Edited at

ADドメイン参加のPCでWindows Helloを利用する(Windows Helloがグレーアウトして変更できない)

Active Directoryドメインに参加したPCで、Windows Helloを利用するための手順です。


対象


  • Windows Helloの設定が、グレーアウトしていて変更できない

  • 「これらの設定の一部は、組織によって非表示になっているか管理されています。」と表示されて、変更できない


前提


  • Active Directoryドメインに参加していること

  • AD側のGPOで、Windows Helloに関わる制御がされていないこと

  • 1803以後で確認(1709以前は、設定が違う場合もありえます)


設定手順


  1. gpedit.mscの起動


  2. コンピュータの構成 > 管理用テンプレート > システム > ログオン > 便利なPINを使用したサインインをオンにする


    未構成 → 有効

    image.png


  3. 管理者としてコマンドプロンプトを起動


  4. gpupdate /forceを実行


  5. スタートボタン右クリック > 設定 > アカウント > サインインオプションを開き


    Windows Helloの設定ボタンが有効になっていることを確認する。

    ※ すでに設定画面を開いている場合には、×ボタンで閉じて開き直す必要がある。



その他(参考)


  • 「便利なPIN...」を有効にしていても、

    コンピュータの構成 > 管理用テンプレート > Windowsコンポーネント > Windows Hello for Business
    Windows Hello for Businessを有効にすると、Windows Helloの設定ボタンはグレーアウトになっていた。

    ※ ここがハマったところ
    ※ ドメイン参加PCでWindows Helloが設定できない系のトラブルシュートのページでは、Windows Hello for Businessをはじめとする、他の設定指定があったりしたがそれらは不要だった。旧来のActive Directoryドメインに参加したPCで、ドメインユーザがパスワードの代わりに顔認証を使うのであれば、それは単なるWindows Helloであって、Windows Hello for Businessとは別ものということなんだろうか。(深掘りはせずにそのままにしています。)