows Hello for Business」があります。

どちらもパスワード入力の代わりに顔や指紋といった生体情報を使ってWindowsにサインインする機能ですが、

どのような違いがあるのかご紹介します。

①TPMに保存される情報の違い

Windows Helloは生体情報を暗号化してTPMに保存します。

一方Windows Hello for Businessでは、Microsoft Entra IDにデバイスを登録した時に

秘密鍵と公開鍵を生成し、秘密鍵のみをTPMに保存します。（公開鍵はMicrosoft Entra IDに保存されます）

生体情報はTPMに保存した秘密鍵を取り出すときのみに利用されます。

生体情報がデバイス内に保存されないためネットワークを通じて外部に流出してしまうことがないことの他、

万が一デバイスが盗難された場合であっても不正ログインを防ぐことができます。

※TPMとは・・・トラステッドプラットフォームモジュールの略。

PC内のマザーボードなどに装着され、セキュリティ関連の処理機能を実装したチップ。

②多要素認証として認識される

Windows Hello for BusinessでPCにサインインしただけで多要素認証をクリアしたとみなされ、条件付きアクセスポリシーによって

会社のリソースへのアクセスを制限している場合においても、SMSやアプリでの認証が不要となるので、

セキュリティ強化と利便性の向上のどちらも実現することができます。

★お役立ち情報
Windows Hello for Businessを組織で管理しているデバイスに対して有効化させる方法は以下の2通りあります。
・Active DirectoryのGPO
・IntuneでWindows Hello for Businessのポリシー作成
すでにADでGPOを運用しておりADを廃止しないのであれば、管理者の負荷も上がらないためおすすめです。
ADは廃止しないにしても既存GPOをIntuneに移行するような要件があれば、Intuneで管理したほうが効率的です。

また、GPOおよびIntuneでデバイスに対してポリシーを適用後、次のサインイン時にWindows Hello for Businessの構成ウィザードが走ります。

（スキップすることも可能です）

なお、サインイン時にはパスワードが必須となります。パスワードレスの運用をしている場合は一時的に解除するようにしてください。

デバイスを利用するユーザーにはその旨アナウンスし、業務に支障が出ないように注意が必要です。

ではまた