2016 年 2 月の投稿「Windows 10 のデバイス認証と Microsoft Passport for Work をオンプレに展開 (成功)」では、オンプレのActive Directoryドメイン参加デバイスの自動登録まではいけてましたが、Microsoft Passport for Work(新名称、Windows Hello for Business)のオンプレ展開は中途半端になってました。Windows Server 2016 TP5 ベースで構築し直し、Windows 10 Enterprise (Pro/Education でも OK) 1511 クライアント で Microsoft Passport for Work(Windows Hello for Business)が使えたのでご報告。
同じことして以前はダメだったのに、Azure AD 側が何か変わったのかしらん???
ドメイン参加デバイスの自動登録までできたら、あとはグループ ポリシーで「管理用テンプレート\Windows コンポーネント\Microsoft Passport for Work\Microsoft Passport for Work を使用する」を有効にするだけ。必要に応じて「PIN の複雑さ」ポリシーを設定すればよい。
Windows 10 クライアントにポリシーが適用されると、最初の(またはPIN未設定ユーザーの)サインイン時に「PIN のセットアップ」が始まる。
オンプレの AD なのにこれができるのは、Azure AD と同期しているからだと思う。
Microsoft Passport for Work(Windows Hello for Business) は、キー ベースと証明書ベースのいずれかでセットアップできるけど、今回のはキー ベース。証明書ベースの場合は、スマートカード(または仮想スマートカード)デバイスとスマートカードログオンテンプレートから発行したユーザーの証明書が必要になると思う。
参考:
Enable Microsoft Passport for Work in your organization
[URL] https://azure.microsoft.com/en-us/documentation/articles/active-directory-azureadjoin-passport-deployment/
(※System Center Configuration Manager を使ってる場面あるけど、今回のキー ベースのでは使っていません)
以下は、まだ内容見てませんが、Windows Hello for Business に関する新しいドキュメント
Enabling remote access with Windows Hello for Business in Windows 10
[URL] https://www.microsoft.com/en-us/download/details.aspx?id=53015
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。