こんにちわ、ハルです。
今日は「え、これ使えるの?」というちょっとしたWindowsの小ネタです。結論から言うと、オンプレミスのActive Directory(オンプレAD)環境でもWindows Helloは使えます。ただし、ある設定が必要です。
WindowsHelloが、設定していないのに「なぜか使えてしまった」という現象に出くわしたので、今回はその謎について触れてみます。
Windows HelloはオンプレADでも“本来は”使える
まず前提として、Windows Hello(顔認証やPINなどの生体認証)は、Azure AD環境だけの特権ではありません。
オンプレADでも、グループポリシー(GPO)などで明示的に有効化すれば、ちゃんと使える機能です。
ですが、デフォルトの状態では、「設定 > アカウント > サインイン オプション」の中にあるWindows Hello関連の設定はグレーアウトしていて、ユーザーが触れない状態になっていることが多いです。
なので、何の設定もしていない状況では、基本的には「使えない」ものと思っていたんです。
なのに、ポップアップ経由で設定できてしまう!?

ある日、Windowsのロック画面右下にこんな表示が出てきました。
💡「Windows Helloを使って、もっと便利にサインインしませんか?」
まあ、出るだけならよくある話です。ところが——
これをクリックしたら、なぜかWindows Helloの登録画面に進めてしまったんです。
しかも、PINの設定から顔認証の登録まで、全部スムーズに完了。グレーアウトしていた設定画面とは別の流れです。要するに、通常の設定画面からは無効になっているのに、ポップアップ経由だと通れてしまうんです。
結局これって、仕様?バグ?
あくまで推測ですが、Windowsのポップアップ通知が独自にHello登録フローをトリガーしており、GPOの制限チェックをバイパスしている可能性があります。
公式のドキュメントにはこのような動きに関する記述は特に見当たりませんでしたが、「なんでできちゃうの?」というのが正直な感想です。
まとめ:知らずに使えてしまうWindows Hello
というわけで今回は、
- オンプレADでもWindows Helloは“本来は”使える(ポリシー次第)
- でも、デフォルトでは設定画面で制限されている
- にもかかわらず、ロック画面のポップアップからは登録できてしまう(ことがある)
という、ちょっと不思議な現象を紹介しました。
実害があるわけではありませんが、運用設計上「使えない前提」にしている場合は注意が必要かもしれませんね。
ではまた、次回の“なぜか動く系”ネタでお会いしましょう!
コメント