一時アクセスパスを利用したWindows Hello for Businessの設定方法

Windows Hello for Business（以下 WHfB）は、生体認証やPINを使用してセキュリティを高めながら利便性を向上させる認証方法です。

しかし、初期セットアップ時には多要素認証（以下 MFA）が必要となるため、特定の状況下ではセットアップが難しい場合があります。

本記事では、初期設定の課題を解決する方法として、一時アクセスパス（Temporary Access Pass：TAP）を活用した設定方法について解説します。

WHfBは、Microsoft Entra IDで提供される1 回または複数回使うように構成できる一時的な認証手段です。

特に、初期設定や認証手段の一時的な代替が必要な場合に有効です。

WHfBの登録時には、MFAが必須です。しかし、特定の状況下では、標準的なMFAの手段（例えば、SMS認証やMicrosoft Authenticatorアプリの使用）が利用できない場合があります。

このような制約がある場合、一時アクセスパスは、WHfBの登録を円滑に進めるための有効な解決策となります。

一般的に、MFAにはモバイル端末を利用したSMS認証やMicrosoft Authenticatorアプリが使用されますが、社用携帯が配布されていない場合や、セキュリティポリシーで個人端末の使用が制限されている場合、これらの認証手段を利用することが難しいです。

このような場合、一時アクセスパスを利用することで、他の認証手段を準備することなく、MFAを完了できます。

一時アクセスパスを利用するためには、Microsoft Entra IDの設定で一時アクセスパスを有効化する必要があります。手順は以下の通りです。

Microsoft Entra 管理センターにアクセスします。
[保護] ＞[認証方法] をクリックします。
[一時アクセスパス] をクリックします。
[有効化およびターゲット] ＞ [有効にする」のトグルをONにします。
※[ターゲット] では一時アクセスパスを有効にするユーザーもしくはグループを選択することができます。
[構成] ＞[編集] をクリックします。

一時アクセスパスの有効期間、長さ（文字）、使用回数を設定します。

設定	既定値	使用できる値	説明
最短有効期間	１時間	10 – 43,200 分（30 日）	一時アクセスパスが有効である最短時間 (分)を設定できます。
最長有効期間	８時間	10 – 43,200 分（30 日）	一時アクセスパスが有効である最長時間 (分)を設定できます。
既定の有効期間	１時間	10 – 43,200 分（30 日）	既定値は、ポリシーによって構成された最小および最大有効期間内の個々のパスによってオーバーライドできます。
一時使用を必須にする	いいえ	はい/いいえ	ポリシーが「いいえ」に設定されている場合、テナントのパスは、その有効期間 (最大有効期間) 中に 1 回または複数回使用できます。一時アクセスパスポリシーで 1 回限りの使用を適用すると、テナントで作成されたすべてのパスが 1 回限りの使用になります。
長さ（文字）	8	8～48 文字	パスコードの長さを定義します。

一時アクセスパスポリシーを有効化すると、Microsoft Entra ID でユーザーの一時アクセスパスを作成できます。一時アクセスパスを作成する手順は以下の通りです。

Microsoft Entra 管理センターにアクセスします。
[ユーザー] ＞[すべてのユーザー] から、一時アクセスパスを作成するユーザーを選択します。
[管理] ＞[認証方法] をクリックします。
[＋認証方法の追加] をクリックします。

※[＋認証方法の追加] がグレーアウトしていて選択できない場合は、「新しいユーザー認証方法のエクスペリエンスに切り替えてください。今すぐ使用する場合は、こちらをクリックしてください。」をクリックします。
[一時アクセスパス] を選択します。
[遅延開始時間] [アクティブ化期間] [一時使用] を設定します。
内容に問題がなければ [追加] をクリックします。
一時アクセスパスの詳細をメモします。
※ここで [OK] をクリックすると、今後一時アクセスパスの内容を確認することができなくなります。
一時アクセスパス詳細のメモが完了したら、[OK] をクリックします。