表示名をここに入力する 説明をここに入力する 既定の資格情報の委任を許可する このポリシー設定は、Cred SSP コンポーネントを使用しているアプリケーション (例: リモート デスクトップ接続) に適用されます。 このポリシー設定は、サーバー認証が、信頼された X509 証明書または Kerberos を使用して行われた場合に適用されます。 このポリシー設定を有効にした場合、ユーザーの既定の資格情報をどのサーバーに委任できるかを指定できます (既定の資格情報は、Windows へ最初にログオンする際に使用する資格情報です)。 ポリシーは、Windows を実行しているコンピューターにユーザーが次回サインオンするときに有効になります。 このポリシー設定を無効にした場合、または構成しなかった場合 (既定)、既定の資格情報はどのコンピューターにも委任できません。この委任動作に依存するアプリケーションでは認証に失敗する可能性があります。詳細については、サポート技術情報を参照してください。 サポート技術情報の FWlink: http://go.microsoft.com/fwlink/?LinkId=301508 注: "既定の資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できる対象サーバーを表します。 SPN を指定する際、単一のワイルドカード文字を使用できます。 例: TERMSRV/host.humanresources.fabrikam.com host.humanresources.fabrikam.com コンピューターで動作しているリモート デスクトップ セッション ホスト TERMSRV/* すべてのコンピューターで動作しているリモート デスクトップ セッション ホスト。 TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのコンピューターで動作しているリモート デスクトップ セッション ホスト NTLM のみのサーバー認証で既定の資格情報の委任を許可する このポリシー設定は、Cred SSP コンポーネントを使用しているアプリケーション (例: リモート デスクトップ接続) に適用されます。 このポリシー設定は、サーバー認証が NTLM を通じて行われた場合に適用されます。 このポリシー設定を有効にした場合、ユーザーの既定の資格情報をどのサーバーに委任できるかを指定できます (既定の資格情報は、Windows へ最初にログオンする際に使用する資格情報です)。 このポリシー設定を無効にした場合、または構成しなかった場合 (既定)、既定の資格情報はどのコンピューターにも委任できません。 注: "NTLM のみのサーバー認証で既定の資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。SPN は、ユーザー資格情報を委任できる対象サーバーを表します。 SPN を指定する際、単一のワイルドカード文字を使用できます。 例: TERMSRV/host.humanresources.fabrikam.com host.humanresources.fabrikam.com コンピューターで動作しているリモート デスクトップ セッション ホスト TERMSRV/* すべてのコンピューターで動作しているリモート デスクトップ セッション ホスト。 TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのコンピューターで動作しているリモート デスクトップ セッション ホスト 新しい資格情報の委任を許可する このポリシー設定は、Cred SSP コンポーネントを使用しているアプリケーション (例: リモート デスクトップ接続) に適用されます。 このポリシー設定は、サーバー認証が、信頼された X509 証明書または Kerberos を通じて行われた場合に適用されます。 このポリシー設定を有効にした場合、ユーザーの新しい資格情報をどのサーバーに委任できるかを指定できます (新しい資格情報は、アプリケーションを実行するときに要求される資格情報です)。 このポリシー設定を構成しなかった場合 (既定)、適切な相互認証の後、新しい資格情報の委任は、任意のコンピューターで動作しているリモート デスクトップ セッション ホスト (TERMSRV/*) に許可されます。 このポリシー設定を無効にした場合、新しい資格情報の委任はどのコンピューターにも許可されません。 注: "新しい資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。SPN は、ユーザー資格情報を委任できる対象サーバーを表します。SPN を指定する際、単一のワイルドカードを使用できます。 例: TERMSRV/host.humanresources.fabrikam.com host.humanresources.fabrikam.com コンピューターで動作しているリモート デスクトップ セッション ホスト TERMSRV/* すべてのコンピューターで動作しているリモート デスクトップ セッション ホスト。 TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのコンピューターで動作しているリモート デスクトップ セッション ホスト NTLM のみのサーバー認証で新しい資格情報の委任を許可する このポリシー設定は、Cred SSP コンポーネントを使用しているアプリケーション (例: リモート デスクトップ接続) に適用されます。 このポリシー設定は、サーバー認証が NTLM を通じて行われた場合に適用されます。 このポリシー設定を有効にした場合、ユーザーの新しい資格情報をどのサーバーに委任できるかを指定できます (新しい資格情報は、アプリケーションを実行するときに要求される資格情報です)。 このポリシー設定を構成しなかった場合 (既定)、適切な相互認証の後、新しい資格情報の委任は、任意のコンピューターで動作しているリモート デスクトップ セッション ホスト (TERMSRV/*) に許可されます。 このポリシー設定を無効にした場合、新しい資格情報の委任はどのコンピューターにも許可されません。 注: "NTLM のみのサーバー認証で新しい資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。SPN は、ユーザー資格情報を委任できる対象サーバーを表します。SPN を指定する際、単一のワイルドカード文字を使用できます。 例: TERMSRV/host.humanresources.fabrikam.com host.humanresources.fabrikam.com コンピューターで動作しているリモート デスクトップ セッション ホスト TERMSRV/* すべてのコンピューターで動作しているリモート デスクトップ セッション ホスト。 TERMSRV/*.humanresources.fabrikam.com humanresources.fabrikam.com 内のすべてのコンピューターで動作しているリモート デスクトップ セッション ホスト 保存された資格情報の委任を許可する このポリシー設定は、Cred SSP コンポーネントを使用しているアプリケーション (例: リモート デスクトップ接続) に適用されます。 このポリシー設定は、サーバー認証が、信頼された X509 証明書または Kerberos を通じて行われた場合に適用されます。 このポリシー設定を有効にした場合、ユーザーの保存された資格情報をどのサーバーに委任できるかを指定できます (保存された資格情報は、Windows 資格情報マネージャーを使用して保存または記録できる資格情報です)。 このポリシー設定を構成しなかった場合 (既定)、適切な相互認証の後、保存された資格情報の委任は、任意のコンピューターで動作しているリモート デスクトップ セッション ホスト (TERMSRV/*) に許可されます。 このポリシー設定を無効にした場合、保存された資格情報の委任はどのコンピューターにも許可されません。 注: "保存された資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。SPN は、ユーザー資格情報を委任できる対象サーバーを表します。SPN を指定する際、単一のワイルドカード文字を使用できます。 例: TERMSRV/host.humanresources.fabrikam.com host.humanresources.fabrikam.com コンピューターで動作しているリモート デスクトップ セッション ホスト TERMSRV/* すべてのコンピューターで動作しているリモート デスクトップ セッション ホスト。 TERMSRV/*.humanresources.fabrikam.com humanresources.fabrikam.com 内のすべてのコンピューターで動作しているリモート デスクトップ セッション ホスト NTLM のみのサーバー認証で保存された資格情報の委任を許可する このポリシー設定は、Cred SSP コンポーネントを使用しているアプリケーション (例: リモート デスクトップ接続) に適用されます。 このポリシー設定は、サーバー認証が NTLM を通じて行われた場合に適用されます。 このポリシー設定を有効にした場合、ユーザーの保存された資格情報をどのサーバーに委任できるかを指定できます (保存された資格情報は、Windows 資格情報マネージャーを使用して保存または記録できる資格情報です)。 このポリシー設定を構成しなかった場合 (既定)、クライアント コンピューターがどのドメインのメンバーでもない場合、適切な相互認証の後、保存された資格情報の委任は、任意のコンピューターで動作しているリモート デスクトップ セッション ホスト (TERMSRV/*) に許可されます。クライアントがドメインに参加している場合、既定では、保存された資格情報の委任は、どのコンピューターにも許可されません。 このポリシー設定を無効にした場合、保存された資格情報の委任はどのコンピューターにも許可されません。 注: "NTLM のみのサーバー認証で保存された資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。SPN は、ユーザー資格情報を委任できる対象サーバーを表します。SPN を指定する際、単一のワイルドカード文字を使用できます。 例: TERMSRV/host.humanresources.fabrikam.com host.humanresources.fabrikam.com コンピューターで動作しているリモート デスクトップ セッション ホスト TERMSRV/* すべてのコンピューターで動作しているリモート デスクトップ セッション ホスト。 TERMSRV/*.humanresources.fabrikam.com humanresources.fabrikam.com 内のすべてのコンピューターで動作しているリモート デスクトップ セッション ホスト 資格情報の委任 既定の資格情報の委任を拒否する このポリシー設定は、Cred SSP コンポーネントを使用しているアプリケーション (例: リモート デスクトップ接続) に適用されます。 このポリシー設定を有効にした場合、ユーザーの既定の資格情報をどのサーバーに委任できないかを指定できます (既定の資格情報は、Windows へ最初にログオンする際に使用する資格情報です)。 このポリシー設定を無効にした場合、または構成しなかった場合 (既定)、このポリシー設定でどのサーバーも指定されません。 注: "既定の資格情報の委任を拒否する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。SPN は、ユーザー資格情報を委任できない対象サーバーを表します。SPN を指定する際、単一のワイルドカード文字を使用できます。 例: TERMSRV/host.humanresources.fabrikam.com host.humanresources.fabrikam.com コンピューターで動作しているリモート デスクトップ セッション ホスト TERMSRV/* すべてのコンピューターで動作しているリモート デスクトップ セッション ホスト。 TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのコンピューターで動作しているリモート デスクトップ セッション ホスト このポリシー設定は、"既定の資格情報の委任を許可する" ポリシー設定と組み合わせて使用できます。こうすることにより、"既定の資格情報の委任を許可する" サーバー一覧でワイルドカード文字を使用した場合に許可される特定のサーバーに対し、例外を定義できます。 新しい資格情報の委任を拒否する このポリシー設定は、Cred SSP コンポーネントを使用しているアプリケーション (例: リモート デスクトップ接続) に適用されます。 このポリシー設定を有効にした場合、ユーザーの新しい資格情報をどのサーバーに委任できないかを指定できます (新しい資格情報は、アプリケーションを実行するときに要求される資格情報です)。 このポリシー設定を無効にした場合、または構成しなかった場合 (既定)、このポリシー設定でどのサーバーも指定されません。 注: "新しい資格情報の委任を拒否する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。SPN は、ユーザー資格情報を委任できない対象サーバーを表します。SPN を指定する際、単一のワイルドカード文字を使用できます。 例: TERMSRV/host.humanresources.fabrikam.com host.humanresources.fabrikam.com コンピューターで動作しているリモート デスクトップ セッション ホスト TERMSRV/* すべてのコンピューターで動作しているリモート デスクトップ セッション ホスト。 TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのコンピューターで動作しているリモート デスクトップ セッション ホスト このポリシー設定は、"新しい資格情報の委任を許可する" ポリシー設定と組み合わせて使用できます。こうすることにより、"新しい資格情報の委任を許可する" サーバー一覧でワイルドカード文字を使用した場合に許可される特定のサーバーに対し、例外を定義できます。 保存された資格情報の委任を拒否する このポリシー設定は、Cred SSP コンポーネントを使用しているアプリケーション (例: リモート デスクトップ接続) に適用されます。 このポリシー設定を有効にした場合、ユーザーの保存された資格情報をどのサーバーに委任できないかを指定します (保存された資格情報は、Windows 資格情報マネージャーを使用して保存または記録できる資格情報です)。 このポリシー設定を無効にした場合、または構成しなかった場合 (既定)、このポリシー設定でどのサーバーも指定されません。 注: "保存された資格情報の委任を拒否する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。SPN は、ユーザー資格情報を委任できない対象サーバーを表します。SPN を指定する際、単一のワイルドカード文字を使用できます。 例: TERMSRV/host.humanresources.fabrikam.com host.humanresources.fabrikam.com コンピューターで動作しているリモート デスクトップ セッション ホスト TERMSRV/* すべてのコンピューターで動作しているリモート デスクトップ セッション ホスト。 TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのコンピューターで動作しているリモート デスクトップ セッション ホスト このポリシー設定は、"保存された資格情報の委任を許可する" ポリシー設定と組み合わせて使用できます。こうすることにより、"保存された資格情報の委任を許可する" サーバー一覧でワイルドカード文字を使用した場合に許可される特定のサーバーに対し、例外を定義できます。 リモート サーバーへの資格情報の委任を制限する 制限付き管理モードまたは Remote Credential Guard モードで実行中の場合、参加アプリは、サインインに使用された資格情報または指定された資格情報をリモート デバイスに公開しません。制限付き管理では、資格情報が委任されないため、リモート ホストから他のサーバーまたはネットワークに存在するリソースへのアクセスが制限されます。Remote Credential Guard では、すべての要求がリダイレクトによってクライアント デバイスに戻されるため、リソースへのアクセスは制限されません。 参加アプリ: リモート デスクトップ クライアント このポリシー設定を有効にした場合、次のオプションがサポートされます:   資格情報の委任を制限する: 参加アプリケーションは制限付き管理または Remote Credential Guard を使用してリモート ホストに接続する必要があります。   Remote Credential Guard を要求する: 参加アプリケーションは Remote Credential Guard を使用してリモート ホストに接続する必要があります。   制限付き管理を要求する: 参加アプリケーションは制限付き管理を使用してリモート ホストに接続する必要があります。 このポリシー設定を無効にするか、構成しなかった場合、制限付き管理モードと Remote Credential Guard モードは適用されず、参加アプリはリモート デバイスに資格情報を委任できます。 注意: ほとんどの資格情報の委任を無効にするには、管理用テンプレートの設定を変更して、Credential Security Support Provider (CredSSP) での委任を拒否するだけで十分です (この設定は、"コンピューターの構成\管理用テンプレート\システム\資格情報の委任" にあります)。 注意: Windows 8.1 および Windows Server 2012 R2 では、このポリシーを有効にすると、選択しているモードに関係なく制限付き管理モードが適用されます。これらのバージョンでは、Remote Credential Guard はサポートされていません。 Windows Vista 資格情報の委任を制限する Remote Credential Guard が必要 制限付き管理が必要 リモート ホストでエクスポート不可の資格情報の委任を許可する リモート ホストでエクスポート不可の資格情報の委任を許可する 資格情報の委任を使用する場合、エクスポート可能なバージョンの資格情報がデバイスからリモート ホストに提供されます。これにより、ユーザーの資格情報はリモート ホスト上の攻撃者によって盗み取られる危険にさらされます。 このポリシー設定を有効にした場合、ホストは制限付き管理モードまたは Remote Credential Guard モードをサポートします。 このポリシー設定を無効にするか、構成しなかった場合、制限付き管理モードと Remote Credential Guard モードはサポートされません。ユーザーは常に資格情報をホストに渡す必要があります。 暗号化オラクルの修復 暗号化オラクルの修復 このポリシー設定は、CredSSP コンポーネント (例: リモート デスクトップ接続) を使用するアプリケーションに適用されます。 一部のバージョンの CredSSP プロトコルには、クライアントに対する暗号化オラクル攻撃を受けやすい脆弱性があります。このポリシーは、攻撃を受けやすいクライアントおよびサーバーとの互換性を制御します。このポリシーを使用すると、暗号化オラクル攻撃に対する脆弱性について、望ましい保護レベルを設定できます このポリシー設定を有効にした場合、サポート対象の CredSSP バージョンは、以下のオプションに基づいて選択されます。 クライアントの強制更新: CredSSP を使用するクライアント アプリケーションは、安全でないバージョンにフォールバックすることができなくなります。CredSSP を使用するサービスは、パッチ未適用のクライアントを拒否します。注: この設定は、すべてのリモート ホストが最新バージョンに対応するまで展開しないでください。 軽減: CredSSP を使用するアプリケーションは、安全でないバージョンにフォールバックすることができなくなります。ただし、CredSSP を使用するサービスは、パッチ未適用のクライアントを拒否しません。パッチ未適用のクライアントが原因で生じるリスクに関する重要な情報については、以下のリンクを参照してください。 脆弱: CredSSP を使用するクライアント アプリケーションが安全でないバージョンにフォールバックできるようになり、リモート サーバーが攻撃に対して無防備な状態になります。CredSSP を使用するサービスは、パッチ未適用のクライアントを拒否しません。 脆弱性と保護のサービス処理要件について詳しくは、https://go.microsoft.com/fwlink/?linkid=866660 を参照してください。 更新済みクライアントの強制 緩和 脆弱性 サーバーを一覧に追加: OS の既定値と上記の入力値を連結する サーバーを一覧に追加: OS の既定値と上記の入力値を連結する サーバーを一覧に追加: OS の既定値と上記の入力値を連結する サーバーを一覧に追加: OS の既定値と上記の入力値を連結する サーバーを一覧に追加: OS の既定値と上記の入力値を連結する サーバーを一覧に追加: OS の既定値と上記の入力値を連結する サーバーを一覧に追加: OS の既定値と上記の入力値を連結する サーバーを一覧に追加: OS の既定値と上記の入力値を連結する サーバーを一覧に追加: OS の既定値と上記の入力値を連結する 次の制限付きモードを使用する: 保護レベル: