Windows Hello for Business(以下WHfB)の検証時、正常に暗証番号(以下PIN)の回復が出来ないという事象が発生しました。
本記事では、この事象の解決方法と回避策を紹介します。
事象
WHfBでは、ユーザーがPINを忘れてしまった場合でも、Microsoft PINリセットサービスを使用して回復することができます。
しかし、サインイン画面から[PINを忘れた場合]をクリックしても反応せず、回復ができない事象が発生しました。(下図)
解決方法
本章では、PINを回復できない事象の解決方法を記載します。
Windowsのビルド番号の更新
ロック画面からPINの回復ができない件については、既知の問題であることが判明しています。
- 2024年11月12日-KB5046633(OSビルド 22621.4460および22631.4460)
上記のビルド番号以上の、最新の更新プログラムを適用することで事象は改善されます。
※ 本事象が発生している際はPINでサインインが出来ないため、パスワードを使用してサインインした上でアップデートを行ってください。
レジストリ値(Enable LUA)の値を有効化
上記のWindows アップデートを実行し、最新の更新プログラムを適用したにも関わらずPINの回復ができない場合は、「EnableLUA」のレジストリ値が無効になっている可能性がありますので、有効にする必要があります。
※レジストリ値(Enable LUA)を有効化する場合は、パスワードを使用してサインインした後にグループポリシーエディターから編集するか、GPOを使用して端末に配布してください。
Enable LUAはUser Account Control(以下UAC)を有効にするかどうかを制御し、アプリケーションが管理者権限を必要とする操作を行う際に、ユーザーに確認を求めるセキュリティ機能になります。PINの回復機能はUACの仕組みを前提に設計されており、Enable LUAが無効だと動作しないため、利用する際には有効にしてください。
- レジストリパス:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- 名前:
- Enable LUA
- 設定値:
- 1
回避策
運用上、Windows Updateでビルド番号を更新する場合やEnable LUAを更新するのが難しい場合は、下記の手順でWHfBのPINをリセットすることで回避する事も可能です。
- [サインインオプション]をクリックしします。
- 鍵マークをクリックし、パスワードでサインインします。
- スタートボタンをクリックし、サインインしているユーザーからサインアウトします。
- [他のユーザー]をクリックします。
- ユーザー名を入力し、[PINを忘れた場合]をクリックします。
- パスワードを入力し、[やり直す]をクリックします。
- ユーザー名とパスワードを入力し、サインインします。
- 「PINのリセット」画面が表示されたら、[PINのリセット]をクリックしてPINの回復を実施します。
最後に
今回はWHfBでPINの回復ができない事象について説明しました。
もし、同じような事象に直面した方がいましたら、本記事が参考になれば幸いです。
金山 翔太(日本ビジネスシステムズ株式会社)
Microsoft製品(主にMicrosoft 365やIntune)などの設計に携わったことがあります。趣味はゲームとキャンプです。業務上で学んだことを発信していきます。
担当記事一覧