2025 年 9 月の Windows プレビュー更新プログラムをインストールした後、セキュリティ キーに PIN が必要になる場合があります

エクスペリエンスの更新

Windows 更新プログラムをインストールした後、 2025 年 9 月 29 日 —KB5065789 (OS ビルド 26200.6725 および 26100.6725) プレビュー以降の更新プログラムでは、PIN が必要でなくても、最初の登録時に PIN を作成してセキュリティ キーを使用してサインインすることが必要になる場合があります。

この動作は、PIN が設定されていない Fast IDentity Online 2 (FIDO2) セキュリティ キーを使用して認証中に証明書利用者 (RP) または ID プロバイダー (IDP) が User Verification = Preferred を要求した場合に発生します。

原因

これは、 WebAuthn 仕様に準拠し続けるために実装された、意図された動作です。

この動作のサポートは、2025 年 9 月 29 日のプレビュー更新プログラム (KB5065789) をインストールした後、Windows 11 デバイスへの段階的なロールアウトを開始しました。 ロールアウトは、Windows セキュリティ更新プログラム (2025 年 11 月 11 日) KB5068861 (OS ビルド 26200.7171 および 26100.7171) 以降の更新プログラムをインストールした後、Windows 11 クライアントで完了しました。

これらの更新プログラムでは、WebAuthn 認証フローの PublicKeyCredentialRequestOptions で証明書利用者 (RP) が "userVerification" を "preferred" に設定した場合に、セキュリティ キーの PIN を設定するためのサポートが追加されました。

背景

ユーザー検証 (UV) は、ユーザーが存在し、通常は PIN または生体認証を介してセキュリティ キーを使用することが承認されていることを確認します。 ユーザー検証は、 Discouraged、 Preferred、または Requiredに設定できます。 

User Verification = Preferred は、認証子が可能な場合に RP がユーザーの検証を望んでいることを意味します。 つまり、PIN をセットアップする必要がある場合は、プラットフォームで設定する必要があります。

User Verification = Discouraged は、RP がユーザー検証を必要としないことを意味します。 PIN が設定されていない場合は、そうする必要はありません (認証器の構成で必要な場合を除く)。

認証フローでの PIN 設定のサポートが追加され、登録フローと認証フローの両方で一貫性が保たれます。

新しい手順

証明書利用者がユーザーの検証を望まず、ユーザーがセキュリティ キーの PIN を作成または入力したくない場合は、PublicKeyCredentialRequestOptions で "userVerification" を "非推奨" に設定する必要があります。