本記事はマイクロソフト社員によって公開されております。
こんにちは。Windows Commercial Support Directory Services チームです。
今回は、Windows Update をインストールした後の OS 再起動後に Windows Hello が利用できなくなったり、
保存された資格情報が利用できない (一覧から消えている) という事象について紹介します。
発生する事象について
Windows Update をインストール後、OS を再起動した後から、以下のような状態が発生する場合があることが報告されています。
- 「問題が発生したため、PIN を使用できません。クリックして暗証番号 (PIN) をもう一度設定してください。」と表示され、Windows Hello (PIN や 生体認証) によるサインインができなくなる。
- 資格情報マネージャーに保存した資格情報が利用できない。また資格情報マネージャー上からも削除されている。
発生原因
今回の問題は、Windows Update 時に、Secure Boot DBX のアップデートと BIOS/UEFI Firmware のアップデートが同時に行われた場合に発生する可能性があります。
Secure Boot DBX とは、Secure Boot の信頼を取り消された署名や証明書のリスト (Disallowed Signature Database) です。
一方で、Windows 11 の Copilot+ PC などでは、ESS (Enhanced Sign-in Security) と呼ばれる機能がが有効化されていますが、この ESS が有効となっている環境では、Windows Hello に関する情報は、VSM (Virtual Secure Mode) で保護されています。また、Credential Guard が有効な環境では、資格情報マネージャーにて管理されている保存された資格情報も VSM で保護されています。この VSM で保護されている情報を取得する際、TPM 内に存在する特別なレジスター情報 (PCR) を用いて、整合性のチェックを行います。
Secure Boot DBX のアップデートと BIOS/UEFI Firmware のアップデートが同時に行われた場合、複数の PCR 値が同時に更新されてしまうことがあります。その結果、TPM 上に保存された情報の取り出し時の整合性チェックに失敗し、それに伴い情報の取り出しもできなくなり、本事象が発生します。
回避策
残念ながら、現状 Windows OS としては Secure Boot DBX と BIOS/UEFI Firmware の更新が確実に同時に行われないようにする実装はありません。マイクロソフトではこのようなシナリオにも対応できるよう、サポート チームから開発部門へのフィードバックは実施しているため、今後改善される可能性はあります。
また、既に事象が発生し、Windows Hello や保存された資格情報が利用できなくなった場合は、再設定が必要となります。
なお、事象が発生することを未然に防ぐための回避策とはなりますが、Secure Boot DBX が更新されたことは、SYSTEM イベント ログの以下のイベント ログで確認できます。本イベント ログが記録された後の OS 再起動時に、Secure Boot が利用する PCR 値が更新されます。そのため、下記のイベント ログが記録された後に、BIOS/UEFI Firmware のアップデートを避けることによって、本事象の発生を未然に防ぐことができます。
ログの名前: System
ソース: Microsoft-Windows-TPM-WMI
日付: yyyy/MM/dd HH:mm:ss
イベント ID: 1034
レベル: 情報説明:
セキュア ブート Dbx 更新プログラムが正常に適用されました
事例紹介
以下に、本事象によって発生しうる、特に影響の大きいシナリオについて紹介します。
シナリオ 1. Windows Hello でのみサインイン可能としており、どのユーザーでもサインインできなくなった
Windows 11 Home, Pro Edition では、Microsoft アカウントを用いて初期セットアップを行うと、初期セットアップ中に Windows Hello の登録を求められます。また、Windows Hello を登録した場合、既定で [設定] アプリ - [アカウント] - [サインイン オプション] 内にある [セキュリティ向上のため、このデバイスでは Microsoft アカウント用に Windows Hello サインインのみを許可する (推奨)] が有効化されます。この設定が有効化されている場合、Windows Hello を用いてのみ対象端末にサインイン可能となり、パスワードでのサインインは使用できなくなります。
この状態で本事象が発生すると、対象の Microsoft アカウントでのサインインができなくなります。
この状況から回復するためには、Windows RE (Windows 回復環境) や OS インストール メディアを用いて起動を行い、**[セキュリティ向上のため、このデバイスでは Microsoft アカウント用に Windows Hello サインインのみを許可する (推奨)]** を以下のレジストリから無効化する必要があります。
(対象 Microsoft アカウント以外にサインインできる管理者ユーザーがいる場合は、管理者ユーザーでサインインして [レジストリ エディター] より以下のレジストリを書き換えてください。)
キー: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess\Device
値の名前: DevicepasswordLessBuildVersion
値の種類: REG_DWORD
値のデータ: 0 ([セキュリティ向上のため、このデバイスでは Microsoft アカウント用に Windows Hello サインインのみを許可する (推奨)] を無効化します)
※ 有効時は 2 になります。
なお、Windows 11 では、特定のハードウェア要件を満たす場合、自動的に OS 起動ドライブに対して BitLocker 暗号化が有効化されます。BitLocker が有効化されている場合、先述の Windows RE や OS インストール メディアなどを用いてのレジストリ編集時に、BitLocker 回復パスワードの入力が求められます。この時に BitLocker 回復パスワードが確認できない場合、復旧が困難となることが想定されるため、万が一に備えて通常時から BitLocker 回復パスワードが参照できる状況を確保しておいてください。
BitLocker 回復パスワードは、Microsoft account | BitLocker 回復キー に対象の Microsoft アカウントを用いてサインインすることで確認できます。また、OS が起動している状態であれば、以下のコマンドを用いて、新たに BitLocker 回復パスワードを追加することもできます。(追加した/表示された回復パスワード (数字パスワード) 情報は、安全な場所に保管してください。)
1 | // BitLocker が有効化どうかを確認するコマンド ("保護の状態" が "保護はオンです" となっているか確認します。) |
※ 管理者権限が必要です
参考情報
OEM 向け Windows 11 での BitLocker ドライブ暗号化
BitLocker 回復の概要
BitLocker 回復プロセス
シナリオ 2. タスク スケジューラ タスクが実行されなくなった
本事象の影響を受けることによって、タスク スケジューラ タスクにて、[ユーザーがログオンしているかどうかにかかわらず実行する] にチェックを入れているタスクが、BIOS/UEFI Firmware のアップデート後に実行できなくなります。この時、Microsoft-Windows-TaskScheduler/Operatinoal イベント ログを確認すると、以下のログオン失敗のイベント ログが記録されていることが確認できます。
ログの名前: Microsoft-Windows-TaskScheduler/Operational
ソース: Microsoft-Windows-TaskScheduler
日付: yyyy/MM/dd HH:mm:ss
イベント ID: 104
タスクのカテゴリ: ログオン失敗
レベル: エラー説明:
タスク スケジューラは、”<YOUR_TASK_NAME>” にログオンできませんでした。”LogonUserExEx” でエラーが発生しました。
ユーザー操作: タスクの資格情報が正確に指定されていることを確認します。
追加データ: エラー値: 2147943726。
タスク スケジューラ タスクの実行アカウントの資格情報については、SYSTEM アカウントの資格情報マネージャー内に保存されます。Credential Guard が有効な環境で、本事象が発生すると、この保存された実行アカウントの資格情報を正しく復号できなくなります。これに伴ってタスク実行のためのユーザー ログオンに失敗し、その結果タスクの実行に失敗します。
この事象が発生した場合は、改めて対象タスクを保存し直し、実行アカウントの資格情報を再入力する必要があります。
更新履歴
2025/10/07 : 本ブログの公開
2025/10/10 : 一部文言の修正およびシナリオを追加