この記事では、Windows 10 で便利な PIN ポリシーと Hello for Business ポリシーが有効になっている場合に PIN を構成できることを確認するための解決策について説明します。
適用対象: Windows 10 - すべてのエディション
元の KB 番号: 3201940
現象
Windows 10 バージョン 1607 以降のバージョンの Windows 10 を実行していて、Active Directory ドメインに参加しているユーザーは、便利な PIN を作成できません。 一方、Windows 10 バージョン 1511 以前を実行しているユーザーは問題なく実行できます。
ユーザーが Settings>Accounts>Sign-in オプションに移動すると PIN を設定するオプションは使用できないため (淡色表示)、構成できません。
ユーザーは、以前のバージョンの Windows 10 で便利な PIN を既に構成してから、Windows 10 バージョン 1607 以降にアップグレードしています。 PIN は、ユーザーが Settings>Accounts>Sign-in オプション> PIN を忘れるまで機能します。 この状況では、PIN を作成するオプションは使用できません (淡色表示)。 この問題は、Windows 10 バージョン 1511 以前には影響しません。
原因
Windows 10 バージョン 1607 以降には、Windows Hello for Business と便利なサインイン PIN を区別する新機能が含まれています。
Windows Hello for Business には強力なユーザー認証プロパティがあり、Windows Hello for Business インフラストラクチャが整備されておらず、ユーザーが便利な PIN を使用している場合に、頻繁に誤って機能していると見なされます。 この変更により、Windows Hello for Business を使用しない Windows 10 以降のバージョンで PIN が作成されるのを防ぐことができます。
さらに、デバイスが何らかの方法で Microsoft Entra ID に参加していない限り、次のポリシーが両方とも有効になっている場合、ユーザーは Windows 10 バージョン 1607 以降のバージョンで便利な PIN を作成できません。
- 便利な PIN を使用する
- Windows Hello for Business を使用する
たとえば、デバイスが Microsoft Entra に参加しているか、次のポリシーが有効になっているとします。
コンピューターの構成\管理用テンプレート\Windows コンポーネント\デバイスの登録\ドメインに参加しているコンピューターをデバイスとして登録する
Microsoft Entra ID に参加していないデバイスで便利な PIN を作成できるようにするには、次の条件が満たされていることを確認します。
- Windows Hello for Business の使用ポリシーが有効になっていません。
- [便利な PIN サインインを有効にする] ポリシーが有効になっています。
解決方法
Windows 10 バージョン 1607 以降で便利な PIN を使用するには、次のグループ ポリシー設定を構成する必要があります。
- ポリシー: 便利な PIN サインインを有効にする
- カテゴリ: パス コンピューターの構成\管理用テンプレート\System\Logon
Note
- GPO は、Windows Server 2012、Windows 8、Windows RT、Windows Server 2012 R2、Windows 8.1、および Windows RT 8.1 のみを指定します。 これは間違っており、後日更新される予定です。 このポリシーは Windows 10 に適用され、ユーザーが便利な PIN を設定できます。
- この方法で PIN を有効にしても、Windows Hello for Business インフラストラクチャが構成された PIN を使用する場合と同じレベルのセキュリティは提供されません。
PIN の複雑さ: 次の場所にあるポリシーを使用して、標準の方法で PIN の複雑さを管理します。
コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Hello for Business \PIN の複雑さ
便利な PIN を使用する場合は、PIN の複雑さ以外の設定を構成しないでください。 Windows Hello for Business で便利な PIN サインインを有効にすると、PIN を設定できなくなります。
詳細
Windows Hello for Business が設定されておらず、ユーザーに便利な PIN が構成されている場合、ユーザーは Windows Hello for Business のセキュリティ品質を持たないパスワード スタッフャーを使用しています。 パスワード スタッフは便利なサインイン PIN です。 これらは、[便利な PIN サインインを有効にする] グループ ポリシー設定によって制御されます。
Microsoft では、Windows 10 バージョン 1607 以降、この既定の動作を行いました。 この既定の動作によって提供されるセキュリティは、便利な PIN を有効にすることで、ユーザー自身の判断で減らすことができます。
詳細については、「Windows Hello for Business」を参照してください。