Windows Hello for Businessを使用して Windows にログオンするときに"資格情報を確認できませんでした"エラー

この記事では、Windows Hello for Business (WHFB) で Windows にログオンしようとしたときに発生するエラー "資格情報を確認できませんでした" を修正する方法について説明します。

適用対象: Windows 10、Windows 11
元の KB 番号: 4519735

現象

WHFB 証明書またはキー信頼を使用してWindows 10またはWindows 11 デバイスにサインインしようとすると、次のいずれかのエラー メッセージで失敗します。

資格情報を確認できませんでした

問題が発生し、PIN が使用できません (状態: 0xc00000bb、substatus:0x0)。 をクリックして、PIN をもう一度設定します。

原因

この問題は、発行元の証明機関 (CA) 証明書がドメイン コントローラーとクライアント コンピューターの NTAuth ストアに存在しないために発生します。

WHFB を使用する場合、ドメイン コントローラーはクライアント コンピューターから送信された証明書を検証する必要があります。 検証中に、ドメイン コントローラーのキー配布センター (KDC) サービスを調べて、NTAuth レジストリ キーで発行元の CA 証明書が見つかるかどうかを確認します。 NTAuth レジストリ キーは にあります HKLM\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates。

注:

EnterpriseCertificates レジストリ キーに表示される内容は、Active Directory 内の場所です。 グループ ポリシーの更新中に、これらの証明書はフォレスト内のすべてのクライアント マシン、メンバー、ドメイン コントローラーによってレジストリにインポートされます。

問題を特定する方法

1. 証明機関スナップイン を 開きます。
2. 発行元の CA サーバーを右クリックし、[プロパティ] を選択 します。
3. [ 全般 ] タブに移動し、複数の証明書がある場合は現在の証明書を選択し、[ 証明書の表示] を選択します。
4. [ 詳細 ] タブに移動し、 拇印 属性まで下にスクロールします。
5. 発行元の CA 証明書の拇印を書き留めます。
6. ドメイン コントローラーでレジストリを開き、 に移動します HKLM\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates。
7. 上記のレジストリ キーの下に拇印の値を持つフォルダーがあるかどうかを確認します。

解決方法

1. 証明機関スナップイン を 開きます。

2. 発行元の CA サーバーを右クリックし、[プロパティ] を選択 します。

3. [ 全般 ] タブに移動し、複数の証明書がある場合は現在の証明書を選択し、[ 証明書の表示] を選択します。

4. [ ファイルにコピー ] オプションを使用して証明書をエクスポートします。 IssuingCA.cer などのファイルとして保存します。

5. ドメイン コントローラーで Enterprise 管理者の資格情報を使用してサインインし、次のコマンドを実行します。

   certutil -dspublish -f IssuingCA.cer NTAuthCA
   certutil -enterprise -addstore NTAuth IssuingCA.cer
   

6. を実行 gpupdate /force し、発行元 CA の拇印がこのレジストリ ハイブ HKLM\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificatesの下に作成されていることを確認します。

7. Active Directory レプリケーションが完了するまで待ちます。

8. クライアント コンピューターでも実行 gpupdate /force し、発行元の CA 証明書の拇印がクライアント コンピューターに作成されていることを確認します。