WindowsのOSサインイン時にPINを使うように設定できない場合、原因は次の3つが考えられます。①リモートデスクトップ接続をしている、②Hyper-V仮想マシンに「拡張セッション」で接続している、③必要なポリシーが設定されていない。以下、対処方法とともに詳しく解説していきます。
問題
Windows 11/10 Pro のOSサインイン時に、下のようにPINコードを使うようにしたいのですが、設定できません。
[設定] > [アカウント] > [サインインオプション] > [PIN (Windows Hello)] から設定できるはずですが、設定しようとすると下のように「問題が発生しました。後でやり直してください」と表示され設定できません。
あるいは、「サインインオプション」の設定画面に、PIN (Windows Hello) の設定自体がありません。
原因
この場合、原因として次の3つが考えられます。
原因① リモートデスクトップ接続をしている
対象のPCに、別のPCからリモートデスクトップで接続している場合、PINの設定はできないようになっています。PINを設定する際は、直接PCを操作する必要があります。
原因② Hyper-V仮想マシンに「拡張セッション」で接続している
対象のPCがHyper-V仮想マシンの場合で、下の画面のようにHyper-Vコンソールで「拡張セッション」がONになっていると、PINの設定ができません。
「拡張セッション」がONの場合、内部的にはリモートデスクトップ接続が行われるため、原因①に繋がるようです。
原因③ 必要なポリシーが設定されていない
Windowsのエディションや、ユーザーアカウントの種類などによっては、デフォルトでPIN (Windows Hello)が設定不可になっている場合があります。このような環境でPINを設定するには、後述のポリシー設定が必要になります。
どのような条件だとデフォルトPIN設定不可になるのかは、明確には分かりません。筆者が検証した限りでは「Windows 11/10のProエディションで、かつMicrosoftアカウントでサインインしていない(ローカルユーザー or Active Directory ドメインユーザー)」場合にそうなることを確認しています。
いずれにしても、前項の現象(PIN設定しようとしてもできない)が起きていて、原因①・②に当てはまらない場合、ポリシー設定が必要という認識で良いと思います。
解決方法
原因①〜③に対応する解決方法として、以下にそれぞれ紹介します。
原因①の対策:直接PCを操作する
リモートデスクトップ接続している場合はいったん接続を解除し、直接PCを操作してPINを設定します。
一度PINを設定した後は、リモートデスクトップ接続でも実機でも、PINでのサインインが可能です。あくまでPINを設定するときのみ、直接PCの操作が必要になります。
原因②の対策:「拡張セッション」をOFFにする
Hyper-Vコンソールで「拡張セッション」がONになっている場合、一時的にOFFにします。
下のように、コンソールのメニュー [表示] > [拡張セッション] のチェックをOFFにします。
拡張セッションを切り替えると、再度サインインが要求されます。サインインして、PINの設定ができるか確認します。設定出来たら、任意で「拡張セッション」をONに戻します。
拡張セッションをOFFにするのは、PINを設定するときだけでOKです。サインイン時のPINを入力する際はONでも問題ありません。
原因③の対策:必要なポリシーを設定する
ローカルグループポリシー(またはドメインポリシー)で、PINを使用するように設定します。ローカルグループポリシーでの設定手順は以下の通りです。
- step1ローカルグループポリシーエディターを起動
設定対象のPCでから、ローカルグループポリシーエディター(gpedit.msc)を起動します。詳しい起動手順はこちらのページを参照して下さい。
- step2PIN使用ポリシーを開く
左のツリーから[コンピューターの構成] > [管理用テンプレート] >[システム] > [ログオン] を開き、右ペインの「便利なPINを使用したサインインをオンにする」をダブルクリックします。
- step3「有効」に設定する
下の画面が開くので、「有効」を選択します。その後「OK」ボタンで閉じます。
- step4ローカルグループポリシーエディターを終了する
ローカルグループポリシーエディターの画面を「×」ボタンで閉じます。
- step5PINの設定を行う(必要に応じて再起動)
[設定] > [アカウント] > [サインインオプション] > [PIN (Windows Hello)] 画面を開きなおし、PINの設定を行います。
依然として設定できない場合は、一度PCを再起動してから再度試します。
組織でポリシーを設定している場合はそちらが優先になります。つまり、PCがActive Directoryドメインに参加していて、かつドメインポリシーで同じ項目(PIN使用のON/OFF)が設定されている場合は、そちらが優先になります。その場合、ローカルグループポリシーを設定しても効果がありません。
Active Directoryドメインに参加しているPCで、ローカルグループポリシーを変更する場合は、ドメインコントローラー(DC)に正常に接続できる必要があります。つまりローカルグループポリシーを設定しても、オフライン状態だと反映されません。
補足:PINの複雑さのルールを変更するには
前項までの手順でPIN設定可能になったけど「6桁未満のPINが設定できない」というケースがあります。ここからは、その対処方法について解説します。
デフォルトの最小文字数が「6桁」の場合もある
WindowsのOS環境によって、デフォルトのPIN最小文字数が異なります。確認した限りでは、Windows 10では4桁のPINが設定可能でしたが、Windows 11 Proを新規インストールした環境では6桁以上が要求されました。
デフォルト6桁以上の環境で、例えば4桁のPINを設定しようとすると、下のようなエラーになります。
このPINの最小文字数は、後述のポリシー設定で変更することができます。
暗証番号といえば4桁が定番ですが、近年では6桁以上を求められるケースもあり、Windowsもその一例です。デフォルトの要件が厳しくなった理由について、公式な資料は見つけられていませんが、おそらく6桁未満のPINコードは推測されやすいことなどから、安全性が低いと判断されたのではないかと思われます。
そのため安易に桁数を小さくすることは避けた方が良いと思います。まず6桁以上のPINで運用することを検討し、必要な場合(組織内でPIN桁数を統一するなど)のみ設定を変更するのが良いでしょう。
設定変更方法
以下の設定は、2022年12月時点において、Windows11 バージョン「22H2」で正常に機能しない現象を確認しています。不具合と思われ、いずれアップデート修正されると予想しています。詳細は以下の記事を参照下さい。
- step1ローカルグループポリシーエディターを起動
設定対象のPCでから、ローカルポリシーエディター(gpedit.msc)を起動します。詳しい起動手順はこちらのページを参照して下さい。
- step2PIN使用ポリシーを開く
左のツリーから[コンピューターの構成] > [管理用テンプレート] >[システム] > [PINの複雑さ] を開き、右ペインの「PINの最小文字数」をダブルクリックします。
- step3「有効」にし、最小文字数を設定する
下の画面が開くので、「有効」を選択します。そして画面下部の「PINの最小文字数」を4~127の範囲で設定します。その後「OK」ボタンで閉じます。
- step4ローカルグループポリシーエディターを終了する
ローカルグループポリシーエディターの画面を「×」ボタンで閉じます。
- step5PINの設定を行う(必要に応じて再起動)
[設定] > [アカウント] > [サインインオプション] > [PIN (Windows Hello)] 画面を開きなおし、PINの設定を行います。
設定が反映されていない場合は、一度PCを再起動してから再度試します。
おわりに
今回の記事は以上です。
当サイトでは、ITインフラ関連の知識やノウハウをメインに紹介しています。下の関連記事にも役立つ情報があるかもしれませんので、ぜひご覧下さい。
また、知識やノウハウを効率的に学ぶ方法として、Udemy の「ながらセミナー」
もおすすめです。三日坊主にならず、普段の生活の中でスキルアップする方法です。これについては下の記事で紹介していますので、良ければご覧下さい。
最後まで読んでいただき、ありがとうございました。
フィードバック
あなたが抱えている疑問や悩みは解決できたでしょうか?当ブログではそれを最重視しています。今後もあなたの役に立つ情報を提供するために、ぜひ教えて下さい。
コメント