2018年1月12日金曜日

[Azure AD/Intune]ログイン画面からPINをリセットする

こんにちは、富士榮です。

前回はAzure AD JoinしているWindows 10 PCのパスワードをログイン画面からリセットする方法を紹介しましたが、今回はPINをリセットする方法です。

まぁ、パスワードでログインすればいいじゃないか、という話もあるにはあるのですが、PINを忘れてしまうとログイン後、PINの削除=Windows Hello関連の設定のクリアをしてからPINの再設定、Windows Hello関連(顔とか指紋)の再登録という手順になるので、確かにPINだけでリセット出来るととても便利です。

こちらもパスワードリセットとほぼ同じ方法で設定をすることになるので、今回は差分となる部分を紹介します。

◆必要な物、準備事項

  • デバイス
    • Azure AD参加したWindows 10 Creator Updateが動作しているPC(パスワードと違ってCreator Update/1703からこの機能は使えるとドキュメント上は書いてあります。が、私の環境ではFall Creator Updateでないと動きませんでした)
  • ライセンス
    • 該当ユーザにIntuneのライセンスが割り当たっていること(GPOやPowerShellで対象PCのレジストリを直接操作してもOKですが、Intuneがあると便利です。本ポストではIntuneを使ってポリシーを配布する方法を紹介します)
  • 設定
    • IntuneでPINリセット用のプロファイルを構成していること

早速やってみます。

◆Intuneでデバイス構成プロファイルを作成する

前回同様、Azure PortalからIntune、Device ConfigurationからProfilesを開き、Create profileをより新規プロファイルを作成します。

ほぼパスワードリセットの時と作成するプロファイルは同じなのですが、設定するOMA-URIだけが以下のものとなります。

./Device/Vendor/MSFT/PassportForWork/[Tenand Id]/Policies/EnablePinRecovery

このTenant IdはAzure ADのプロパティから取得できるテナントIDです。
これで完了です。パスワードリセットよりも簡単です。

◆リセットする

構成が上手くいくとWindows 10 PCのログイン画面にPINリセットのリンクが表示されます。(もちろんAzure AD参加、Intuneへのデバイス登録がされていることが前提です)

このリンクから以下の様にPINリセットを進めることが出来ます。

パスワードでログインし、多要素認証を行います。

警告が表示されます。PINはデバイス単位なので、当然リセットはデバイス毎に行う必要があります。(忘れた奴だけやればOKですが)

新しいPINを登録します。

完了すると新しいPINでログインできるようになります。


前回のパスワードリセットを含め、ログイン画面から出来ることが増えているので、ヘルプデスクの負荷を下げるには、Windows 10+Azure AD/Intuneの組み合わせは良いと思います。

0 件のコメント: