AD環境のWindows11でPIN(WindowsHello)の削除方法を教えてください。

Question

ドメイン環境のwindows11 23H2　のパソコンでPIN(WindowsHello)の削除を行いたいが、

[削除]ボタンがグレーアウトしていて押すことができないです。

PINを削除する方法を教えてください。

ログインしているアカウントはADユーザーです。

「外部のカメラまたは指紋リーダーでサインインする」はオフ

解決方法があれば教えていただきたいです。

よろしくお願いいたします。

＊＊モデレーター注＊＊

この質問は Windows / Windows 11 / アカウント、プロフィール、ログイン のカテゴリに投稿されましたが、内容から判断してこちらのカテゴリに移動いたしました。

適切なカテゴリに投稿すると、返信や回答が得られやすくなり同じ質問を持つ他のユーザーの参考にもなります。

Answer 1

チャブーンです。

> 削除する理由は、Helloを会社の方から利用してほしくないと言われたためです。

なるほど。事情はひとまず理解しました。PINを削除したい、ということにこだわっておられるようですが、結論からいうとログオンでPINを使わない、ということはできますが、今の状況ではPINを削除することは必要ないということになります。

• PINはなぜ必要なのか
  PINが必要なのは、パスワードに代わる資格情報(秘密キー)がTPMと呼ばれるPCハードウェアに保管され、その情報へのアクセスに必要なのです。Windows Helloをやめるということは、この秘密キーを使わなくする、が技術的なゴールです。秘密キーはPCごとにちがうものになります。ですのでPINもPCごとに別のものになります。
• PINはどこにあるのか
  オンプレミス併用のWIndows Helloであれば、どこにも保存されていない、がおそらく答えです。うえの情報通り、TPMに保存された資格情報の呼び出しに必要で、必要時には必ず入力が必要です。どこにも保存してないので、入力が要るのです。別の投稿にある「セキュリティを高めるためにクラウドIDだけを使う」設定であれば変わるのかもしれませんが、オンプレミス併用(以前の仕様)ではPINをクラウド上に記録することは一切ありません。端末ごとにPINが違う前提なので、どこかで記録・合一する必要がないのです。
• PINを使わなくなった場合の問題
  Windows Helloを使うのであれば、生体認証が使えないので問題です。Window Helloを使わないのであれば、使えなくなることに問題はありません。ただし、ログオンUIでのセキュリティオプションで「パスワードによるログオン」が不可になっていれば、これは大問題です。そのようなことがないよう、標準のログオンUI画面になっている(できる)ことを、システム管理者に確認してください。

うえの理由でPINを削除する必要はなく(情報はないのだから)、しいていうならその元ネタであるTPMに保管された「パスワードに代わる資格情報」がそれにあたります。が、基本的に削除の必要はありません。TPMはハードウェアの仕様で内部の秘密キーを取り出すことは絶対にできません。MIcrosoft自身もそうですし、システム管理者ももちろんそうです。ですので、放置しておいて、セキュリティ上のリスクはほぼないといっていいでしょう。もしどうしても削除したいなら、したにあるような方法で、TPMのリセットを行ってください。ただし、BitLockerなど他の暗号サービスを使っている場合、リセットすると致命的な問題を起こしますので、TPMのリセットはお奨めしません。

How to Clear TPM in Windows 10/11 and why to do it. - WinTips.org

うえの考え方から、最終結論としてログオンUIからPINログオンを取り除く(Windows Helloをやめる)、で問題がない、と言って大丈夫かと思います。基本的にレジストリ値かグループポリシーを操作します。[便利な PIN を使用したサインインをオンにする]ポリシーを無効に設定してもらってください。

ドメインユーザーの PIN / Hello を有効にする (vwnet.jp)

追記:実際にTPMをリセットした記事があったので、追記しておきます。こちらでは強制的にPIN情報(TPMの資格情報)がなくなった(のでリセットされた)ということのようです。ここでは触れられていませんが、BitLocker等の注意点等、どうしても行いたいなら厳重に確認、対応したうえで作業してください。

【Windows 11便利テク】実験！Windows 11でTPMをクリアしたらサインインできなくなるのか？ - PC Watch (impress.co.jp)

Answer 2

チャブーンです。

この件ですが、Windows Helloが有効になっている場合、生体認証が利用可能な状況になっているので(オフでも)、最低限PINの設定は必要です。

つまり、Active Directoryへの参加をやめないと、この設定はOffにはできないです。なぜこの1台だけWindows Helloをやめたいのでしょうか？

まずはその確認が必要です。Windows Helloはシステム管理者が(強制で)設定している話しなので、1利用者の意図で勝手に無効化するのは、問題があります。そうしたい場合は、まず会社のシステム管理者に相談してみてください。

そのうえで、なぜ無効化が必要なのかを説明いただけると、なにか案がでてくるかもしれませんね。

Answer 3

同一質問、解決してます

PINの削除を行いたいのですが、削除ボタンはグレーアウト、「セキュリティ向上のため、このデバイスではMicrosoftアカウント用にWind - Microsoft コミュニティ

※※ここはMSのサポート窓口ではなく、あなたと同じ一般ユーザーが書き込む掲示板です

　　解決すれば回答マークを付け、解決しなければより詳しい状況を返信してください

　　同じ問題でネット検索によりたどり着いた人たちの指針になるので、放置しないでください※※

Answer 4

チャブーンです。

この件ですが、Windows Helloが有効になっている場合、生体認証が利用可能な状況になっているので(オフでも)、最低限PINの設定は必要です。

つまり、Active Directoryへの参加をやめないと、この設定はOffにはできないです。なぜこの1台だけWindows Helloをやめたいのでしょうか？

まずはその確認が必要です。Windows Helloはシステム管理者が(強制で)設定している話しなので、1利用者の意図で勝手に無効化するのは、問題があります。そうしたい場合は、まず会社のシステム管理者に相談してみてください。

そのうえで、なぜ無効化が必要なのかを説明いただけると、なにか案がでてくるかもしれませんね。

　ありがとうございます。

削除する理由は、Helloを会社の方から利用してほしくないと言われたためです。

（理由はわかりませんが私のアカウントで一時的にサインインオプションを変更することができました。）

そのため削除を行いたいです。

また、利用していなかった期間が長かったため忘れてしまったのも1つです。

今は「サインイン オプション」を触れるように 一時的にGPOの「便利なPINを使用したサインインをオンにする」を有効にしてもらってます。

例えば、ADの管理者であれば削除は可能なのでしょうか？

よろしくお願いいたします。

Answer 5

弊社ではユーザーの皆様を支援するために翻訳サービスを利用しています。文法上の誤りについてはご容赦ください。

こんにちは。お問い合わせいただきありがとうございます。

本日は喜んでお手伝いさせていただきます

Active Directory 環境の Windows 11 コンピューターで Windows Hello PIN を削除する場合、いくつかの制限に直面する可能性がありますが、削除する方法はいくつかあります。以下の手順に従ってください。

1. 設定アプリを開き、[アカウント] - [サインイン オプション] の順に移動し、[デバイスへのサインイン方法の管理] の下で [Windows Hello PIN] を見つけます。[削除] ボタンがグレー表示されている場合は、サインイン方法を変更する必要がある可能性があります。[変更] をクリックし、プロンプトに従って新しい PIN を設定してから、もう一度削除してみてください。
2. それでも問題が解決しない場合は、管理者としてコマンドプロンプトを開き、以下のコマンドを1行で実行してコンピュータを再起動し、確認します。

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v "PIN" /f

これで問題が解決することを願っています。ご質問がございましたら、お知らせください。