どうも、株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます。山口です。
普段は中堅・中小企業様向けに Microsoft 365 活用のご支援をおこなっています。
さて、今回の投稿では、Windows のサインイン画面から、「パスワード」および「PIN」を非表示にして、「生体認証」、「FIDO2」でのサインインしかできない状況にする方法です。
#お願い
このやり方、Microsoft がサポートしていない非推奨のやり方です。
現在時点での Windows を制御するポリシーでは「パスワード」および「PIN」を非表示にすることはできません。
なので、お勧めはできません!やるなら、自己責任でお願いします!
#メリット
- 第三者にパスワード入力を盗み見られてのサインインが防げる
- ユーザーのサインインの選択肢を減らせるので運用をシンプルにできる
#デメリット
- 顔や指紋認証デバイスの破損、FIDO2 keyの紛失や破損をすると、「生体認証」、「FIDO2」でのサインインができなくなるので Windows にアクセスできなくなる
- Windows での問題発生時に、セーフモードで起動しての対応ができなくなる
つまり Windows OS のリセット → 再セットアップで対応するしかなくなる
#だったらなぜこんな方法教えるの?
シンプルに、特定のサインイン方法を制限したいという話があると思いますが、メリットもあれば、デメリットもあります。
特に、ポリシーで制御できない設定については、Microsoft のサポート外となりますので、その点までを考慮して、機能の実装判断が必要なんですよ!をお伝えしたい。
ちなみに私は、手元に複数台 Windows 端末を持っていますし Mac PCもあるので、デメリットな影響が出ても、わりと何とかなるはずで運用してみたのですが、生体認証が複数回失敗したり、何かの拍子で、PINを利用した認証操作が必ず必要なのでどうにもならず、結局 Surface を再セットアップするはめになりました(-_-;
Windows のサインイン画面から、「パスワード」および「PIN」のサインインを非表示にしてみる
#では手順
「Windows」キー+「R」キーで、「regedit.exe」を入力し、「OK」をクリックします。
以下のパスにアクセス
HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Authentication¥Credential Providers¥
以下の値を右クリックし、表示されるメニューより、「新規」→「DWORD(32ビット)値」をクリックします。
60b78e88-ead8-445c-9cfd-0b87f74ea6cd
"新しい値 #1"の名前を変更
「Disabled」に変更
「Disabled」を開き、値のデータを「1」に変更、「OK」をクリックします。
マシンを再起動して、「鍵のアイコン」が非表示になっていればOK
続けて、PINによるサインインを非表示にしていきます。
以下の値を右クリックし、表示されるメニューより、「新規」→「DWORD(32ビット)値」をクリックします。
D6886603-9D2F-4EB2-B667-1971041FA96B
"新しい値 #1"の名前を変更
「Disabled」に変更
「Disabled」を開き、値のデータを「1」に変更し、「OK」をクリックします。
マシンを再起動して、「PIN」のサインインアイコンが非表示になっていることを確認します。
※ 本投稿は、弊社で運営していますソフクリ365倶楽部のTeams投稿等で案内した内容を再編したものになります。ソフクリ365倶楽部のプレミアム会員様については、倶楽部への投稿や技術情報の投稿等を閲覧、アクションすることが可能です。