アカウントがドメイン アカウントである場合、指紋を使用してコンピューターにログインすると、問題なくログインできます。ただし、ローカル アカウントにログオンしようとすると、「Windows はサインインできませんでした。資格情報を確認できませんでした」というエラーが表示されます。その場合は、ローカル ドメイン (コンピューター名) を指定して、ユーザー名とパスワードを使用してログインする必要があります。
不思議なことに、マシンを工場出荷時の状態にリセットする前はそうではありませんでした。コンピューターは新品で、工場出荷時の状態にリセットする前は、やや逆の問題がありました。つまり、指紋を使用してドメインにログインできなかったのです (GP でオプションが無効になっています)。Windows Hello をさまざまな方法で操作して動作させ、おそらく偶然に完璧に動作するように設定したのでしょう。
適切に設定する方法はありますか? 現在の動作方法では、指紋を使用する目的が完全に無効になります。
職場では Microsoft アカウントを使用せず、ローカル アカウントとドメイン アカウントのみを使用します。
最初に再起動した後にローカル アカウントにログオンすると、それ以降は次回の再起動まで動作します。
ただし、最初にドメイン アカウントにログオンすると、次のメッセージが表示されます (その後ローカル アカウントにログインすると)。Your password was changed on another device. You must log on using your credential once and after that you can then use Windows Hello
これは再起動のたびに発生します。
GP logon/Assign a default domain for logon
ローカル ドメインに設定しました(.
との両方のオプションを試しました) [computername]
。それでも機能しません。これが原因ではないと思います。
答え1
この問題は、Microsoft ユーザーの通常の方法、つまり、問題を複雑にしすぎない方法で解決されました。
Windows 10 ではユーザーがログインしたままになるため、組織によって承認されていないソフトウェアを使用していたため、ローカル アカウントを削除する必要がありました。
構成が機能しているときと機能していないときの間に、組織が Windows Hello for Business を実装した (それ以前は私の PC は Windows Hello と互換性のある数少ない PC の 1 つだったので、GPO には含まれていませんでした) か、実際に誤って Windows Hello を適切に構成した可能性があります。
さらなる問題を引き起こしていたコンポーネントを削除することで問題は解決されたため、これは現在では議論の余地がありません。
答え2
私のマシン (Windows 10 バージョン 1709) では、Windows Hello 指紋認証がドメインとローカル アカウントの両方で同時に正常に動作します。右手の指をスキャンするとドメイン アカウントにログインし、左手でローカル アカウントにログインします。
ドメインのグループ ポリシーと Windows のバージョンによって異なる場合があります。(参照:https://docs.microsoft.com/windows/security/identity-protection/hello-for-business/hello-manage-in-organization)。
また、次のレジストリを設定し、コンピューターがネットワークに接続されていないときに再起動することで、Windows Hello をローカルで有効にできる可能性があります。
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System] "AllowDomainPINLogon"=dword:00000001
答え3
ドメイン アカウントとローカル アカウントはコンピューター上の異なるインスタンスであるため、Windows Hello の指紋は別々に保存されます。ローカル アカウントとドメイン アカウントの指紋を別々に登録する必要がある場合があります。