「デスクトップPCに指紋リーダーをつけたのに、なぜかWindowsHelloでログインできない……」そんな経験をしたことはありませんか? 実はその原因の多くは、Windows11に標準搭載されている拡張サインインセキュリティ(ESS)という機能にあります。2026年2月のWindows11大型アップデートで、ついにこの問題に大きな進展がありました。外部USB指紋リーダーでも、ノートPC内蔵センサーと同等の高セキュリティ認証が使えるようになったのです。
この記事では、WindowsHelloの拡張サインインセキュリティの仕組みから、外部指紋リーダーの選び方、最新アップデート後の設定手順、トラブル対処法まで、初心者にもわかりやすく丁寧に解説します。パスワード入力から卒業して、指一本でサッとログインできる快適な環境を手に入れましょう。
- 2026年2月のKB5077181アップデートで外部USB指紋リーダーがESS対応になりデスクトップPCでも最高レベルの生体認証が利用可能に
- MoC(Match-on-Chip)方式やESS対応製品の選び方と、パスキー連携による多要素認証の実現方法
- Windows11のバージョン別ESS設定手順とトラブルシューティングの完全ガイド
- そもそもWindowsHelloの拡張サインインセキュリティ(ESS)とは何か?
- 2026年2月のアップデートで何が変わったのか?
- MoC(Match-on-Chip)方式とは?なぜESS必須なのか?
- ESS対応の外部指紋リーダーの選び方とおすすめ基準
- Windows11のバージョン別ESS設定手順
- パスキーとの連携で実現するパスワードレスの世界
- 指紋リーダーがうまく動作しないときのトラブルシューティング
- デスクトップPCユーザーとノートPCユーザーそれぞれのメリット
- 情シス歴10年超の現場で培った指紋リーダートラブル対処の実践テクニック
- PowerShellとコマンドプロンプトで使えるESS診断・管理コマンド集
- グループポリシーでWindowsHelloが使えないときの確認と解除手順
- USBセレクティブサスペンドが引き起こす「朝だけ指紋が通らない」問題
- WindowsHelloのPINと指紋を一括リセットする最終手段スクリプト
- システムファイル破損が原因のWindowsHello障害を修復する手順
- certutil一発でWindowsHelloコンテナを削除するプロの時短テクニック
- dsregcmdでデバイスの認証状態を丸裸にする
- 動的ロック機能と指紋リーダーを組み合わせた離席時自動ロックの設定方法
- 指紋リーダーのドライバーがWindows Update後に勝手に置き換わる問題への対策
- ぶっちゃけこうした方がいい!
- WindowsHelloの外部指紋リーダーと強化セキュリティに関するよくある質問
- 今すぐパソコンやスマホの悩みを解決したい!どうしたらいい?
- まとめ
そもそもWindowsHelloの拡張サインインセキュリティ(ESS)とは何か?
Windowsのイメージ
WindowsHelloは、パスワードの代わりに顔認証や指紋認証、PINコードでパソコンにログインできるWindows標準の認証機能です。ここまでは多くの方がご存じでしょう。しかし、その裏側で動いている拡張サインインセキュリティ(Enhanced Sign-in Security、略称ESS)の存在は、あまり知られていません。
ESSとは、生体認証データをOS本体から完全に隔離して保護する仕組みのことです。具体的には、仮想化ベースのセキュリティ(VBS)とTPM 2.0(Trusted Platform Module)という2つの技術を組み合わせて、指紋や顔のデータが悪意あるソフトウェアに盗まれたり改ざんされたりしないようにガードしています。
たとえば顔認証の場合、ESSが有効だとIRカメラから取得した顔データはVBSで保護されたメモリ領域にだけ書き込まれ、Windows本体からはアクセスできません。指紋認証の場合は、センサー内部のチップで照合処理が完結するMatch-on-Chip(MoC)方式が必須となり、指紋テンプレートがPC本体に流出するリスクを根本から排除しています。
つまりESSは「生体認証データを扱う経路全体を暗号化して守る、最も堅固なセキュリティの盾」だと考えてください。マルウェアが万が一PCに侵入しても、ESSが有効なら生体認証データには手が出せないのです。
ESSはなぜ重要なのか?
セキュリティ研究者たちは2023年に、主要メーカーのノートPC内蔵指紋センサーに対して攻撃を試み、WindowsHelloの認証バイパスに成功した事例を報告しています。この攻撃が可能だった理由のひとつは、一部のセンサーがSDCP(Secure Device Connection Protocol)を正しく実装していなかったことにありました。ESSはこうした脆弱性に対抗するため、センサーとOS間の通信全体を暗号化し、製造時に埋め込まれたMicrosoft発行の証明書で相互認証を行う仕組みを採用しています。パスワードレス時代のセキュリティ基盤として、ESSの役割はますます大きくなっています。
2026年2月のアップデートで何が変わったのか?
ここが最大のポイントです。2026年2月10日にリリースされた累積アップデートKB5077181(OSビルド26200.7840 / 26100.7840)によって、ESSの対応範囲が劇的に広がりました。
これまでESSは、ノートPCに内蔵された生体認証センサーでしか利用できませんでした。デスクトップPCユーザーや、ドッキングステーション経由で外部モニターを使うノートPCユーザーは、どれだけ高性能なUSB指紋リーダーを購入しても、ESSの恩恵を受けることができなかったのです。外部デバイスというだけで、Windowsがセキュリティレベルを一段下げて扱っていたわけです。
KB5077181以降は、ESS対応の外部USB指紋リーダーをPCに接続するだけで、設定画面からESS有効状態での指紋登録が可能になりました。デスクトップPC、自作PC、Copilot+ PCなど、内蔵センサーを持たないすべてのWindows11マシンが対象です。
さらに2026年2月24日にリリースされたKB5077239(Windows11バージョン26H1向け)でも、同様のESS外部指紋リーダー対応が含まれており、Microsoftがこの機能拡張を本格的に推進していることがわかります。
アップデート適用の前提条件
ただし、このアップデートを適用すればどんな指紋リーダーでもESS対応になるわけではありません。ESS環境を構築するには、PC側と指紋リーダー側の両方が条件を満たす必要があります。PC側は、Windows11バージョン24H2以降がインストールされていること、TPM 2.0が有効であること、VBS(仮想化ベースのセキュリティ)が利用可能であることが求められます。指紋リーダー側は、製造時にMicrosoft発行の証明書が埋め込まれたMoC対応センサーであること、ESSをサポートするファームウェアとドライバーが搭載されていることが必要です。
なお、MicrosoftはControlled Feature Rollout(CFR)技術を使って段階的に機能を展開しているため、アップデート直後にはESS関連のオプションが表示されない場合もあります。数日から数週間で順次有効化されるので、焦らず待ちましょう。
MoC(Match-on-Chip)方式とは?なぜESS必須なのか?
外部指紋リーダーを選ぶうえで絶対に理解しておきたいのが、MoC(Match-on-Chip)方式です。MoCとは、指紋の登録・照合処理をリーダー内部の専用チップだけで完結させる技術のことです。
従来の「Match-on-Host」方式では、センサーが読み取った指紋データをPC本体に送信し、PCのCPUで照合処理を行っていました。この方式では、データがPCに転送される過程でマルウェアに傍受されたり、偽の指紋データを注入されたりするリスクがありました。
MoC方式では、指紋テンプレート(生体データを変換した照合用データ)がチップ内の暗号化されたストレージに保存され、照合もチップ内で行われます。指紋データが一切外部に出ないため、仮にPC本体がマルウェアに感染していても、指紋データを盗み出すことはできません。
ESSがMoC方式を必須としている理由はここにあります。チップレベルで指紋データを隔離し、さらにTPM 2.0とVBSによるOS側の保護を組み合わせることで、エンドツーエンドの完全な認証セキュリティチェーンを構築しているのです。
自分の指紋リーダーがESS対応かどうかを確認する方法
手持ちの指紋リーダーがESSに対応しているかどうかは、レジストリエディターで確認できます。まずデバイスマネージャーを開き、「生体認証デバイス」セクションを展開してください。指紋センサーのエントリを右クリックして「プロパティ」を開き、「詳細」タブで「デバイスインスタンスパス」を選択します。
次に、レジストリエディター(
regedit.exe
)を開いて、以下のパスに移動します。
HKLM\SYSTEM\CurrentControlSet\Enum\\Device Parameters\WinBio\Configurations
ここにSecureFingerprintという名前のレジストリキーがあり、その値が1であれば、そのセンサーはESS対応です。このキーが存在しない場合、または「Configurations」フォルダの下に「0」と「1」の2つのサブフォルダがない場合は、残念ながらESS非対応となります。
ESS対応の外部指紋リーダーの選び方とおすすめ基準
2026年現在、ESS対応をうたう外部USB指紋リーダーは徐々に増えてきています。製品を選ぶ際に注目すべきポイントを整理しましょう。
最も重要なのは、製品ページやスペックシートに「Enhanced Sign-in Security対応」または「Windows Hello ESS対応」と明記されていることです。単なる「Windows Hello対応」や「生体認証対応」という表記だけでは、ESS対応とは限りません。曖昧な表記の場合は、メーカーに直接確認することを強くおすすめします。
MoC方式の採用も必須条件です。製品説明に「Match-on-Chip」や「MoC搭載」と書かれているかどうかをチェックしてください。MoC方式を採用していない製品では、そもそもESSを有効にすることができません。
| チェック項目 | ESS対応に必須か | 確認のポイント |
|---|---|---|
| MoC(Match-on-Chip)方式 | 必須 | 製品スペックに「MoC搭載」の記載があるか |
| ESS/SDCP対応の明記 | 必須 | 「Enhanced Sign-in Security」または「SDCP対応」の表記 |
| Microsoft発行の証明書 | 必須 | 製造時に埋め込み済み(メーカー公表情報で確認) |
| ファームウェア更新対応 | 推奨 | メーカーがファームウェアアップデートを提供しているか |
| 360度全方位認証 | 任意(利便性向上) | どの角度からでも指紋を読み取れるか |
| 他人許容率(FAR) | 任意(精度の目安) | 0.001%以下が高精度の目安 |
国内メーカーでは、サンワサプライのFP-RD5や400-FPRD3がMoC方式を採用しており、WindowsHello ESS対応もうたっています。海外メーカーでは、TECのSecureTouchシリーズ(TE-FPA-CA1やTE-FPA3-MC)がESS対応を明確にアピールしている製品です。KensingtonのVeriMark Gen2もMatch-in-Sensor技術を採用し、高い認証精度を実現しています。
価格帯としては、ESS非対応の安価なモデルが2,000円前後から手に入るのに対し、ESS対応のMoCモデルは6,000円から12,000円程度が相場です。セキュリティの差を考えれば、十分に投資する価値があります。
Windows11のバージョン別ESS設定手順
ESSの設定方法は、お使いのWindows11のバージョンによって画面表示が異なります。ここでは、バージョン24H2以降と23H2の2つのケースに分けて解説します。
Windows11バージョン24H2以降(25H2含む)での設定手順
2026年2月のアップデート済み環境では、以下の手順で外部ESS指紋リーダーを設定できます。
- ESS対応の外部USB指紋リーダーをPCに接続し、ドライバーのインストールが完了するまで待ちます。プラグアンドプレイ対応の製品なら、自動でドライバーが導入されます。
- Windowsの「設定」アプリを開き、「アカウント」から「サインインオプション」に進みます。
- 「追加の設定」セクションまでスクロールし、「拡張サインインセキュリティ」というトグルを探してください。
- ESS対応デバイスを接続している場合、「セットアップ保留中」と表示されることがあります。画面の指示に従ってセットアップを進めてください。
- 指紋の登録画面が表示されたら、センサーに指を繰り返しタッチして指紋を登録します。登録が完了すると、ESSが自動的に有効になります。
もしESS非対応の指紋リーダーを使う場合は、「拡張サインインセキュリティ」のトグルをオフに切り替える必要があります。ただし、オフにすると既存のESS登録情報やパスキーなどの資格情報がすべて削除される点に注意してください。再度ESS対応デバイスに切り替える際には、指紋やPINの再登録が必要になります。
Windows11バージョン23H2での設定手順
バージョン23H2では画面の表記が少し異なります。「追加の設定」セクションにある「外部カメラまたは指紋リーダーでサインインする」というトグルを操作します。このトグルをオンにするとESSが無効化され、外部デバイスが使えるようになります。オフの状態ではESSが有効で、ESS非対応の外部デバイスはブロックされます。つまり24H2以降とはトグルの意味が逆になっている部分があるので、混乱しないよう注意してください。
なお、トグル自体が表示されない場合は、PCがESSのハードウェア要件を満たしていないか、組織のポリシーで外部WindowsHelloデバイスが無効化されている可能性があります。
パスキーとの連携で実現するパスワードレスの世界
ESSの真価が発揮されるのは、実はPCログインだけではありません。WindowsHelloパスキーとの組み合わせによって、Webサービスやアプリへのログインもパスワードレスで行えるようになります。
パスキーとは、FIDO2/WebAuthn規格に基づくパスワードレス認証の仕組みです。従来のパスワードのように「共有された秘密情報」を使うのではなく、公開鍵暗号方式によって認証を行います。秘密鍵はデバイス内(WindowsHelloの場合はTPM内)に安全に保管され、サーバーには公開鍵だけが送信されるため、フィッシング攻撃やサーバー側の情報漏洩に対して根本的に強いのが特徴です。
Windows11のWindowsHelloパスキーに対応した指紋リーダーを使えば、対応するWebサイトやアプリでサインインを求められた際に、指紋をタッチするだけで認証が完了します。主要なブラウザ(Edge、Chrome、Firefox)がすでにパスキーに対応しており、Google、Microsoft、Amazonをはじめとする多くのサービスで利用可能です。
ESSが有効な環境でパスキーを使うと、秘密鍵の保護がTPM 2.0とVBSの二重ガードで守られるため、パスキーのセキュリティがさらに強固になります。企業環境では、WindowsHello for BusinessとFIDO2を組み合わせたパスワードレス運用が急速に広がっており、外部指紋リーダーのESS対応はこの流れを後押しする重要な一歩といえるでしょう。
指紋リーダーがうまく動作しないときのトラブルシューティング
指紋リーダーを接続しても正常に動作しない場合、いくつかの原因が考えられます。まず確認したいのは、Windows Updateが最新の状態になっているかどうかです。ESS外部指紋リーダー対応にはKB5077181以降のアップデートが必要なので、「設定」の「Windows Update」で最新の状態に更新してください。
次に、VBS(仮想化ベースのセキュリティ)が正常に動作しているかを確認します。「ファイル名を指定して実行」で
msinfo32
と入力し、システム情報を開いてください。「仮想化ベースのセキュリティ」の項目が「実行中」と表示されていれば問題ありません。また、「ソフトウェア環境」の「実行中のタスク」にbioiso.exeとngciso.exeがリストされていることも確認しましょう。これらは生体認証のVBS隔離プロセスです。
指紋の読み取り自体がうまくいかない場合は、指とセンサーの状態をチェックしてください。手が乾燥しすぎていたり、逆にハンドクリームで油分が多すぎたりすると、静電容量方式のセンサーでは認識率が下がります。センサー表面の汚れも認識エラーの原因になるので、柔らかい布で定期的にお手入れしましょう。
それでも解決しない場合は、WindowsHelloの生体認証情報とPINをいったんすべて削除してから、改めて再登録するのが効果的です。「設定」→「アカウント」→「サインインオプション」から、指紋認証の「削除」を選択した後、PCを再起動してから再度セットアップを行ってください。
デスクトップPCユーザーとノートPCユーザーそれぞれのメリット
今回のESS外部指紋リーダー対応は、とりわけデスクトップPCユーザーにとって画期的な変化です。これまでデスクトップPCでは、どれだけ高性能な外部指紋リーダーを使っても、内蔵センサーを持つノートPCのような堅固なセキュリティを得ることができませんでした。自作PCユーザーやゲーミングPC愛好家にとって、長年の「セキュリティ格差」がようやく解消されたといえます。
ノートPCユーザーにもメリットがあります。オフィスでドッキングステーションに接続してデスクトップモニターを使っている場合、ノートPCの蓋を閉じた状態では内蔵指紋リーダーにアクセスできません。ESS対応の外部指紋リーダーをドッキングステーション経由で使えば、蓋を閉じたままでもセキュアなログインが可能になります。
企業のIT管理者にとっても朗報です。全社員にESS対応の外部指紋リーダーを配布することで、デスクトップPCを含むすべてのWindowsデバイスで統一的なセキュリティポリシーを適用できるようになります。Microsoft Intuneなどのデバイス管理ツールを使えば、ESSの有効化状態をリモートで確認・制御することも可能です。
情シス歴10年超の現場で培った指紋リーダートラブル対処の実践テクニック
Windowsのイメージ
ここからは、マニュアルやメーカーのサポートページには載っていない、実際の現場で何度も遭遇してきた「よくあるけど原因がわかりにくい問題」と、その具体的な解決手順を紹介します。WindowsHelloと外部指紋リーダーの組み合わせは便利な反面、一度こじれると原因の切り分けが本当にやっかいです。情シス担当として数百台のPCを管理してきた経験から言えるのは、「設定画面だけで解決しようとすると沼にハマる」ということです。
指紋登録がいつまでも完了しない「無限ループ」問題
外部指紋リーダーを接続して指紋登録画面に進んだのに、何度指をタッチしても「もう一度タッチしてください」が永遠に繰り返される症状。これ、実は現場で一番多いトラブルです。原因の大半はWindowsBiometricServiceの初期化不良か、以前の生体認証データの残骸が邪魔しているかのどちらかです。
設定画面から指紋を削除して再登録しても直らない場合は、生体認証データベースを手動でリセットする必要があります。以下の手順をPowerShell(管理者権限)で実行してください。
まず、WindowsBiometricServiceを停止します。
Stop-Service -Name WbioSrvc -Force
次に、生体認証データベースファイルをバックアップしてから削除します。
$dbPath = "C:\Windows\System32\WinBioDatabase"
$backupPath = "$env:USERPROFILE\Desktop\WinBioBackup_$(Get-Date -Format 'yyyyMMdd_HHmmss')"
New-Item -ItemType Directory -Path $backupPath -Force
Copy-Item -Path "$dbPath\*" -Destination $backupPath -Recurse
Remove-Item -Path "$dbPath\*.dat" -Force
最後に、サービスを再起動します。
Start-Service -Name WbioSrvc
これでサービスが新規状態に戻るので、「設定」→「アカウント」→「サインインオプション」から指紋を再登録してください。ポイントは、datファイルを消す前に必ずバックアップを取ることです。万が一別のユーザーの生体認証データが入っていた場合、復旧できなくなります。共有PCでは特に注意が必要です。
「PINが利用できません」エラーで指紋も使えなくなる地獄パターン
Windows Updateの直後に突然「PINが利用できません」と表示され、指紋認証も道連れで使えなくなる。これはWindowsHello関連のトラブルの中でも最も厄介なパターンです。原因は、WindowsHelloの資格情報を保管するNGCフォルダ(Next Generation Credential)の破損がほとんどです。
NGCフォルダはシステム保護された領域にあり、通常のエクスプローラー操作では削除できません。管理者権限のPowerShellで以下のコマンドを順番に実行してください。
takeown /f "C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGC" /r /d y
icacls "C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGC" /grant Administrators:F /t
Remove-Item -Path "C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGC\*" -Recurse -Force
実行後にPCを再起動すると、WindowsHelloが初期状態に戻ります。パスワードまたはMicrosoftアカウントでサインインした後、PINと指紋を改めて登録し直せばOKです。
ここで現場からの重要な注意点があります。BitLockerを有効にしている場合は、NGCフォルダを削除する前に必ずBitLocker回復キーを手元に控えておいてください。NGCフォルダの操作自体はTPMのクリアとは別物ですが、再起動後にBitLocker回復キーの入力を求められるケースが稀に発生します。回復キーがないとPCに一切アクセスできなくなるので、これだけは絶対に確認してからやってください。
PowerShellとコマンドプロンプトで使えるESS診断・管理コマンド集
GUI操作だけでは確認しにくいESSの状態やWindowsHelloの内部状態を、コマンドラインから素早くチェックする方法を紹介します。情シス担当者やパワーユーザーなら、これらのコマンドを覚えておくと障害対応のスピードが劇的に変わります。
VBS(仮想化ベースのセキュリティ)の動作状態を確認する
ESSはVBSが正常に動作していることが大前提です。まずはVBSの状態をPowerShellで確認しましょう。
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard | Select-Object -Property VirtualizationBasedSecurityStatus, RequiredSecurityProperties, AvailableSecurityProperties
このコマンドを実行すると、VirtualizationBasedSecurityStatusという値が返ってきます。値が2なら「実行中」、1なら「有効だが未実行」、0なら「無効」を意味します。ESSを使うには値が2でなければなりません。もし0や1だった場合は、BIOS/UEFIで仮想化支援機能(Intel VT-xやAMD-V)が有効になっているか確認してください。
TPM 2.0の状態とバージョンを確認する
TPMの状態確認もPowerShellワンライナーで可能です。
Get-Tpm | Format-List TpmPresent, TpmReady, TpmEnabled, ManufacturerVersion
TpmPresent、TpmReady、TpmEnabledのすべてがTrueになっていれば問題ありません。いずれかがFalseの場合、BIOS設定でTPMが無効化されている可能性があります。特に自作PCでは、BIOSアップデート後にTPM設定がリセットされることがよくあるので要チェックです。
生体認証サービスの稼働状態と自動起動設定を一発確認する
Get-Service -Name WbioSrvc | Select-Object Status, StartType, DisplayName
StatusがRunning、StartTypeがAutomaticになっていることを確認してください。もしStatusがStoppedだったり、StartTypeがManualやDisabledになっていたら、以下のコマンドで修正します。
Set-Service -Name WbioSrvc -StartupType Automatic
Start-Service -Name WbioSrvc
ESSの有効/無効をレジストリから確認・切り替える
GUIのトグルが表示されない環境や、リモートで複数台を管理する場合は、レジストリを直接操作するのが効率的です。現在の設定値を確認するには次のコマンドを使います。
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WinBio" -Name "SupportPeripheralsWithEnhancedSignInSecurity" -ErrorAction SilentlyContinue
この値が1ならESS以外の外部デバイスの使用が許可されている状態、0ならESS対応デバイスのみが許可されている状態です。値を変更するには以下のコマンドを実行します。
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WinBio" -Name "SupportPeripheralsWithEnhancedSignInSecurity" -Value 1
変更後はPCの再起動が必要です。なお、Microsoft Intuneやグループポリシーで管理されている環境では、レジストリを直接変更してもポリシーの再適用で上書きされるため、必ずポリシー側から設定を変更してください。
イベントビューアーでESSの動作ログを確認する
ESSが正常に動作しているかどうかは、イベントビューアーの生体認証ログで確認できます。PowerShellから直接ログを取得する方法も紹介しておきます。
Get-WinEvent -LogName "Microsoft-Windows-Biometrics/Operational" -MaxEvents 20 | Format-Table TimeCreated, Id, Message -AutoSize -Wrap
ここで注目すべきはイベントID 1108です。このイベントが記録されている場合、生体認証センサーがWindowsの生体認証フレームワークに正常に読み込まれたことを示しています。センサーがESS有効モードで動作している場合は、プロセスが「VirtualSecureMode」で「isolated」と表示されます。ESS無効の場合は「System」プロセスで「isolated」と表示されるので、ここでESSの実際の動作状態を判別できます。
グループポリシーでWindowsHelloが使えないときの確認と解除手順
企業PCでよくあるのが、「IT部門に確認しても明確な回答がなく、しかしWindowsHelloが使えない」というケースです。原因はグループポリシーで生体認証やPINログインがブロックされていることがほとんどです。自分のPCにどのポリシーが適用されているか確認するには、コマンドプロンプト(管理者権限)で以下を実行します。
gpresult /h "%USERPROFILE%\Desktop\GPReport.html"
デスクトップにHTMLファイルが生成されるので、ブラウザで開いてください。適用されているポリシーの一覧が表示されます。WindowsHello関連で確認すべきポリシーは「コンピューターの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「生体認証」配下にあります。
もしグループポリシーで「生体認証の使用を許可する」が「無効」になっていた場合、個人所有のPCならローカルグループポリシーエディター(
gpedit.msc
)から変更できます。Windows11 Homeエディションには
gpedit.msc
が標準搭載されていないため、代わりにレジストリエディターで以下のキーを確認してください。
HKLM\SOFTWARE\Policies\Microsoft\Biometrics
ここにEnabledというDWORD値があり、それが0になっていたら生体認証がポリシーで無効化されています。値を1に変更するか、キー自体を削除すれば、WindowsHelloの生体認証が利用可能になります。
USBセレクティブサスペンドが引き起こす「朝だけ指紋が通らない」問題
「朝一番にPCの電源を入れると指紋認証が反応しないが、しばらくするとなぜか使えるようになる」という不思議な症状を経験したことはありませんか? これは、Windowsの電力管理機能であるUSBセレクティブサスペンドが原因であるケースが非常に多いです。
USBセレクティブサスペンドは、使用していないUSBデバイスへの給電を自動的に停止して省電力を実現する機能です。スリープ復帰時やPC起動直後に、この機能が外部指紋リーダーへの給電再開を遅延させ、センサーの初期化が間に合わないことがあります。
解決するには、指紋リーダーが接続されているUSBルートハブの電源管理設定を変更します。デバイスマネージャーで「ユニバーサルシリアルバスコントローラー」を展開し、「USBルートハブ」を右クリックして「プロパティ」を開きます。「電源の管理」タブで「電力の節約のために、コンピューターでこのデバイスの電源をオフにできるようにする」のチェックを外してください。USBルートハブが複数ある場合は、すべてのルートハブに対してこの設定を適用することをおすすめします。
PowerShellで一括変更するなら、以下のスクリプトが便利です。
$hubs = Get-PnpDevice -Class USB | Where-Object { $_.FriendlyName -match "Root Hub" }
foreach ($hub in $hubs) {
$instanceId = $hub.InstanceId
$keyPath = "HKLM:\SYSTEM\CurrentControlSet\Enum\$instanceId\Device Parameters"
Set-ItemProperty -Path $keyPath -Name "EnhancedPowerManagementEnabled" -Value 0 -ErrorAction SilentlyContinue
Set-ItemProperty -Path $keyPath -Name "SelectiveSuspendEnabled" -Value 0 -ErrorAction SilentlyContinue
}
実行後にPCを再起動すると、USBポートへの常時給電が維持され、スリープ復帰時の指紋リーダー認識遅延が解消されるはずです。ノートPCの場合はバッテリー消費がわずかに増える可能性がありますが、デスクトップPCなら実質的に影響はありません。
WindowsHelloのPINと指紋を一括リセットする最終手段スクリプト
いろいろ試しても解決しないとき、最後の手段として使える「WindowsHello完全リセットスクリプト」を紹介します。このスクリプトは、NGCフォルダのクリーンアップ、生体認証データベースの初期化、WindowsBiometricServiceの再起動を一括で行います。
管理者権限のPowerShellで以下を実行してください。
# WindowsHello完全リセットスクリプト
# 注意すべてのユーザーのPIN・指紋・顔認証データが削除されます
Write-Host "WindowsHello完全リセットを開始します..." -ForegroundColor Yellow
# 1. 生体認証サービスを停止
Stop-Service -Name WbioSrvc -Force -ErrorAction SilentlyContinue
Write-Host "生体認証サービスを停止しました" -ForegroundColor Green
# 2. 生体認証データベースをバックアップ&削除
$timestamp = Get-Date -Format "yyyyMMdd_HHmmss"
$bioBackup = "$env:USERPROFILE\Desktop\WinBioBackup_$timestamp"
New-Item -ItemType Directory -Path $bioBackup -Force | Out-Null
Copy-Item "C:\Windows\System32\WinBioDatabase\*" $bioBackup -Force -ErrorAction SilentlyContinue
Remove-Item "C:\Windows\System32\WinBioDatabase\*.dat" -Force -ErrorAction SilentlyContinue
Write-Host "生体認証データベースをリセットしました" -ForegroundColor Green
# 3. NGCフォルダの所有権取得&クリーンアップ
$ngcPath = "C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGC"
cmd /c "takeown /f `"$ngcPath`" /r /d y" 2>$null
cmd /c "icacls `"$ngcPath`" /grant Administrators:F /t" 2>$null
Remove-Item "$ngcPath\*" -Recurse -Force -ErrorAction SilentlyContinue
Write-Host "NGC資格情報をクリーンアップしました" -ForegroundColor Green
# 4. サービスを再起動
Start-Service -Name WbioSrvc
Write-Host "生体認証サービスを再起動しました" -ForegroundColor Green
Write-Host "PCを再起動してから、PINと指紋を再登録してください" -ForegroundColor Cyan
このスクリプトを実行すると、そのPC上のすべてのユーザーのPIN・指紋・顔認証データが完全に削除されます。共有PCの場合は、全ユーザーに事前告知してから実行してください。デスクトップにバックアップフォルダが作成されるので、万が一の場合はdatファイルを元の場所に戻すことで復旧できます。
システムファイル破損が原因のWindowsHello障害を修復する手順
アップデート後にWindowsHelloが突然動かなくなった場合、システムファイルの破損が原因であることがあります。特に、生体認証サービスの中核であるDLLファイル(
wbiosrvc.dll
)が壊れていると、サービスの起動自体が失敗します。以下のコマンドを管理者権限のコマンドプロンプトで順番に実行してください。
sfc /scannow
このコマンドは、Windowsのシステムファイルをスキャンし、破損したファイルがあれば自動的に修復します。スキャン完了まで10分から15分程度かかりますが、途中で中断しないでください。
SFCで修復できなかったファイルがある場合は、続けてDISMコマンドを実行します。
DISM /Online /Cleanup-Image /RestoreHealth
DISMはWindows Updateからクリーンなファイルをダウンロードして修復を行うため、インターネット接続が必要です。完了後にPCを再起動してから、再度
sfc /scannow
を実行して「整合性違反は見つかりませんでした」と表示されれば修復完了です。その後、WindowsBiometricServiceを再起動して指紋登録を試してください。
certutil一発でWindowsHelloコンテナを削除するプロの時短テクニック
NGCフォルダの所有権変更やファイル削除は手順が多くて面倒ですが、実はcertutilコマンドを使えば、ログインしているユーザーのWindowsHelloコンテナをワンコマンドで削除できます。
certutil -deletehellocontainer
このコマンドは、現在サインインしているユーザーのWindowsHello資格情報(PINと生体認証の紐付け)だけを削除します。NGCフォルダの手動操作と違って他のユーザーのデータには影響しないのが大きなメリットです。実行後にサインアウトして再サインインすれば、PINの再設定画面が表示されます。
管理者権限は不要で、一般ユーザー権限のPowerShellやコマンドプロンプトから実行できます。急いで対処が必要な場合や、ヘルプデスク対応で電話越しにユーザーに操作を指示するときに重宝するコマンドです。
dsregcmdでデバイスの認証状態を丸裸にする
WindowsHelloのトラブルが頻発する環境では、そもそもデバイスがEntra ID(旧Azure AD)やActive Directoryにどのような状態で参加しているかを把握することが重要です。認証状態の全体像を確認するには、次のコマンドが不可欠です。
dsregcmd /status
このコマンドの出力は長いですが、特に注目すべきセクションは以下の3つです。
Device Stateセクションでは、AzureAdJoinedやDomainJoinedの値がYESかNOかを確認します。WindowsHello for Businessを使う場合は、少なくともAzureAdJoined(またはEntra Joined)がYESである必要があります。
SSO Stateセクションでは、AzureAdPrtがYESになっていることを確認します。これはPrimary Refresh Token(PRT)が正常に取得されていることを示しており、NOの場合はクラウド認証全般に問題が起きている可能性があります。
NGC Prerequisites Checkセクションでは、WindowsHelloの前提条件がすべて満たされているかを一覧で確認できます。ここにNOTMETの項目があると、その条件が満たされるまでWindowsHelloは使用できません。
特にWindows11のバージョン24H2では、認証チェックが以前のバージョンより厳格になっています。UPN(ユーザープリンシパルネーム)が変更された後にWindowsHelloが壊れるケースが報告されており、その場合は
certutil -deletehellocontainer
でコンテナを削除してから再登録するのが最も確実な修復手順です。
動的ロック機能と指紋リーダーを組み合わせた離席時自動ロックの設定方法
せっかく指紋リーダーでセキュアなログインを実現しても、離席時にPCがロックされないままだと意味がありません。Windows11には動的ロック(Dynamic Lock)という機能があり、Bluetoothで接続したスマートフォンが一定距離離れると自動的にPCをロックしてくれます。
設定手順は簡単です。まず、スマートフォンをBluetoothでPCにペアリングします。その後、「設定」→「アカウント」→「サインインオプション」に進み、「動的ロック」セクションの「その場にいないときにWindowsでデバイスを自動的にロックすることを許可する」にチェックを入れるだけです。
この動的ロックとESS対応の外部指紋リーダーを組み合わせると、「離席時は自動ロック → 戻ったら指でタッチして即解除」という非常にスムーズでセキュアな運用が実現します。動的ロックの検知には約30秒ほどの遅延がありますが、オフィスや在宅ワークの日常使いでは十分実用的です。
指紋リーダーのドライバーがWindows Update後に勝手に置き換わる問題への対策
外部指紋リーダーで地味に困るのが、Windows Updateのたびにメーカー純正ドライバーがMicrosoft汎用ドライバーで上書きされてしまう問題です。汎用ドライバーに置き換わると、MoC機能やESS対応が無効化されてしまうことがあります。
これを防ぐには、特定のデバイスのドライバーをWindows Updateの自動更新対象から除外する設定が有効です。PowerShellで以下のように設定します。
まず、指紋リーダーのハードウェアIDを確認します。
Get-PnpDevice -Class Biometric | Select-Object FriendlyName, InstanceId, Status
表示されたInstanceIdを控えておいてください。次に、グループポリシーまたはレジストリで、そのデバイスのドライバー自動更新を無効化します。Windows11 Proエディション以上なら、
gpedit.msc
から「コンピューターの構成」→「管理用テンプレート」→「システム」→「デバイスのインストール」→「デバイスのインストールの制限」に進み、「これらのデバイスIDと一致するデバイスのインストールを禁止する」にハードウェアIDを追加すれば、Windows Updateによるドライバー置き換えを防げます。
ただし、この設定をするとメーカーが公開するドライバーアップデートも自動適用されなくなるので、定期的にメーカーサイトをチェックして手動更新する運用が必要になります。セキュリティとの兼ね合いで判断してください。
ぶっちゃけこうした方がいい!
ここまで読んでくださった方に、情シス10年超の経験から正直に言わせてもらいます。
ぶっちゃけ、2026年3月の今、外部指紋リーダーを新しく買うなら「ESS対応」を絶対条件にしてください。理由は単純で、非対応の安い製品を買ってESS無効にして使うのは、鍵のかかる扉があるのにわざわざ開けっ放しにするようなものだからです。
そして、もう一つ本音を言うと、WindowsHello周りのトラブルは「NGCフォルダの掃除」と「生体認証データベースの初期化」で8割は解決します。マイクロソフトのサポートページをいくら読んでも、具体的に「このフォルダを消せ」とは書いてありません。でも実際の現場で何百回とやってきて、これが一番早いし確実です。上で紹介した
certutil -deletehellocontainer
は、特に覚えておいて損はないコマンドです。普通のユーザー権限で実行できて、他のユーザーに影響を与えずに自分のWindowsHelloだけをリセットできるので、電話サポートでも使えるし、リモートワーク中のトラブル対応でも重宝します。
製品選びについても一言。MoC対応で「Windows Hello ESS対応」と明記された製品であれば、正直なところメーカーはどこでも大差ありません。サンワサプライでもTECでもKensingtonでも、チップの性能は横並びです。差が出るのはケーブルの長さやドングルの大きさといった「使い勝手」の部分なので、自分の作業環境に合った形状のものを選ぶのが正解です。デスクトップなら有線ケーブル付き、ノートPCならドングル型と、実際に手を置く場所から逆算して選んでください。
最後に、一番大事なことを言います。指紋リーダーを導入したら、必ずPINも併用で設定しておいてください。指紋認証一本に頼ると、冬場に手が乾燥してどうしても認証が通らないとか、センサーが故障したときに詰みます。PINは指紋認証のバックアップとして常に使える状態にしておくこと。これが、何百台ものPCを管理してきた人間としての、一番の実感です。セキュリティは「一番強いもの一つ」で守るのではなく、「それが使えないときの代替手段まで含めて設計する」のが鉄則です。ここまでやって初めて、パスワードから本当に卒業できると思ってください。
このサイトをチップで応援
WindowsHelloの外部指紋リーダーと強化セキュリティに関するよくある質問
ESSを無効にしても大丈夫ですか?リスクはありますか?
ESSを無効にすること自体はWindows標準の操作として認められていますが、生体認証データの保護レベルは確実に下がります。ESS無効状態では、マルウェアによる指紋データの傍受やなりすまし攻撃に対する耐性が弱くなります。どうしてもESS非対応の外部デバイスを使わなければならない場合を除き、ESS有効のまま運用することを強くおすすめします。なお、ESS対応の指紋リーダーを新たに購入すれば、ESSを有効に戻してより安全な環境を構築できます。その際、既存の指紋登録やパスキーは再設定が必要になる点をお忘れなく。
ESS対応の外部指紋リーダーでパスキーも使えますか?
はい、ESS対応の指紋リーダーはWindowsHelloパスキーにも対応しています。パスキーを使えば、対応するWebサイトやアプリに指紋タッチだけでサインインできます。ESSが有効な状態でパスキーを利用すると、秘密鍵がTPM 2.0とVBSで二重に保護されるため、セキュリティはさらに高まります。ただし、ESSのオン/オフを切り替えると既存のパスキー登録が削除されるため、切り替え後は再登録が必要です。
会社の共有PCで複数人の指紋を登録できますか?
WindowsHelloでは、最大10個の指紋を登録できます。ただし、これはアカウントごとの上限です。共有PCで複数のWindowsアカウントを作成していれば、それぞれのアカウントで最大10個ずつ指紋を登録可能です。オフィスや公共スペースなど、複数のユーザーが1台のPCを使う環境でも問題なく運用できます。
USBハブやドッキングステーション経由でも使えますか?
多くのESS対応指紋リーダーは、USBハブやドッキングステーション経由での接続にも対応しています。ただし、USBハブの品質や給電能力によっては認識が不安定になるケースもあるため、セルフパワー方式(ACアダプター付き)のUSBハブを使うことをおすすめします。有線接続タイプの指紋リーダーであれば、ケーブル長が1.5m程度のモデルを選ぶと、デスクトップPCの背面ポートに接続しても手元にセンサーを置けて便利です。
「拡張サインインセキュリティ」のトグルが表示されないのですが?
トグルが表示されない場合は、いくつかの原因が考えられます。まず、PCがESSのハードウェア要件(TPM 2.0、VBS対応)を満たしていない可能性があります。次に、ESS対応/非対応いずれの生体認証センサーもPCが検出していない場合、トグル自体が表示されません。さらに、組織のグループポリシーやMicrosoft Intuneによって、ESS以外のWindowsHelloデバイスの使用が無効化されている可能性もあります。まずはWindows Updateを最新にしたうえで、指紋リーダーが正しく認識されているかデバイスマネージャーで確認してみてください。
今すぐパソコンやスマホの悩みを解決したい!どうしたらいい?
いま、あなたを悩ませているITの問題を解決します!
「エラーメッセージ、フリーズ、接続不良…もうイライラしない!」
あなたはこんな経験はありませんか?
✅ ExcelやWordの使い方がわからない💦
✅ 仕事の締め切り直前にパソコンがフリーズ💦
✅ 家族との大切な写真が突然見られなくなった💦
✅ オンライン会議に参加できずに焦った💦
✅ スマホの重くて重要な連絡ができなかった💦
平均的な人は、こうしたパソコンやスマホ関連の問題で年間73時間(約9日分の働く時間!)を無駄にしています。あなたの大切な時間が今この悩んでいる瞬間も失われています。
LINEでメッセージを送れば即時解決!
すでに多くの方が私の公式LINEからお悩みを解決しています。
最新のAIを使った自動応答機能を活用していますので、24時間いつでも即返信いたします。
誰でも無料で使えますので、安心して使えます。
問題は先のばしにするほど深刻化します。
小さなエラーがデータ消失や重大なシステム障害につながることも。解決できずに大切な機会を逃すリスクは、あなたが思う以上に高いのです。
あなたが今困っていて、すぐにでも解決したいのであれば下のボタンをクリックして、LINEからあなたのお困りごとを送って下さい。
ぜひ、あなたの悩みを私に解決させてください。
まとめ
2026年2月のWindows11アップデート(KB5077181)は、外部USB指紋リーダーのセキュリティを根本的に変えた歴史的なアップデートです。これまでノートPCの内蔵センサーだけに限られていたESSの恩恵が、デスクトップPCや自作PCにも開放されました。MoC方式のESS対応指紋リーダーを選べば、指一本でPCにログインするだけでなく、パスキーによるWebサービスへのパスワードレス認証まで、業界最高レベルのセキュリティで守られた環境を手に入れることができます。
まだパスワード入力に頼っている方は、これを機にESS対応の外部指紋リーダーを導入してみてください。設定は驚くほど簡単で、一度使い始めたら手放せなくなるはずです。セキュリティと利便性の両方を手に入れる、まさにいいとこ取りの選択肢です。まずはWindows Updateを最新の状態にして、「設定」→「アカウント」→「サインインオプション」を開くところから始めましょう。
コメント