Windows Hello の強化されたサインイン セキュリティ

• 適用対象:

  ✅ Windows 11, ✅ Windows 10

Windows Hello では生体認証または PIN 認証が可能になり、パスワードが不要になります。 生体認証では、顔認識または指紋を使用して、安全かつ個人的かつ便利な方法でユーザーの身元を証明します。

拡張サインイン セキュリティ (ESS) は、特殊なハードウェアおよびソフトウェア コンポーネントを使用して、生体認証データにさらなるレベルのセキュリティを提供します。 仮想化ベースのセキュリティ (VBS) と Trusted Platform モジュール 2.0 は、ユーザーの認証データを分離して保護し、データ通信チャネルを保護するために使用されます。

拡張サインイン セキュリティによる生体認証データの保護方法

ESSと顔認識

ESS が有効になっている場合、顔アルゴリズムは VBS を使用して保護され、Windows の残りの部分から分離されます。 ハイパーバイザーは、メモリ領域を指定および保護するために使用されます。これにより、VBS で実行されているプロセスのみがアクセスできるようになります。 ハイパーバイザーを使用すると、顔カメラは、これらのメモリ領域に書き込むことができ、カメラから顔照合アルゴリズムに顔データを配信するための分離された経路を提供します。

顔テンプレートは、保護された face アルゴリズムによって VBS で生成されます。 使用されていない場合、顔テンプレート データは、生成されたキーを使用して暗号化され、VBS のみにアクセスでき、ディスクに格納されます。

ESSと指紋認識

ESS は、センサー一致機能を備えた指紋センサーでのみサポートされます。 この種類のセンサーには、ハードウェアを使用して指紋照合とテンプレート記憶域を分離するために使用できるマイクロプロセッサとメモリが含まれています。

ESS をサポートするセンサーには、製造時に証明書が組み込まれています。 証明書は、VBS で実行されている Windows 生体認証コンポーネントによって検証され、センサーとの安全なセッションを確立するために使用されます。 センサーと Windows 生体認証コンポーネントは、セッションを使用して登録操作と照合結果を安全に通信します。

資格情報の操作

VBS で実行されている Windows 生体認証コンポーネントは、ブート時に TMP によって VBS と共有される情報を使用して、TMP へのセキュリティで保護されたチャネルを確立します。 照合操作が成功すると、VBS の生体認証コンポーネントは、セキュリティで保護されたチャネルを使用して、ID プロバイダー、アプリケーション、およびサービスでユーザーを認証するための Windows Hello キーの使用を承認します。

強化されたサインインセキュリティを有効にする

ESS を有効にするには、システムにプリインストールされている特殊なハードウェア、ドライバー、ファームウェアが必要です。 デバイス メーカーは、工場でのデバイス構成時に、拡張サインイン セキュリティを有効にすることを選択できます。

Note

すべての Copilot+ PC では、ESS がデフォルトで有効になっています。 詳細については、 Copilot+ PC のハードウェア要件を参照してください。

システム要件

互換性のあるハードウェアおよびソフトウェア コンポーネントは、拡張サインイン セキュリティを有効にするために必要です。

• デバイスガードの有効化と トラステッドプラットフォームモジュール2.0を含む 仮想化ベースのセキュリティ（VBS）の要件を満たす
• ESSをサポートする生体認証センサーハードウェア
• ESSと互換性のある生体認証センサードライバー
• デバイスの製造元によって、内蔵の生体認証ハードウェア用に構成された セキュアデバイス（SDEV）ACPIテーブル を備えたデバイスファームウェア

生体認証センサーの互換性

顔認証センサー

ESS は特定の範囲の IR カメラで動作するように設計されており、特定のチップセットが必要です。 ESS をサポートするカメラでは、この機能がファームウェアに組み込まれている必要があり、オペレーティング システムに付属する標準の Windows UVC カメラ ドライバーを使用する必要があります。

カメラ モジュールが ESS 対応かどうかを確認するには、まずデバイス マネージャーに移動し、 ユニバーサル シリアル バス コントローラー セクションを展開します。 名前に eXtensible Host Controller が含まれるデバイスを右クリックし、 [プロパティ] オプションを選択してデバイスのプロパティを表示します。 ホスト コントローラーのエントリが複数ある場合は、すべてのプロパティ セクションを確認します。 ドライバーの [詳細] タブに移動し、 [プロパティ] ドロップダウン メニューから [機能] を選択します。 いずれかのデバイスに CM_DEVCAP_SECUREDEVICE 機能が表示されます 。

次に、デバイス マネージャーの [カメラ] セクションに移動して、PC カメラのプロパティ セクションを確認します。 PC カメラのエントリが複数ある場合は、すべてのプロパティ セクションを確認します。 ドライバーの 詳細 タブに移動し、 プロパティ ドロップダウン メニューから 機能 を選択します。 PC カメラ デバイスの 1 つに CM_DEVCAP_SECUREDEVICE 機能が必要です。

指紋生体認証センサー

ESS 対応の指紋センサーはチップ上で一致する必要があります。

• センサーには、製造時にMicrosoft発行の証明書がデバイスに書き込まれている必要があります。
• デバイスドライバーとファームウェアは、拡張サインインセキュリティ機能をサポートしている必要があります。

指紋モジュールが ESS 対応かどうかを確認するには、まずデバイス マネージャーに移動し、 生体認証デバイス セクションを展開します。 指紋センサーのエントリがあるはずです。 指紋リーダーのエントリを右クリックし、 「プロパティ」>「詳細」に移動します。 プロパティ オプションで、 デバイスインスタンスパスを選択します。

regedit.exe を開き、 HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations に移動します。ここで、 DeviceInstancePath はデバイス マネージャーにリストされているパスです。 [構成] を選択します。 データ値が 1である SecureFingerprint という名前のレジストリ キーがリストされているはずです。 存在しない場合、デバイスはセキュリティ保護に対応していません。

構成の下には、 0 というラベルの付いたフォルダーと 1 というラベルの付いたフォルダーの 2 つがあります。 フォルダーが 2 つではなく 1 つしかない場合、デバイスはセキュリティ保護に対応していません。

ESSが有効になっているかどうかを確認する

Security Center

ESS が有効になっている場合、Windows セキュリティ アプリケーションの デバイス セキュリティ セクションに、拡張サインイン セキュリティのエントリが表示されます。 このエントリは、システムのハードウェア機能について説明します。 強化されたサインイン セキュリティ セクションが存在しない場合は、この機能はシステムで有効になっていません。

デバイスに ESS をサポートしていない生体認証センサーが組み込まれている場合、またはそのタイプの生体認証ハードウェアがシステムに存在しない場合は、対応するセンサーの横に「互換性のないハードウェアのため使用できません」という説明が表示されます。 このメッセージは、ハードウェアが ESS をサポートするために必要なセンサー要件に準拠していないことを示します。

イベント ビューアー

Windows 生体認証フレームワークは、システム上の各センサーが列挙されたときにログ イベントを生成します。 これらのログには、センサーが拡張サインイン セキュリティを有効にして動作しているかどうかを示す情報が含まれます。 生体認証イベント ログは、イベント ビューアーの イベント ビューアー>アプリケーションとサービス ログ>Microsoft>Windows>生体認証>操作にあります。

生体認証デバイスが Windows 生体認証フレームワークによって適切に読み込まれると、対応するセンサーのログ イベント ID 1108 が存在します。 デバイスが ESS を有効にして動作している場合、センサーは 仮想セキュア モード プロセスで 分離 として指定されます。 デバイスが ESS を使用していない場合は、 System プロセスで isolated として指定されます。

イベント 1108では、カメラは W​​indows Hello Face Software Device (ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000) を使用して記述され、指紋デバイスはデバイスの特定のモジュールとデバイス ID を使用して記述されます。 指紋デバイスの場合、デバイス ID はデバイス マネージャーの 生体認証デバイス>[指紋モジュール]>プロパティ>詳細>デバイス インスタンス パスに表示されます。

アプリケーションの互換性

ESS 対応カメラを搭載したデバイスの場合、セキュア デバイス (SDEV) テーブルが必要です。 SDEV テーブルが実装され、VBS が有効になっている場合、SDEV テーブルはセキュリティで保護されたカーネルによって解析され、Peripheral Component Interconnect (PCI) デバイスの構成領域へのアクセスに制限が適用されます。 これらの制限は、SDEV テーブルで指定されたセキュリティで保護されたデバイスの構成領域が悪意のあるプロセスによって操作されないようにするためのものです。

Windows で明示的にサポートされている手段以外で PCI 構成スペースの読み取り/書き込みを試みるアプリケーションでは、SDEV テーブルが解析および適用されるときにバグ チェックが実行されます。

これらのソフトウェアの制限により、デバイス イメージに含まれているすべてのドライバーとソフトウェアの互換性をテストする必要があります。 Windows アップデート、Microsoft Store、またはデバイスの製造元が提供するその他の許可されたチャネルを介してシステムに配布されるソフトウェアまたはドライバーも、互換性があるかどうかを確認する必要があります。 この検証を行わないと、システムで予期しない動作が発生する可能性があります。

サポートされていないシナリオ

ESS非対応センサー

ESS が有効になっている場合、ESS をサポートする生体認証センサーのみがシステムで動作します。 すべての非対応センサーは、Windows 生体認証フレームワークによって列挙されません。

システムにどのようなハードウェアを含めるか、および拡張サインイン セキュリティをデフォルトで有効にするかどうかは、製造元が決定します。 生体認証のモダリティがブロックされることについて懸念がある場合は、デバイスの製造元にサポートを依頼してください。

プラグ式/周辺生体認証センサー

ESS は外部指紋センサーまたはカメラ モジュールではサポートされていません。 ESS を有効にすると、セキュリティ対応かどうかに関係なく、外部または周辺の生体認証センサーの操作がブロックされます。 ESS 対応の周辺機器を使用して Windows Hello でサインインする場合は、 ESS の無効化/有効化を参照してください。

指紋センサー用の Wake on touch

Wake on Touch (WoT) は、ユーザーがセンサーに 2 回タッチしなくても、指紋センサーがシステムを起動してユーザーにサインインさせる機能です。 モダン スタンバイ をサポートするデバイスでは、Wake on Touch (WoT) センサーの動作が有効になります。

Windows 11 バージョン 22H2 (KB5027303 適用後) 以降では、WoT が ESS デバイスで利用可能になります。

トラブルシューティング

顔認証/指紋認証が機能しない

生体認証が機能しない場合は、まず VBS が実行されており、セキュリティで保護されたコンポーネントが起動していることを確認します。 VBS が実行されているかどうかを確認するには、 システム情報>システム概要を開きます。 仮想化ベースのセキュリティ のエントリが 実行中としてリストされているはずです。

また、生体認証の分離 trust-lets が実行されていることも確認してください。 これらは、 システム情報>ソフトウェア環境>実行中のタスク の下に、 bioiso.exe および ngciso.exeとしてリストされるはずです。 これらのチェックのいずれかが失敗した場合、システムは拡張サインイン セキュリティの要件を満たしていない可能性があります。 手順 3 を使用して生体認証サービスを再起動します。

1. 設定>サインインオプションで、機能していない登録を削除し、再登録します。
   1. Windows Hello Face/Fingerprintのエントリが、 Windows Hello Faceと互換性のある指紋スキャナーが見つかりませんでしたなどの条件で利用できない場合は、次の手順に進みます。
2. デバイス マネージャーでは、センサーは 生体認証デバイスの下にリストされているはずです。 デバイス名を右クリックして [デバイスのアンインストール]を選択し、ドライバーを再インストールします。 デバイスを再起動すると、Windows はドライバーの再インストールを試みます。 認証が機能しているか確認する
3. 生体認証サービスを再起動するには、まず [サインイン オプション] に移動して PIN を削除し、システムから PIN を削除します。 管理者としてコマンドプロンプトを開き、 net stop wbiosrvc && net start wbiosrvcと入力します。 指紋認証が機能しているか確認する
4. 生体認証がデバイス上でまだ機能しない場合は、フィードバックハブを使用してフィードバック項目を提出してください。

安全な接続が成功したかどうかを確認するには、「ESS が有効になっているかどうかを確認する」セクションを参照してください。

PINが機能していません

PIN は、ロック画面の サインイン オプションでリセットできます。 これを行うには、PIN を削除し、もう一度追加します。 これにより、PIN をリセットするよう指示され、PIN 機能が復元されます。

ESS を無効/有効にする

KB5031455 が適用された Windows 11バージョン 22H2 以降、ユーザーは、外部周辺機器を使用してデバイス上の Windows Hello で認証する場合、ESS を一時的にオフにすることができます。

設定アプリを使用して ESS を無効にすることができます。 [スタート]>[設定]>[アカウント]>[サインイン オプション] を選択するか、次のショートカットを使用します。

サインイン オプション

[追加設定]>[外部カメラまたは指紋リーダーでサインインする]に、ESS を有効または無効にするためのトグルがあります。

• トグルが [オフ] の場合、ESS は有効になり、外部周辺機器を使用してサインインすることはできません。 Teams などのアプリ内では外部周辺機器を引き続き使用できることに注意してください
• トグルが [オン] の場合、ESS は無効になり、Windows Hello 互換周辺機器を使用してサインインできます