こんにちは。
AzureAD参加した端末へサインインすると、規定ではWindows Hello for Businessの設定画面が表示されます。
例えば、AzureAD参加した後、別のAzureADユーザーでログインすると下記のようにセットアップが求められます。
[OK]をクリックすると、多要素認証のセットアップを要求され、(多要素認証の設定をしていなかった場合)PINコードの設定をする必要があります。
上記を[×]で閉じれば下記のエラーが表示され、[あとで確認する]をクリックすれば、通常通り、サインインできますが、利用者の混乱を招くのは間違いないかと。
これを表示させる、させないの設定は、MEM(Intune)から行うことができ、大きく2通りの手順があります。
①組織全体にWindows Hello for Businessを適用する
⇒前提としてAzureAD参加とIntuneの自動登録構成が必要です
組織全体に適用されるため、全ユーザーに対して適用されます。
②Intuneデバイス構成プロファイルでWindows Hello for Businessを適用する
⇒Intune登録が必要です。こちらもAzureAD参加またはハイブリッドAzureAD参加する端末に適用するには、Intuneの自動登録構成を設定しておきましょう。
この方法はグループ単位で適用先を制御できることがメリットになります。
なお、このIntune(MEM)の構成プロファイルから設定する手順は本ブログの下記投稿記事に記載しております。
下記は逆に有効化とする設定でご案内しましたが、これを無効にすればよいだけです。
Intune デバイス構成プロファイルの設定(Identity Protection)
Windows Hello for Businessを設定した端末で AzureAD 条件付きアクセスの多要素認証(AzureMFA)によるアクセス許可を適用する | ~IT Note~ (jin-kuro.com)
全ユーザーに対し、Windows Hello for Business設定を非表示にする
今回は組織として、このWindows Hello for Business設定を無効化する手順で検証を行いました。
まず、MEM(Microsoft EndPoint Manager Admin Center)にサインインします。
[デバイス]-[Windows]をクリックします。
[Windowsの登録]-[Windows Hello for business]をクリックします。
[Windows Hello for Business の構成]で”無効”を選択し、[保存]をクリックします。
本設定はIntuneの設定なので、しばらくサインインしていない端末などについては、設定後に一度チェックインする必要があります。
その時はまだ、設定情報が端末に届いていないため、一時的にWindows Hello for Businessの設定画面が表示されるかもしれませんが、次回以降、サインインするときは表示されなくなります。
