「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート(その6):vNextに備えよ! 次期Windows Serverのココに注目(65:特別編)(3/3 ページ)
Windows Server 2016による「Windows Hello for Business」のオンプレミス展開を検証し、実装のポイントやユーザーエクスペリエンスをレポート。今回は、Azure AD参加PC/ドメイン参加PCのセットアップとエクスペリエンス、トラブルシューティングを解説します。
デバイスの登録状況とトラブルシューティング
Azureクラシックポータルのディレクトリの「ユーザー」ページでユーザーのプロパティの「デバイス」を開くと、そのユーザーにひも付く登録済みデバイス情報を確認できます。デバイスの登録方法によって、「信頼の種類」が「AAD参加済み」「社内参加済み」「ドメイン参加済み」として識別されます(画面10)。
また、ドメインユーザーアカウントの資格情報を使用して、Azure AD参加や社内参加でAzure ADに登録されたデバイスの情報は、デバイスの書き戻しによってActive Directoryの「RegisterdDevices」コンテナに同期されます。デバイスのオブジェクトが「GUID名」で登録されるため、どのデバイスか分かりにくいのですが、オブジェクトプロパティの「属性エディター」タブで「displayName」を確認することで、デバイスのコンピュータ名が分かります。なお、ドメイン参加済みWindows 10デバイスについては、「RegisterdDevices」コンテナには登録されません。
デバイス側でデバイスの登録状況を確認するには、コマンドプロンプトで「dsregcmd /status」を実行します(画面11)。「イベントビューアー」では、「アプリケーションとサービスログ」→「Microsoft」→「User Device Registration」→「Admin」ログでデバイスの登録状況やWindows Hello for Businessの登録状況を確認できます。
例えば、イベントID「306」(Automatic registration succeeded)は自動登録の成功、イベントID「300」(The Microsoft Passport key was successfully registered with Azure AD)はMicrosoft Passportキーの登録成功を示しています。
Windows Hello for Businessのオンプレ展開まとめ
Windows Server 2016でWindows Hello for Businessのオンプレミス展開が実現可能になったたことで、これまでクラウド環境で先行していた「パスワードのない世界」が、社内のActive Directoryドメイン環境にも導入できるようになります。
Office 365をはじめ、企業においてもクラウドサービスの利用が始まっています。Windows Hello for Businessはまず、このような企業向けクラウドアプリに対して「安全」で「簡単」なアクセスを実現します。今後は、クラウド生まれの技術で開発された業務アプリを企業内に展開するケースは増えていくでしょう。そうなると、Windows Hello for Businessの活躍の場はさらに広がります。
これから企業のクライアントPCをリプレースする、あるいは新規導入するなら、Windows Hello for Businessの利用に備え、TPM(Trusted Platform Module)と生体認証デバイスの搭載モデルを検討するべきかもしれません。特にTPMは、Windows Hello for Business以外にも、Windows 10が備える高度なセキュリティ機能にとって重要です。
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。
Copyright © ITmedia, Inc. All Rights Reserved.