[MECM/SCCM]Windows10 FUでWindows Hello(生体認証)が動かなくなった!

MECM(旧SCCM)
[MECM/SCCM]Windows10 FUでWindows Hello(生体認証)が動かなくなった!

アーザス中島です。

皆さん、ログオン時は何を使って認証していますか?パスワードでしょうか。それとも生体認証でしょうか。

Windows 10 Version 1903へのFU(Feature Update)時、「生体認証」で相当ハマったことがあります。

FU: Windowsのバージョンアップのことです。

皆さんに同じ轍を踏んで欲しくないので、ここでご紹介しようと思います。

生体認証って何?

生体認証

そもそも生体認証にはどんなものがあるのでしょうか?

  • 指紋認証
  • 顔認証
  • 静脈認証
  • 音声認証

この辺が有名な認証方式ですね。

この他にも「虹彩認識」や「耳介認証」など色々な認証方式が開発されています。

USJの入場券も顔認証をつかっていますね。

Windows 10で使える生体認証

Windows 10で使える生体認証「Windows Hello」をご存じでしょうか。

「Windows Hello」では主に以下のような認証を行うことができます。

  • 顔認証
  • 指紋認証
  • 暗証番号(PIN)

PINは生体認証ではありません。

生体認証デバイスとドライバーとFU

罠

この生体認証には厄介な罠があります。

それは認証を行うための機器、つまり「デバイス」の問題です。そして当然デバイスには「ドライバー」が必要です。

FUしたら認証できなくなった

  • 外付けの生体認証デバイスを使用している。
  • デバイスにはメーカーが提供するドライバーが必要。

このような環境に対してWindows 10 Version 1903のFUの配信を行ったところ、生体認証ができなくなってしまいました。

原因はドライバー

原因は、PCにインストールされていた生体認証デバイス用のドライバーが、Windows 10 Version 1903に対応していないことでした。

ドライバーをインストールした時点ではWindows 10 Version 1903は存在していない訳ですから、ドライバーが対応していないのも当然です。

新しいドライバーを改めて配信することになってしまいました。

キッティングのマスターイメージとドライバー更新

上記のケースは稼働中のPCに対してのFU実施でした。

では、キッティングで使用するマスターPCに対してFU実施するケースを考えてみましょう。

もちろんFUを実施した後は生体認証デバイスのドライバーを新しいものに更新します。動かないことが分かっていますから。

それ以外のドライバーはアップデートすべきなのでしょうか。

マスターPCのドライバーは新しいものに更新すべき

既に稼働しているPCのドライバーまでは更新しないにしろ、FUを実施するマスターPCではドライバーを更新する方が良いと考えています。

運用しているPCの台数が数百台、数千台もある場合、企業のPC環境が統一されていないことは大いに問題です。複数のドライバーのバージョンが混在してしまうことで、管理が非常に困難になるためです。

それにドライバーに起因した色々な不具合が解消されるケースが結構あります。

マスターPCのドライバー更新が面倒ならMECM(旧SCCM)タスクシーケンスを使おう

さて、ここまでマスターPCのドライバー更新についてお話ししました。

実はそのドライバー更新は非常に面倒な作業なのです。個人的にはFUと同じぐらい面倒です。

マスターイメージの更新作業

キッティングで使用するマスターイメージを作成する場合、以下のような作業を行います。

  • バックアップイメージからマスターPCを復元する。
  • FUを実施する。
  • ドライバーを更新する。
  • マスターPCが復元できるようにバックアップする。
  • Sysprepする。
  • マスターイメージを抽出する。

運用しているPCの機種が複数ある場合、マスターイメージも複数存在します。その数だけ同じ作業を繰り返す必要があるのです。

更に、巨大なマスターイメージを保存するストレージも必要です。

MECMのタスクシーケンスで大幅に改善できる

この面倒な作業を改善してくれるのがMECMのタスクシーケンスです。

タスクシーケンスで読み込むドライバーを新しいものに変更するだけで簡単に入れ替えができます。

またFUも、読み込むOSイメージを新しいバージョンに入れ替えるだけです。

マスターPCは不要となりますので、運用が非常に楽になります。特にたくさん機種がある企業様であれば是非この方法を選んでいただきたいです。

最後に

今回起こったトラブルは、Windows Hello + 生体認証デバイスの環境に対し、FUを実施したことで起きました。

多くの企業で今後も本格的なFUが実施されると思いますが、生体認証がうまく動かなくなったならドライバーを疑ってみるのが良いかもしれません。

MECMでお困りの方、マスター作成でお困りの場合は是非アーザスにお問い合わせください。