【Windows】Windows Hello for Businessの端末準拠エラーが消えない時の登録状態チェック

会社のPCでWindows Hello for Businessを利用していると、サインイン時に「この端末は準拠していません」といったエラーメッセージが表示されることがあります。このエラーが一度表示されると、PINや顔認証が使えなくなり、パスワード入力しか選択肢がなくなります。特に「エラーが消えない」場合は、単なる一時的な不具合ではなく、端末の登録状態や証明書、Azure AD/Entra IDの設定に問題が潜んでいる可能性があります。本記事では、端末準拠エラーの原因を特定し、登録状態を体系的にチェックする手順を解説します。

端末準拠エラーとは:Windows Hello for Businessの登録状態と準拠性

Windows Hello for Business(WHfB)は、生体認証やPINを使ってAzure ADまたはオンプレミスのActive Directoryにサインインできる仕組みです。しかし、この機能を利用するには端末が特定の条件を満たしている必要があります。端末準拠エラーは、その条件が満たされていない場合に表示されます。

エラーの原因として、まず考えられるのは端末のAzure AD参加(Hybrid Azure AD JoinまたはAzure AD Join)の状態が不完全であることです。次に、WHfBの登録時に発行される証明書やPINの情報が破損しているケースがあります。さらに、管理者が設定した準拠ポリシー(Intuneのコンプライアンスポリシーやグループポリシー)に端末が適合していない可能性も無視できません。

特に「消えない」という症状は、登録情報の永続的な不整合を示唆します。例えば、証明書の有効期限切れや、端末のTPM(Trusted Platform Module)に保存されたキーが更新されていない場合です。また、最近のWindows Update後に発生することもあり、その場合はシステムファイルの整合性に問題があるかもしれません。

エラーが継続する3つの代表的なシナリオ

エラーが続くシナリオとして、次の3つが頻繁に報告されています。1つ目は、端末がAzure ADに参加しているものの、WHfBの登録が正しく完了していないケース。2つ目は、端末が何らかの理由で「非準拠」とマークされ、その状態がクリアされないケース。3つ目は、ユーザーアカウントそのものに問題があり、WHfBの資格情報が同期されていないケースです。これらのシナリオを区別するには、まず正確な登録状態を把握する必要があります。

登録状態を確認する手順

端末準拠エラーが消えない場合、最初に行うべきは端末の現在の登録状態を確認することです。以下の手順で、Azure AD参加状態とWindows Hello登録状態を詳しく調べることができます。

1. [スタート] メニューを右クリックし、[Windows PowerShell (管理者)] または [コマンド プロンプト (管理者)] を選択します。
2. 管理者権限でターミナルを開いたら、次のコマンドを入力して実行します。
   dsregcmd /status
3. 出力結果の AzureAdJoined の値が YES であることを確認します。NO の場合は端末がAzure ADに参加していません。
4. 次に DomainJoined の値も確認します。オンプレミスドメインに参加している場合は YES、クラウド専用の場合は NO となります。
5. その下の WindowsHelloForBusiness セクションを見つけます。IsReady が YES で、Enabled が YES になっていれば、WHfBは正常に構成されています。
6. さらに AzureAdPrt の値も確認します。YES の場合はプライマリリフレッシュトークンがあり、サインインに必要な資格情報が正しく取得できています。
7. 最後に Ngc セクションを確認します。ここにはPINや証明書の登録情報が表示されます。キー数が0だったり、証明書の有効期限が過ぎている場合は問題があります。

上記のコマンドで得られた情報をもとに、正常な状態と比較します。以下の表は、各項目の正常値と異常値をまとめたものです。

項目	正常値	異常値	意味
AzureAdJoined	YES	NO	端末がAzure ADに参加していない
WindowsHelloForBusiness IsReady	YES	NO	WHfBの準備ができていない
WindowsHelloForBusiness Enabled	YES	NO	WHfBがポリシーで無効にされている
AzureAdPrt	YES	NO	プライマリリフレッシュトークンがない
Ngc キー数	1以上	0	PIN/キーが登録されていない

コマンド出力例と読み解き方

実際の出力では、WindowsHelloForBusiness の下にさらに細かい情報が表示されます。DeviceState や UserState も確認しましょう。DeviceStateが 1(デバイス登録完了)、UserStateが 1(ユーザー認証鍵あり)であれば正常です。それ以外の値(例えば -1 や 0)はエラーを示します。

端末側の登録状態をリセットする方法

登録状態に問題があると判断した場合、以下の手順でリセットを試みます。これらの操作は管理者権限が必要です。会社のポリシーで禁止されている場合は、IT管理者に連絡してください。

1. まず、サインインオプションから既存のPINを削除します。[設定] → [アカウント] → [サインインオプション] で [Windows Hello PIN] の [削除] を選択します。確認画面が表示されたら再度削除を実行します。
2. 次に、証明書の管理ツール(certlm.msc)を開き、「個人」ストアにあるWHfB関連の証明書を削除します。削除する証明書は、発行先が「Azure AD Device Identity」または「Microsoft 資格情報」といった名称のものです。
3. 管理者PowerShellで次のコマンドを実行し、NGCフォルダ(PIN/キー保存場所)をクリアします。
   Remove-Item -Path "C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc" -Recurse -Force
4. そのままPowerShellで、端末のAzure AD参加を修復するコマンドを実行します。
   dsregcmd /leave
   実行後、再度参加させたい場合は dsregcmd /join を実行しますが、多くの企業環境では自動で再参加されるため、/leave のみで十分です。
5. システムを再起動します。再起動後、サインイン画面で「PINの設定」が促されるか確認します。促されない場合、サインイン後に手動でPINを再作成します。

上記のリセット手順は、あくまで端末側の登録情報を初期化するものです。この操作によって準拠エラーが解消されない場合、原因は端末側ではなく、管理者側の設定やポリシーにある可能性が高いです。

管理者側での確認・対応ポイント

端末側のリセットでもエラーが消えない場合、管理者がAzure AD/Entra ID側で確認すべき項目があります。ここでは管理者に伝えるべき情報を説明します。

Azure AD/Entra IDにおける端末の信頼性状態

管理者は、Azure AD管理センターで該当端末の「信頼性」状態を確認できます。端末が「信頼あり」になっているか確認し、もし「信頼なし」や「削除予定」になっている場合は、WHfBが機能しません。また、端末の「BitLocker回復キー」が取得できるかも確認してください。取得できない場合は、端末のAzure AD参加に問題が残っている可能性があります。

グループポリシーとIntune準拠ポリシーの確認

Windows Hello for Businessを有効にするには、グループポリシーまたはIntuneで適切な設定が必要です。管理者は次の項目を確認してください。

• グループポリシー「Windows Hello for Businessの有効化」が有効になっているか。
• Intuneの「Windows Hello for Business」プロファイルが割り当てられ、端末に適用されているか。
• コンプライアンスポリシーで、WHfBの登録が必須になっていないか。必須になっている場合、登録が不完全な端末は非準拠と判定されます。

特にHybrid Azure AD Join環境では、オンプレミスのドメインコントローラーとAzure ADの同期状態も影響します。同期が遅れていると、端末の登録情報が反映されず、準拠エラーが表示されることがあります。

よくある登録エラーと失敗パターン

実際の現場でよく見られるエラーパターンをいくつか紹介します。これらに該当する場合は、対策が比較的明確です。

パターン1:PINは設定できるが、サインイン後に準拠エラー
このパターンは、PINが作成されたものの、証明書の登録に失敗しているケースです。dsregcmd /statusのNgcセクションでキー数が1以上でも、証明書の有効期限が切れている場合があります。その場合は、手動でPINを削除し、証明書もクリアしてから再度PINを作成してください。

パターン2:PINの設定画面が表示されない
サインインオプションで「設定」ボタンがグレーアウトしている場合、グループポリシーでWHfBが無効にされている可能性があります。管理者にポリシー設定を確認してもらう必要があります。

パターン3:過去に別の端末で登録したPINがそのまま使えない
WHfBのPINは端末ごとに独立しています。別の端末で設定したPINは新しい端末では使えません。また、ユーザーアカウントに複数の端末が紐づいている場合、古い端末の証明書が残っていると競合することがあります。その場合は、Azure AD管理画面で不要な端末を削除してもらいましょう。

再発防止のための設定と運用のポイント

端末準拠エラーを再発させないためには、日頃の運用と定期的なメンテナンスが重要です。以下のポイントを押さえておくとよいでしょう。

• Windows Updateを最新に保つ:WHfB関連の修正は累積更新プログラムに含まれます。定期的に更新し、既知の不具合を回避します。
• 証明書の自動更新を確認:WHfBで使用する証明書の有効期間は通常1年程度です。Intuneのポリシーで自動更新が有効になっているか、管理者に確認してください。
• TPMの正常性をチェック:TPMに障害があると、新たなキーが生成できません。PowerShellで Get-Tpm コマンドを実行し、各プロパティが正常(True)であることを確認します。
• 管理者への定期的な問い合わせ:自身で解決できない問題が発生した場合、すぐに管理者に連絡しましょう。エラーメッセージのスクリーンショットやdsregcmdの出力を共有すると、迅速な原因特定に役立ちます。

よくある質問(FAQ)

Q1. 端末準拠エラーが消えたと思ったら、翌日また表示されます。なぜですか?
A. 原因として、証明書の有効期限が極めて短い設定になっているか、端末が定期的に準拠ポリシーを再評価して失敗している可能性があります。管理者にポリシーの再評価間隔を確認してください。

Q2. PINを削除したら、サインインオプションからPIN設定の項目が消えてしまいました。
A. グループポリシーでWHfBが無効になっているか、端末のAzure AD参加が解除されている可能性があります。dsregcmd /statusを実行し、AzureAdJoinedがYESか確認してください。NOの場合は、会社のネットワークに接続した状態で再度参加が必要です。

Q3. 顔認証や指紋認証を使いたいのですが、PINしか設定できません。
A. Windows Hello for Businessでは、生体認証を使用するには事前にPINの設定が必須です。PINが設定済みで、かつ生体認証用のデバイスドライバーが正しくインストールされていることを確認してください。それでも認識されない場合は、デバイスマネージャーで生体認証デバイスが有効か確認します。

まとめ

端末準拠エラーが消えない場合、まずはdsregcmd /statusで端末の登録状態を正確に把握することが第一歩です。正常な状態と比較し、異常があれば端末側のリセットや証明書のクリアを試みます。それでも解決しない場合は、管理者側のポリシーやAzure ADの信頼性状態に問題が潜んでいます。再発防止には、定期的な更新とTPMの健全性維持が欠かせません。この記事を参考に、原因の切り分けと適切な対応を行ってください。

💻

Windowsトラブル完全解決データベース 起動不能、更新の不具合、動作が重い、設定の消失など、Windows 10/11のあらゆるトラブル解決手順を網羅しています。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。