本記事はマイクロソフト社員によって公開されております。
こんにちは。Windows Commercial Support Directory Services チームです。
ハイブリッド Azure AD 参加のデバイスにおいて、ユーザーがパスワードを変更した後に Windows Hello for Business (以下、WHfB) の生体認証や PIN でキャッシュ ログオンできなくなる事象についてご案内いたします。
発生する事象
ハイブリッド Azure AD 参加のデバイスにおいて、ユーザーがパスワードを変更した後に、オンプレミス Active Directory と認証できる状態で一度も WHfB でログオンせず、その後オンプレミス Active Directory と接続できない状態で WHfB によるキャッシュ ログオンを試行すると、以下のエラー画面が表示され、ログオンに失敗します。
つまり、以下のようなシナリオに合致した場合、本事象が発生します。
- ハイブリッド Azure AD 参加のデバイスにログオンする。
- ログオンしたユーザーのパスワードを変更する。
- 何らかの要因でハイブリッド Azure AD 参加のデバイスが、オンプレミス Active Directory と通信できない状態となる。
- オンプレミス Active Directory と通信できない状態で WHfB によるキャッシュ ログオンを行うと、以下のようなエラーが表示される。
PIN 認証 : 「資格情報を確認できませんでした。」 「問題が発生し、暗証番号(PIN)を使用できません (状態:0xc000005e、副状態:0x0)。クリックして暗証番号(PIN)をもう一度設定してください。」
顔認証 : 「資格情報を確認できませんでした。」
指紋認証 : 「サインインできませんでした。資格情報を確認できませんでした。」
なお、パスワードでのキャッシュ ログオンは成功します。
ログオン キャッシュとは
ログオン キャッシュとは、ログオンをおこなったコンピューター上に保持されるユーザーのログオン情報となり、Active Directory と認証できないネットワーク環境でも、コンピューターにログオンできるようにすることを目的とした機能になります。2020 年現在サポートされた Windows OS では既定で有効になっており、直近で対話的ログオンをした 10 ログオンまでのログオン キャッシュを保持します。キャッシュ ログオンは、「パスワード」だけでなく、WHfB によるログオンにも対応しております。
原因
ユーザーがパスワードを変更する時に行われるログオン キャッシュの無効化処理によって、本事象が発生します。Windows では、ユーザーがパスワード変更をする際に、そのユーザーの 「パスワード変更日時より古いログオン キャッシュ」 をすべて無効化する処理がおこなわれる実装となっております。ユーザーのログオン キャッシュは「パスワード用」のものと、「WHfB 用」のもので、それぞれ別々に保持する実装となっておりますが、上記のキャッシュ無効化処理によって、「パスワード用」 と 「WHfB 用」 の両方のログオン キャッシュがパスワード変更時に無効化されます。 これにより、パスワード変更後に WHfB によるキャッシュ ログオンをしようとすると、ログオンに失敗する事象が発生します。なお、「パスワード用」 のログオン キャッシュは、パスワード変更時に新しいものが生成されるため、パスワードのキャッシュ ログオンは問題なく行えます。
回避策
パスワード変更後に、オンプレミス Active Directory と認証できる状態で WHfB でログオンすることで、新しい 「WHfB 用」 のキャッシュが生成され、以降は WHfB によるキャッシュ ログオンが行えるようになります。
具体的には以下のような操作により、事象を回避することができます。
- パスワードの変更を行います。
- Ctrl + Alt + Delete キーを押下し、ロックします。
- オンプレミス Active Directory と認証できる状態で WHfB でログオンします。
参考資料
Windows Hello for Business
https://docs.microsoft.com/ja-jp/windows/security/identity-protection/hello-for-business/hello-overview
ハイブリッド Azure AD 参加済みデバイス
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/concept-azure-ad-join-hybrid
対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合)
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/interactive-logon-number-of-previous-logons-to-cache-in-case-domain-controller-is-not-available
更新履歴
2020/11/20 : 本ブログの公開