Windows Hello for Business(WHfB)は指紋や顔認証、PINを使ってパスワードなしでサインインできる便利な機能です。しかし、会社のセキュリティポリシーによって意図せずブロックされ、設定画面がグレーアウトしたり、エラーメッセージが表示されたりすることがあります。この記事では、WHfBが会社ポリシーでブロックされる原因を特定し、利用可能にするための確認ポイントを解説します。特に、自分で設定を変更してよい範囲と、IT管理者に連絡すべきケースを明確にします。
【要点】この記事で確認すること
- 最初に見る場所: 設定アプリの「サインインオプション」とグループポリシーの結果(rsop.msc)
- 切り分けの軸: 端末側のローカルポリシー、アカウントの権限、Azure AD/オンプレADの構成、デバイスのハードウェア要件
- 注意点: 会社PCのグループポリシーを直接編集しない。管理者が設定したポリシーが優先されるため、変更が必要な場合は必ずIT管理者に相談してください。
ADVERTISEMENT
目次
1. Windows Hello for Businessがブロックされる主な原因
WHfBがポリシーでブロックされる場合、原因は大きく分けて次の4つに分類されます。まずはどの原因に該当するか、全体像を把握しましょう。
| 原因カテゴリ | 具体例 | 確認方法 |
|---|---|---|
| ローカルグループポリシー | 管理者が「Windows Hello for Businessを有効にする」ポリシーを無効にしている | gpedit.msc(Pro/Enterprise)またはレジストリ |
| ドメインポリシー(GPO) | Active DirectoryのグループポリシーでWHfBが無効化されている | rsop.mscで適用ポリシーを確認 |
| Azure ADポリシー | Azure ADのデバイス登録設定やWHfB構成が無効 | Azure ADポータルのデバイス設定 |
| ハードウェア/TPM要件 | TPMがない、またはファームウェアで無効化されている | tpm.msc、デバイスマネージャー |
特にグループポリシー(GPO)は会社全体で統一されるため、個人で変更できないケースがほとんどです。まずは以下の手順で状況を確認しましょう。
2. 設定画面でブロックを確認する初歩的な手順
WHfBがブロックされているかどうかは、Windowsの設定アプリから簡単に確認できます。以下の手順を実行してください。
- タスクバーのスタートボタンをクリックし、「設定」(歯車アイコン)を開きます。
- 「アカウント」をクリックし、「サインインオプション」を選択します。
- 「Windows Hello」のセクションを探します。ここに顔認証、指紋認証、PINの各項目が表示されます。
- 各項目の下に「このデバイスでは、セットアップを利用できません」や「この設定は組織によって管理されています」といったメッセージがないか確認します。
- 「PINの追加」などのボタンがグレーアウトしている場合も、ポリシーでブロックされているサインです。
上記のメッセージが表示される場合、ポリシーによる制限が疑われます。次の章で詳細な確認方法を説明します。
3. グループポリシーの状態を確認する方法
会社のPCでは、ローカルグループポリシーとドメイングループポリシーの両方が適用されることがあります。これらの設定を参照してWHfBのポリシー状態を確認しましょう。ただし、設定を変更する前に、必ず現在の状態を記録しておいてください。
3-1. ローカルグループポリシーエディター(gpedit.msc)で確認
Windows 10 Pro/Enterprise以上で利用可能です。以下の手順で確認します。
- キーボードのWindowsキーを押しながらRキーを押し、「ファイル名を指定して実行」ダイアログを開きます。
- 「gpedit.msc」と入力し、Enterキーを押します。
- 左側のツリーから「コンピューターの構成」→「管理用テンプレート」→「Windows コンポーネント」→「Windows Hello for Business」を開きます。
- 右側のポリシー一覧で「Windows Hello for Businessを有効にする」をダブルクリックします。
- 状態が「有効」「無効」「未構成」のいずれかを確認します。「無効」と表示されている場合は、ローカルポリシーによってブロックされています。
ただし、ローカルポリシーが「未構成」でも、上位のドメインポリシーで無効にされている可能性があります。その場合はrsop.mscで確認する必要があります。
3-2. ポリシーの結果セット(rsop.msc)で確認
実際に適用されているすべてのポリシーを統合して表示するのがrsop.mscです。以下の手順でWHfB関連の設定を確認します。
- Windowsキー+Rで「ファイル名を指定して実行」を開き、「rsop.msc」と入力してEnterキーを押します。
- 「グループポリシーの結果セット」というウィンドウが開きます。しばらく待つと、ポリシーのスキャンが実行されます。
- 左側のツリーを「コンピューターの構成」→「管理用テンプレート」→「Windows コンポーネント」→「Windows Hello for Business」と展開します。
- 右側の「設定」列に「有効」「無効」「未構成」が表示されます。「優先順位」列でどのGPOが適用されているかも確認できます。
もし「Windows Hello for Businessを有効にする」が「無効」になっている場合、そのGPOの出元(ローカルかドメインか)を確認し、IT管理者に伝えてください。
ADVERTISEMENT
4. レジストリから直接確認する上級者向け手順
レジストリエディターを使うと、ポリシーの設定値が直接確認できます。ただし、誤った編集はシステムに深刻な影響を与える可能性があるため、確認のみに留め、変更はしないでください。
- Windowsキー+Rで「regedit」と入力し、レジストリエディターを開きます。
- 以下のキーに移動します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork - 右ペインに「Enabled」というDWORD値がある場合、その数値を確認します。
1=有効、0=無効、存在しない=未構成(ポリシー未設定)です。 - また、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWorkにも同様のキーがある場合があります。こちらも確認ください。
レジストリ上の「Enabled」が0であれば、ポリシーでブロックされています。なお、レジストリの場所はWindowsのバージョンや構成によって異なる場合があるため、正確なパスはIT管理者に確認することをおすすめします。
5. ブロックを解除するためのアクション
ポリシーでブロックされている場合、以下のような対応が考えられます。ただし、自分で変更してよい範囲と、管理者に依頼すべき範囲を明確に区別してください。
5-1. ローカルポリシーの場合
ローカルグループポリシーで「無効」になっている場合は、gpedit.mscから「未構成」または「有効」に変更できる可能性があります。しかし、会社PCではローカルポリシーもIT部門が意図的に設定している場合があるため、変更前に必ず管理者に確認しましょう。許可を得た上で以下の手順を実行します。
- gpedit.mscを開き、前述のパスにある「Windows Hello for Businessを有効にする」をダブルクリックします。
- 「有効」または「未構成」を選択し、「OK」をクリックします。
- 管理者としてコマンドプロンプトを開き、「gpupdate /force」と入力してポリシーを強制適用します。
- 再度サインインオプションを確認し、WHfBの設定が利用可能になったか確認します。
5-2. ドメインポリシーの場合
ドメインポリシーでブロックされている場合、個人で変更することはできません。IT管理者に以下の情報を伝えて対応を依頼してください。
- rsop.mscで確認した「Windows Hello for Businessを有効にする」の状態(無効)と、そのポリシーを適用しているGPOの名前
- WHfBを利用したい理由(例:パスワードレス認証による業務効率化、セキュリティ強化)
- デバイスのTPMバージョン(2.0推奨)やWindowsのエディション(Pro/Enterprise以上推奨)
管理者はGPOエディターで「Windows Hello for Businessを有効にする」を「有効」に変更するか、該当するセキュリティグループにあなたのアカウントを追加することで対応できる場合があります。
6. よくある質問(FAQ)
WHfBのブロックに関して、現場でよく寄せられる質問とその回答をまとめました。
Q1. PINの設定だけは使えるのに、顔認証や指紋認証が使えないのはなぜ?
A. ポリシーで個別の生体認証を無効にしている可能性があります。gpedit.mscの「Windows Hello for Business」配下に「生体認証の使用」というポリシーがあります。これが無効だと顔や指紋がブロックされます。また、デバイスに指紋リーダーやカメラがない、またはドライバーが未インストールの場合も同様の現象が起きます。
Q2. 「Windows Hello for Businessを有効にする」が「未構成」なのに、サインインオプションに何も表示されない。
A. 未構成の場合でも、Azure ADまたはオンプレADのテナント全体でWHfBが無効になっていると、クライアント側で利用できません。Azure ADポータルの「デバイス」→「デバイス設定」で「Windows Hello for Business」が有効になっているか確認する必要があります。管理者権限が必要なため、IT部門に問い合わせてください。
Q3. TPMがないとWHfBは使えないのですか?
A. 厳密にはTPMなしでもPIN認証は使えますが、セキュリティの観点から多くのポリシーではTPM2.0が必須とされています。会社のポリシーでTPM必須になっている場合、TPMがないPCではWHfB全体がブロックされます。tpm.mscでTPMの有無とバージョンを確認してください。
7. まとめ
Windows Hello for Businessが会社ポリシーでブロックされている場合、まずは設定アプリのサインインオプションでエラーメッセージを確認し、次にローカルポリシー(gpedit.msc)と実際の適用ポリシー(rsop.msc)を調べて原因を特定します。ローカルポリシーが原因なら管理者の許可を得た上で変更できますが、ドメインポリシーの場合はIT部門への依頼が必要です。また、TPMやAzure ADの設定など、ポリシー以外の要因も併せてチェックすることで、不要な問い合わせを減らせます。
WHfBを有効にすることで、パスワード管理の負担が減り、セキュリティも向上します。ブロックが解除されたら、指紋や顔認証をスムーズに設定し、快適なサインイン環境を手に入れてください。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Windows・PCの人気記事ランキング
- 【Windows】「ゲーミングサービス」がインストールできない!Xboxアプリとの無限ループを脱出する修復コマンド
- 【Edge】起動時や新しいタブを「Google」にする設定!ニュースを消してシンプルにする方法
- 【直し方】F7でカタカナにならない!ファンクションキーが効かず音量などが変わる時のFnロック解除法
- 【Windows】標準アプリのショートカットアイコンが白い紙になった時の情報の更新
- 【Windows】デスクトップのアイコンが「白い紙」になった!アイコンキャッシュを削除して元に戻すコマンド
- 【Windows】パスワードなしで起動!PIN入力を省略して自動ログイン(サインイン)させる設定手順
- 【Windows】音が出ない!スピーカーに×が付く・ミュート解除しても無音になる時の直し方5選
- 【Windows】サブモニターが映らない!HDMIを挿しても「信号なし」になる時の認識・設定手順
- 【PC周辺】2台のモニターで壁紙を「別々」にする方法!Windows11での配置と調整
- 【Edge】検索バーを「Bing」から「Google」に!勝手にBingに戻る時の設定固定術