仕事のWindowsパソコンで定期的にパスワードを変更している方は多いと思います。私も定期的に変更するのですが、変更した際に、指紋認証とかWindows Hello対応のカメラを使用した認証で失敗する事ってありませんか?「資格情報を確認できませんでした」みたいなエラーでOKしか押せない状態になり、結局IDとパスワードでしかログインできない事象です。何かのタイミングでこれまでも直っていたのですが、一体どうやって直すのか、仕組みから理解したくなって調べてみました。よって今回は個人用ではなく企業向けのITシステムが題材です。
この記事では、「ハイブリッド Azure AD 参加のデバイス」という言葉が出てきます。これは、企業のネットワークに接続され、Azure Active Directory(Azure AD)とオンプレミスのActive Directoryの両方に登録されているデバイスを指します。これにより、企業はクラウドとオンプレミスの両方のリソースに対するアクセスを管理することができます。この概念が初めての方も多いと思いますので、詳しくはこちらの記事をご覧ください。
事象
まず事象はハイブリッド Azure AD 参加のデバイス(Azure ADとオンプレADの両方に登録されているデバイスのこと)で、ユーザーがパスワードを変更した後、Windows Hello for Business (以下、WHfB) の生体認証や PIN でキャッシュ ログオンできなくなるというもの。これは具体的には、以下のようなシナリオでこの問題が起こります。
- ハイブリッド Azure AD 参加のデバイスにログオンします。
- ログオンしたユーザーのパスワードを変更します。
- 何らかの要因でハイブリッド Azure AD 参加のデバイスが、オンプレミス Active Directory と通信できない状態となります。
- オンプレミス Active Directory と通信できない状態で WHfB によるキャッシュ ログオンを行うと、「資格情報を確認できませんでした。」というエラーが表示され、ログオンに失敗します。
何らかの要因でというところが気になるのですが、例えばパソコン起動直後で、会社との間で使っているVPN接続がうまくいっていなかった、とかはあり得ると思います。でもネットワーク側は問題なくても毎度発生してる気もしますが、次の対策をするとことで直ります。
対策
この問題を回避するためには、パスワード変更後に、オンプレミス Active Directory と認証できる状態で WHfB でログオンすることが必要です。WHfBとはWindows Hello for Businessのことで、企業向けのマイクロソフトの生体認証の事、くらいに考えておいてください。
具体的な手順は以下の通りです。
- パスワードの変更を行います。
- Ctrl + Alt + Delete キーを押下し、デバイスをロックします。
- オンプレミス Active Directory と認証できる状態で WHfB でログオンします。
これにより、新しい「WHfB 用」のキャッシュが生成され、以降は WHfB によるキャッシュ ログオンが行えるようになります。
解説
この問題の原因は、ユーザーがパスワードを変更する際に行われるログオン キャッシュの無効化処理です。Windowsでは、ユーザーがパスワードを変更すると、そのユーザーの「パスワード変更日時より古いログオン キャッシュ」をすべて無効化する処理が行われます。この処理により、「パスワード用」 と 「WHfB 用」 の両方のログオン キャッシュがパスワード変更時に無効化されます。その結果、パスワード変更後に WHfB によるキャッシュ ログオンをしようとすると、ログオンに失敗する事象が発生します。てっきり古いキャッシュの情報を参照してエラーになっていたのだと思ってましたが、無効化したことによるエラーだと初めて知りました。
しかし、「パスワード用」のログオン キャッシュは、パスワード変更時に新しいものが生成されるため、パスワードのキャッシュ ログオンは問題なく行えます。そのため、上記の対策を行うことで、WHfB によるキャッシュ ログオンも問題なく行えるようになります。
以上が、パスワード変更後にWindows Helloで認証されず「資格情報を確認できませんでした。」と出る場合の対策方法についての解説です。
Microsoftへ要望を上げるとしたら、全てのログオンキャッシュを無効化しているんだから、パスワード変更時にWindows Helloのキャッシュも更新し、ちゃんと有効化して機能する状態に戻す仕組みを組み込んでもらうくらいにユーザー体験に配慮してくれると今より親切な設計になると思いました。
補足
さらに深く理解するために、ハイブリッド Azure AD 参加についての詳細な解説記事を以下にリンクしています。この記事では、ハイブリッド Azure AD 参加のデバイスがどのように機能するのか、そしてそれがなぜ重要なのかについて詳しく説明しています。特に、Windows Helloの認証エラーとその対策について理解を深めるために、この記事を参照することをお勧めします。ハイブリッド Azure AD 参加の詳細解説
https://learn.microsoft.com/ja-jp/azure/active-directory/devices/howto-hybrid-azure-ad-join
まとめ
今回は仕事でWindowsパソコンを使ってる人向けに、地味に気になる認証部分を題材に書いてみました。お役に立つようでしたら、フォローやシェアをいただけると嬉しいです。
コメント