会社のPCで指紋認証や顔認証を使おうとしたところ、「管理者により制限されています」というメッセージが表示されて設定できないことがあります。このエラーはWindows Hello for Business(WHfB)に関連するもので、多くの場合、勤務先のIT部門がポリシーで制御していることが原因です。個人の設定変更だけでは解決できず、管理者の対応が必要なケースが大半です。本記事では、エラーの原因を特定するための確認手順と、管理者に何を伝えればスムーズに対応してもらえるかを具体的に解説します。
【要点】この記事で確認すること
- 最初に見る場所: 設定アプリの「サインインオプション」でWindows Helloが利用可能かどうか、エラーメッセージの詳細を確認します。
- 切り分けの軸: 端末側のTPMやカメラの状態、Active DirectoryやEntra ID(旧Azure AD)のポリシー設定、ユーザーアカウントの権限の3つに分けて原因を特定します。
- 注意点: 会社PCではレジストリやローカルグループポリシーの変更は管理者の許可なく行わないでください。無理に変更するとセキュリティポリシー違反や端末の利用停止になる恐れがあります。
ADVERTISEMENT
目次
1. エラーメッセージの内容を正確に把握する
最初に行うのは、表示されているメッセージをそのまま記録することです。「管理者により制限されています」という一般的な文言だけでなく、詳細なエラーコードや補足文が表示される場合があります。Windows Hello for Businessの設定画面で表示されるエラーメッセージは、原因によって微妙に異なります。以下の表に代表的なパターンをまとめました。
| 表示されるメッセージ | 主な原因 |
|---|---|
| 管理者により制限されています | グループポリシーまたはIntuneポリシーでWHfBが無効 |
| このデバイスでは利用できません | TPMが無効、または互換性がない |
| サインインオプションに表示されない | ポリシーで機能が完全に隠蔽されている |
| Windows Hello セットアップを完了できませんでした | カメラや指紋リーダーのドライバー問題、または証明書発行失敗 |
自分が遭遇したメッセージを確認したら、次に進みます。エラーコード(例: 0x80070520)が表示されている場合は、それを控えておくと管理者への報告がスムーズです。
2. 端末側のハードウェアと設定を確認する
エラーの原因がポリシーだけとは限りません。端末のTPM(Trusted Platform Module)が無効だったり、指紋リーダーやカメラのドライバーが正しくインストールされていない場合も、同様のメッセージが表示されます。まずは社内のIT部門から特に禁止されていない範囲で、以下の手順を試してください。
- Windowsキーを押して「tpm.msc」と入力し、TPM管理コンソールを開きます。
- 画面下部に「TPMの準備ができました」と表示されているか確認します。準備ができていない場合は、UEFI/BIOS設定でTPMが有効になっているか確認する必要があります(多くの場合、管理者のみ変更可)。
- 「設定」→「アカウント」→「サインインオプション」を開き、「Windows Hello」の項目がグレーアウトしているか、エラーメッセージが表示されているか確認します。
- デバイスマネージャを開き、「生体認証デバイス」や「カメラ」に警告マーク(黄色い三角)が付いていないか確認します。警告がある場合はドライバーの再インストールを試みます。
- Windows Updateを実行して、最新の累積更新プログラムとドライバー更新を適用します。
これらの手順で改善しない場合は、端末側ではなく組織のポリシーが原因である可能性が高いです。
3. ポリシー設定の確認と管理者への報告内容
会社のPCでは、グループポリシーまたはMicrosoft Intune(Endpoint Manager)のポリシーによってWindows Hello for Businessが無効化または制限されていることが大半です。ただし、一般ユーザーはポリシー設定を直接確認できないため、以下の情報を収集して管理者に伝えることが重要です。
3.1 自分で確認できるポリシー関連の情報
管理者権限がなくても、以下のコマンドで一部のポリシー状態を確認できます。
- 結果のセットのレポート: コマンドプロンプトを管理者として実行し「gpresult /H C:\gpreport.html」と入力すると、適用されているグループポリシーの一覧がHTMLファイルで保存されます。その中から「Windows Hello for Business」に関連する設定を探します。
- レジストリ確認: レジストリエディタを開き、「HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork」キーの値を参照します。ただし、ここは読み取り専用で変更してはいけません。値が「0」の場合は無効、「1」の場合は有効の目安になります。
3.2 管理者に伝えるべき情報
管理者へ問い合わせる際は、以下の情報をまとめて送ると解決が早まります。
- 表示されているエラーメッセージの全文(スクリーンショットも推奨)
- PCの機種名とOSバージョン(Windows 11 Pro 22H2など)
- 所属部署とユーザーID
- 上記のgpresultやレジストリで確認した値(あれば)
- 既に試したトラブルシューティング手順
管理者はこれらの情報をもとに、Active Directoryの「Passport for Work」ポリシー、Entra IDの「セキュリティ情報」ポリシー、またはIntuneの「エンドポイント保護」ポリシーを確認します。
ADVERTISEMENT
4. よくある失敗パターン
実際の現場でよく見られる失敗パターンをいくつか紹介します。これらに該当しないか確認してください。
- ローカルグループポリシーエディタを勝手に変更した: 会社PCでgpedit.mscを開き、「コンピューターの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「Windows Hello for Business」のポリシーを変更すると、セキュリティポリシー違反で端末が利用停止になることがあります。
- 個人のMicrosoftアカウントでサインインしようとした: Windows Hello for Businessは組織アカウント(Entra IDアカウント)でのみ利用可能です。個人のMicrosoftアカウントでは設定できず、エラーになります。
- 多要素認証(MFA)が未登録: Windows Hello for Businessを有効にするには、事前に多要素認証が組織で構成されている必要があります。管理者がMFAを必須にしている場合、ユーザー側でMFAの登録が完了していないとエラーになります。
- 証明書ベースの認証が未構成: 一部の組織ではPKI証明書を用いた認証が必要です。証明書が発行されていない端末ではエラーになります。
5. 管理者に確認が必要な設定項目
管理者が確認すべき主なポリシー設定を以下に挙げます。ユーザー自身が直接変更できないため、管理者に依頼する際の参考にしてください。
| ポリシー名 | 一般的な設定場所 | 推奨値 |
|---|---|---|
| Windows Hello for Businessを有効にする | グループポリシー / Intune | 有効 |
| PINの最小文字数 | グループポリシー / Intune | 4以上(組織のセキュリティ要件による) |
| 生体認証を許可する | グループポリシー / Intune | 有効 |
| TPMの要件 | グループポリシー | 信頼済みTPMのみを許可 |
管理者はこれらのポリシーが意図した通りに適用されているか、またユーザーが適切なセキュリティグループに所属しているかを確認します。
6. よくある質問(FAQ)
Q1. 管理者に連絡しても「制限はかけていない」と言われたのですが、どうすればいいですか?
その場合、ポリシーの優先順位や継承が原因で別のポリシーが上書きしている可能性があります。また、Intuneのポリシーがグループポリシーより優先されるケースもあります。管理者に「gpresultのレポートを確認してほしい」と依頼するとよいでしょう。
Q2. 自宅の個人PCではWindows Helloが使えます。会社PCだけ使えないのはなぜですか?
個人PCはMicrosoftアカウントを使用し、Windows Hello for Businessではなく通常のWindows Hello(コンシューマー版)を利用しています。会社PCは組織のポリシーが適用されるため、別の制限がかかることがあります。
Q3. 以前は使えていたのに、突然使えなくなりました。何が原因ですか?
ポリシーの更新やWindows Updateによる変更、または証明書の期限切れが考えられます。まずはWindows Updateを実行し、再起動してみてください。改善しない場合は管理者に報告してください。
Q4. レジストリを変更しても安全ですか?
会社PCでは絶対に変更しないでください。グループポリシーやIntuneポリシーが定期的に適用され、変更内容が上書きされるだけでなく、セキュリティポリシー違反として報告されるリスクがあります。
7. まとめ
Windows Hello for Businessで「管理者により制限されています」と表示された場合、まずはエラーメッセージの詳細を記録し、端末のTPMやドライバー状態を確認してください。それでも解決しない場合は、組織のポリシーが原因である可能性が高いため、管理者に正確な情報を伝えて対応を依頼しましょう。自分でレジストリやグループポリシーを変更する行為は絶対に避け、会社のセキュリティポリシーに従うことが重要です。適切な手順で管理者と連携すれば、スムーズに問題を解決できるはずです。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Windows・PCの人気記事ランキング
- 【Windows】「ゲーミングサービス」がインストールできない!Xboxアプリとの無限ループを脱出する修復コマンド
- 【Edge】起動時や新しいタブを「Google」にする設定!ニュースを消してシンプルにする方法
- 【直し方】F7でカタカナにならない!ファンクションキーが効かず音量などが変わる時のFnロック解除法
- 【Windows】標準アプリのショートカットアイコンが白い紙になった時の情報の更新
- 【Windows】デスクトップのアイコンが「白い紙」になった!アイコンキャッシュを削除して元に戻すコマンド
- 【Windows】パスワードなしで起動!PIN入力を省略して自動ログイン(サインイン)させる設定手順
- 【Windows】音が出ない!スピーカーに×が付く・ミュート解除しても無音になる時の直し方5選
- 【Windows】サブモニターが映らない!HDMIを挿しても「信号なし」になる時の認識・設定手順
- 【PC周辺】2台のモニターで壁紙を「別々」にする方法!Windows11での配置と調整
- 【Edge】検索バーを「Bing」から「Google」に!勝手にBingに戻る時の設定固定術