Windows Helloをローカルドメインで有効にするには、手っ取り早く、ローカルグループポリシーを設定した方が楽なのですが、一応、ドメイン上で有効にする場合、ポリシーを設定して、クライアントに配布した方が早いですよね。
(まあ、DCがWindows Server 2008R2でぇーすとかいうと困りますが)
Windows Helloを使用するにはPINを有効にする必要がありますが、グループポリシーでPINを有効にすると、Windows 10デフォルトではなく、大文字小文字などいろいろ要求されるようになってしまって、パスワードと何が違うの?となりますので、PINの複雑さも併せて設定するようにします。
一応、Windows Hello for Businessは、AADのほうなので、生体認証の方をメインに設定します。
生体認証の使用を許可する、ドメインユーザーによる生体認証を使用したログオンを許可するは有効にしておきます。。
画像で申し訳ないですが、ざっと上記のようにポリシーで設定して、使用しています。
うちもマウスコンピューターのCM01を利用しているのですが、設定するのに結構戸惑ったところは、拡張スプーフィング対策でしょうか。(マウスの平井さんのつぶやきに感謝です)
これを無効にしないと、カメラを有効にできませんでした。または、Windows Helloは管理者によって無効にされています。と表示され使えなくなるのです。
タブレットのほうには、指紋認証モジュールと合わせて接続してますが、顔認証、指紋認証、どちらでもログインできるようになりますね。
拡張スプーフィング対策は有効にしたいのですが、CM01では対応できないのでしょうかねぇ。