Windows 10 バージョン2004から消えた（？）自動ログオン構成オプションあり／なしの怪：その知識、ホントに正しい？ Windowsにまつわる都市伝説（162）

筆者は利用していませんが、電源をオンにしたらデスクトップが表示されるまで起動するように自動ログオンを構成し、利用しているユーザーは少なからずいるようです。最新の「Windows 10 May 2020 Update（バージョン2004、ビルド19041.x）」になって、“その構成オプションが見当たらない”“私のPCにはあるけど”といった声をちらほら聞くことがありました。これには“パスワードのない世界”を目指すMicrosoftの思惑が関係しているようです。

[山市良，テクニカルライター]

Windowsにまつわる都市伝説

netplwizから消えた自動ログオン構成オプション

　「Windows 10」は、以前のバージョンと同様に、ログオンする「ユーザー名」と「パスワード」を事前に設定し、起動時や再起動時にユーザーの操作なしでデスクトップが表示されるまでを自動化する「自動ログオン」機能とGUI（グラフィカルユーザーインタフェース）で構成可能なオプション（GUIで設定可能なのはワークグループ構成のみ）が用意されています。

　GUIによる構成には「netplwiz」コマンド、または「control userpassword2」コマンドを実行すると開く「ユーザーアカウント」コントロールパネル（Advanced User Control Panel）を使用して、「ユーザーがこのコンピューターを使うには、ユーザー名とパスワードの入力が必要」チェックボックスをオフにします。

　以下の記事をはじめとして、これまでIT系の記事で繰り返し取り上げられてきた、知る人ぞ知る昔からある隠しオプションです。

• Windows 10起動時のパスワード入力を不要にして、自動サインインさせる（＠IT：Windows Server Insider）

　Windows 10 バージョン2004のユーザーの中には、「ユーザーがこのコンピューターを使うには、ユーザー名とパスワードの入力が必要」チェックボックスが表示されるPCと、表示されないPCがあるという声を聞きました（画面1）。

画面1　Windows 10 バージョン2004では、ドメインに参加していないPCであっても「ユーザーがこのコンピューターを使うには、ユーザー名とパスワードの入力が必要」が表示されない場合と表示される場合がある（この画面は、どちらも同じPC）

　機能更新プログラムで旧バージョン／ビルドからWindows 10 バージョン2004にアップグレードしたPCには表示され、Windows 10 バージョン2004を新規インストールしたPCには表示されないというのは、この違いの発生条件の一つです。「ユーザーアカウント」コントロールパネルを使ったことがある人ならなくなってしまったと思うでしょうし、最近、このコントロールパネルの存在を知り、いざ使ってみようと思ったらオプションが見当たらずに困惑するでしょう。

Windows 10はパスワードのない世界へさらに一歩前進

　Windows 10は、「Microsoftアカウント」や「Azure Active Directory（Azure AD）」によるサインイン（ログオン）認証において、従来のユーザー名とパスワードの組み合わせとは別に、パスワードの入力や送受信を伴わない「パスワードのない世界」を目指してきました。

　このパスワードを使用しない認証方法は「Windows Hello」や「Windows Hello for Business」と呼ばれます。ただし、これまでは「パスワードのない世界」は見掛け上のことで、ユーザー名とパスワードの組み合わせを完全に置き換えるものではなく、パスワードはクラウドとローカルPCの両方に保存されてきました。この時点での「パスワードのない世界」は、認証のためにパスワードの入力や送信を省くことができるというイメージです。

　Windows 10 バージョン2004は、真の「パスワードのない世界」へ一歩踏み出しました。既にMicrosoftアカウントやAzure ADの組織アカウントが利用可能であり、SMS（ショートメッセージサービス）や電子メールによる本人確認やスマートフォンの「Microsoft Authentication」アプリによる承認など、パスワード以外の追加の認証方法をセットアップ済みであれば、一度もパスワードを入力することなく、Windows 10をセットアップし、PIN（Personal Identification Number）や顔認証、指紋認証などのWindows Hello認証を用いてWindowsにログオンすることができます。そして重要なのは、新規インストールでローカルアカウントを使用しない場合、ローカルPCには誰のパスワードも保存されることはないということです。

　新規インストール時あるいはプリインストールPCの初回起動時に新たなMicrosoftアカウントを作成することを選択した場合、ローカルアカウントでセットアップした後に新たなMicrosoftアカウントを作成して切り替えた場合は、MicrosoftアカウントのサインアップのためにパスワードとPINの設定が求められますが、ローカルに保存されるのはPINだけになります。Microsoftアカウントがローカルに保存されることはありません。

　次の画面2は、Windows 10 バージョン2004で利用可能なWindows Hello認証のオプションです。Windows Hello認証のオプションの数はWindows 10 バージョン1903／1909と同じですが、Windows 10 バージョン2004には、「MicrosoftアカウントにWindows Helloサインインを要求する」という新しいスイッチが追加されました。この新しいオプションをオフにすると、従来のパスワードとピクチャパスワードのオプションを設定できるようになります。なお、このPCにリモートデスクトップ接続を行う予定がある場合は、パスワードを設定してください。リモートデスクトップ接続にはパスワード認証が必要であり、PCのローカルにパスワードが保存されている必要があります。

画面2　「MicrosoftアカウントにWindows Helloサインインを要求する」がオンの場合、Windows Hello認証のみが利用でき、パスワードやピクチャパスワードの設定はできない

　この画面2は、Windows 10 バージョン2004を新規インストールし、Microsoftアカウントでセットアップした場合であり、「MicrosoftアカウントにWindows Helloサインインを要求する」は既定でオンになっています。この構成では、ユーザーのパスワードはローカルPCに保存されません。

　少し話が脱線しますが、Windows 10 バージョン2004の新機能に「セーフモード」（セーフモード、セーフモードとネットワーク、セーフモードとコマンドプロンプト）でWindows Hello PIN認証が利用可能になったというものがあります（画面3）。PINなどのWindows Hello認証を常用していると、めったに使わないパスワードを思い出すのに苦労するかもしれませんが、この新機能により通常起動時と同じようにPINだけで認証をパスすることができて便利だと思うでしょう。

画面3　ネットワーク接続のない「セーフモード」や「セーフモードとコマンドプロント」（この画面）でもWindows HelloのPINによるサインインが可能に

　Windows 10 バージョン2004では、パスワードをローカルPCに保存しない構成が可能なので、セーフモードでのWindows Hello PIN認証対応は必要不可欠だったともいえます。ちなみに、MicrosoftアカウントやAzure ADアカウントを、パスワードを保存しない構成でセットアップした場合、インターネット接続がない環境ではパスワードによるログオンはできなくなります。

自動ログオンは「パスワードあり」の世界が前提

　もうお分かりでしょうか？　「MicrosoftアカウントにWindows Helloサインインを要求する」がオンの場合、「ユーザーアカウント」コントロールパネルに「ユーザーがこのコンピューターを使うには、ユーザー名とパスワードの入力が必要」チェックボックスは表示されません。なぜならパスワードがローカルPCに保存されないため、ユーザー名とパスワードの組み合わせによる自動ログオンは不要（不可能）だからです。

　「MicrosoftアカウントにWindows Helloサインインを要求する」をオフにすると、表示されるようになります（画面4）。ただし、Microsoftアカウントの認証でパスワードを入力してパスワードを保存しない限り、パスワードなしの構成のままです。「MicrosoftアカウントにWindows Helloサインインを要求する」をオフにしたからといって、パスワードの保存が要求されるわけではないのです。

画面4　「MicrosoftアカウントにWindows Helloサインインを要求する」をオフにすると、「ユーザーがこのコンピューターを使うには、ユーザー名とパスワードの入力が必要」チェックボックスが表示されるようになる

　Windows 10 バージョン2004の新機能として、セーフモードにおけるWindows Hello PIN認証を紹介しましたが、「Windows回復環境（WinRE）」のコマンドプロンプトの認証は従来と同様、ユーザー名とパスワードの組み合わせが要求されます。そのため、「MicrosoftアカウントにWindows Helloサインインを要求する」がオンになっている場合、WinREの認証（この時点でネットワーク機能は無効）でMicrosoftアカウントの正しいパスワードを入力してもはじかれます（画面5）。

画面5　Microsoftアカウントでパスワードログオンを可能にしていない場合（この例はPIN以外のサインインオプションは利用不可）、WinREのコマンドプロンプトの認証に正しいパスワードを入力してもはじかれる

　これを回避するには、「MicrosoftアカウントにWindows Helloサインインを要求する」をオフにして通常のWindowsログオンでパスワード認証を許可するか、ローカルアカウントとして管理者アカウントを作成する、あるいは認証を求められない「回復ドライブ」やWindows 10のインストールメディアなどの外部メディアからWinREを起動するという方法があります。

新規インストールでローカルアカウントの場合、自動ログオンはできない？

　新規インストールの場合、「MicrosoftアカウントにWindows Helloサインインを要求する」は既定でオンです。しかも、「MicrosoftアカウントにWindows Helloサインインを要求する」スイッチはローカルアカウントの「設定」アプリには表示されません。そのため、「MicrosoftアカウントにWindows Helloサインインを要求する」スイッチをオンからオフに切り替えることができません（画面6）。

画面6　「MicrosoftアカウントにWindows Helloサインインを要求する」スイッチをオン／オフできるのは、MicrosoftアカウントまたはAzure ADアカウントだけ

　筆者はMicrosoftアカウントによる「MicrosoftアカウントにWindows Helloサインインを要求する」スイッチのオン／オフとレジストリ値の変化を監視することで、このスイッチを保存しているレジストリの場所を突き止めました。

　それは以下の場所にあります。このレジストリキーの値でオフにすることで、ローカルアカウントだけの構成であっても「ユーザーアカウント」コントロールパネルに「ユーザーがこのコンピューターを使うには、ユーザー名とパスワードの入力が必要」チェックボックスを復活させることができました。

• キー：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess\Device
• 値：DevicePasswordLessBuildVersion（REG_DWORD）
• 値のデータ：2（オン、新規インストールの既定）または0（オフ）

　自動ログオンの構成は、ローカルにパスワードを何らかの形で保存することになります。本来はお勧めできるものではないため、詳しい手順は説明しません。また、筆者の方法は公式なものではないので、正確性や安全性を保証できないことにも留意してください。

　ちなみに、筆者が確認した限り、機能更新プログラムでWindows 10 バージョン1909以前からアップグレードした場合は、「PasswordLess\Device」キーと値は存在せず、Microsoftアカウントのサインインオプション「MicrosoftアカウントにWindows Helloサインインを要求する」（ローカルアカウントには非表示）の既定はオフでした。「MicrosoftアカウントにWindows Helloサインインを要求する」をオン／オフを操作すると、初めてこれらのキーと値が作成されるようになっていました。

昔ながらの自動ログオンの構成は引き続き利用可能、ただしご利用は慎重に！

　以下の古いMicrosoftサポート情報で説明しているレガシーな自動ログオンの構成（DefaultPasswordにクリアテキストでパスワードの保存）や、Windows Sysinternalsの「Autologon」ユーティリティーによる自動ログオンの構成（パスワードを暗号化してレジストリの別の場所に保存する以外はMicrosoftサポート情報の構成と同様）は、最新のWindows 10でも機能しました（画面7）。確認されていない新しい方法を試すよりも、実績のあるレガシーな方法が利用できることも覚えておきましょう。

• Windowsで自動ログオン機能を有効にする方法（Microsoftサポート）
• Autologon［英語］（Windows Sysinternals）

画面7　Windows SysinternalsのAutologonユーティリティーを利用した自動ログオンの構成

　最後に、ユーザー名とパスワードの組み合わせという、レガシーな資格情報の認証に基づいた自動ログオンは、今日のPC環境では決してお勧めできるものではありません。例えば、上記のMicrosoftサポート情報「324737」の方法は、認証された一般ユーザー（Authenticated Usersグループのメンバー）がリモートからでも読み取り可能なレジストリ値（DefaultPassword）にユーザーのパスワードをクリアテキストで保存することになります（ただし、Windows 10の既定ではネットワーク経由での参照はアクセスが拒否されます）。

　Autologonは同様のレジストリ設定を安全に行うものですが、パスワードはクリアテキストではなく、レジストリの安全な場所（HKEY_LOCAL_MACHINE\SECURITYの下）に暗号化されて保存されます。Autologonによる自動ログオンの構成は、おそらく「ユーザーアカウント」コントロールパネルによる設定と同等です。

　自動運用のためにどうしても必要であり、物理的およびネットワーク経由でのアクセスから適切に保護されているのでない限り、ユーザー名とパスワードの組み合わせによる自動ログオンの構成はするべきではありません。できる限り、最新でより安全な認証方法を利用しましょう。また、Windows 10は更新やサインインエクスペリエンスを最適化するために、自動ログオンしてロックするという機能を持ちます。レガシーな自動ログオンとこれらの機能を併用すると、意図しない挙動になる可能性があることにも注意しましょう。

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（2019-2020）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。