認証器未登録アカウントへのログオン設定
認証器未登録のWindowsアカウントがログオンする際の許可や制限を設定する操作について記載します。
操作手順
メニューから「認証サービス」>「グループポリシー」を選択します。
- グループポリシー一覧から設定したいポリシーをクリックします。
- 二要素認証設定 > ログオン項目 > 「認証器未登録アカウントへのログオン」の設定値を変更します。
- 「更新」ボタンをクリックします。
- 確認メッセージで「OK」をクリックします。
設定値
-
ログオンを許可しない
認証器未登録のアカウントは、FIDO Logonでのログオンが許可されません。
「サインインオプションの限定」が有効な場合は、端末PCのすべてのアカウントがパスワードのみでログオンすることができません。ただし、端末のFIDO認証が「未使用」となっている場合は、意図せずログオンできなくなることを避けるために、一度認証器を登録し、認証を行う(FIDO認証が「使用中」になる)まではパスワードでのログオンが可能となります。
例)「サインインオプションの限定」が有効な場合
アカウント 認証器設定状況 ログオン方法 User1 認証器登録済み FIDO認証でログオン User2 認証器未登録 ログオン不可
-
初回のみパスワードでログオンし、認証器の登録を強制する
認証器未登録のアカウントは、ログオン画面でパスワード入力後、認証器の登録が必要になります。
認証器の登録が成功すれば、そのままFIDO認証でログオンすることが可能となります。例)「サインインオプションの限定」が有効な場合
アカウント 認証器設定状況 ログオン方法 User1 認証器登録済み FIDO認証でログオン User2 認証器未登録 認証器の登録が必要
-
パスワードでログオンする
「サインインオプションの限定」が有効な場合でも、認証器の登録がされていないアカウントはパスワードのみのログオンができます。例)「サインインオプションの限定」が有効な場合
アカウント 認証器設定状況 ログオン方法 User1 認証器登録済み FIDO認証でログオン User2 認証器未登録 パスワードでログオン