Kerberos の設定 Kerberos 認証プロトコルの構成設定 Kerberos フォレストの検索順序を使用するこのポリシー設定では、2 つの部分で構成されるサービスプリンシパル名 (SPN) の解決を試行するときに Kerberos クライアントによって検索される信頼する側のフォレストの一覧を定義します。このポリシー設定を有効にすると、2 つの部分で構成される SPN を解決できない場合にこの一覧のフォレストが Kerberos クライアントによって検索されます。一致するものが見つかると、Kerberos クライアントは適切なドメインに紹介チケットを要求します。このポリシー設定を無効にした場合、または構成しなかった場合は、SPN を解決するために一覧のフォレストが検索されません。名前が見つからないために Kerberos クライアントで SPN を解決できない場合は、NTLM 認証が使用される場合があります。ホスト名から Kerberos 領域へのマッピングを定義するこのポリシー設定では、Kerberos 領域にマップする DNS ホスト名と DNS サフィックスを指定することができます。このポリシー設定を有効にすると、Kerberos 領域にマップするようにグループポリシーで定義された DNS ホスト名と DNS サフィックスの一覧を表示して変更することができます。マッピングの一覧を表示するには、このポリシー設定を有効にし、[表示] ボタンをクリックします。マッピングを追加するには、このポリシー設定を有効にし、構文に注意して [表示] ボタンをクリックします。次に、[内容の表示] ダイアログボックスの [値の名前] 列に領域名を入力し、適切な構文形式を使用して [値] 列に DNS ホスト名と DNS サフィックスの一覧を入力します。一覧からマッピングを削除するには、削除するマッピングエントリをクリックし、Del キーを押します。マッピングを編集するには、一覧から現在のエントリを削除し、異なるパラメーターを持つ新しいエントリを追加します。このポリシー設定を無効にすると、グループポリシーで定義された、ホスト名から Kerberos 領域へのマッピング一覧が削除されます。このポリシー設定を構成しないと、ホスト名から Kerberos 領域へのマッピングがローカルレジストリで定義されている場合、そのマッピングが使用されます。相互運用可能な Kerberos V5 領域設定を定義するこのポリシー設定では、このポリシー設定の定義に従って、相互運用可能な Kerberos V5 領域を使用して認証できるように、Kerberos クライアントを構成します。このポリシー設定を有効にすると、相互運用可能な Kerberos V5 領域とその設定の一覧を表示および変更することができます。相互運用可能な Kerberos V5 領域の一覧を表示するには、このポリシー設定を有効にし、[表示] ボタンをクリックします。相互運用可能な Kerberos V5 領域を追加するには、このポリシー設定を有効にし、構文に注意して [表示] ボタンをクリックします。次に、[内容の表示] ダイアログボックスの [値の名前] 列に相互運用可能な Kerberos V5 領域名を入力し、適切な構文形式を使用して [値] 列にホスト KDC の領域フラグとホスト名を入力します。一覧から相互運用可能な Kerberos V5 領域の [値の名前] や [値] のエントリを削除するには、そのエントリをクリックし、Del キーを押します。マッピングを編集するには、一覧から現在のエントリを削除し、異なるパラメーターを持つ新しいエントリを追加します。このポリシー設定を無効にすると、グループポリシーで定義された相互運用可能な Kerberos V5 領域の設定が削除されます。このポリシー設定を構成しないと、相互運用可能な Kerberos V5 設定がローカルレジストリで定義されている場合、その設定が使用されます。 KDC の厳密な検証を必須にするこのポリシー設定は、スマートカードとシステム証明書によるログオンのための KDC 証明書検証時の Kerberos クライアントの動作を制御します。このポリシー設定を有効にした場合、KDC の X.509 証明書に拡張キー使用法 (EKU) 拡張子の KDC キー用オブジェクト識別子が含まれていること、および KDC の X.509 証明書にドメインの DNS 名と一致する dNSName subjectAltName (SAN) 拡張子が含まれていることが、Kerberos クライアントに必要です。コンピューターがドメインに参加している場合は、NTAuth ストアの証明機関 (CA) によって KDC の X.509 証明書に署名が付加されていることが、Kerberos クライアントに必要です。コンピューターがドメインに参加していない場合、Kerberos クライアントにより、KDC の X.509 証明書のパス検証にスマートカードのルート CA 証明書が使用されることが許可されます。このポリシー設定を無効にした場合、または構成しなかった場合、Kerberos クライアントに必要になるのは、どのサーバーに対しても発行できる EKU 拡張子のサーバー認証用オブジェクト識別子が KDC 証明書に含まれていることのみです。リモートプロシージャコールでターゲット SPN の厳密な一致を必須にするこのポリシー設定を使用すると、このシステムで生成された SPN を含むチケットの暗号化を Kerberos で解除できるようにこのサーバーを構成することができます。アプリケーションで、サービスプリンシパル名 (SPN) の値が NULL の状態でこのサーバーへのリモートプロシージャコール (RPC) が試行されると、Windows 7 以降が実行されているコンピューターでは SPN を生成して Kerberos の使用が試行されます。このポリシー設定を有効にした場合、LocalSystem または NetworkService で実行中のサービスでのみこれらの接続の受け入れが許可され、LocalSystem または NetworkService 以外の識別情報で実行中のサービスでは認証に失敗する可能性があります。このポリシー設定を無効にした場合または構成しなかった場合、このシステムで生成された SPN を使用することによって、着信接続の受け入れがすべてのサービスで許可されます。 Kerberos クライアントの KDC プロキシサーバーを指定するこのポリシー設定では、DNS サフィックス名に基づいて、ドメインの KDC プロキシサーバーに対する Kerberos クライアントのマッピングを構成します。このポリシー設定を有効にすると、Kerberos クライアントは、構成済みのマッピングに基づくドメインコントローラーが見つからない場合に、ドメインの KDC プロキシサーバーを使用します。KDC プロキシサーバーをドメインにマップするには、このポリシー設定を有効にして、[表示] をクリックします。その後、オプションウィンドウで説明されている構文を使用して KDC プロキシサーバー名をドメインの DNS 名にマップします。次に、[内容の表示] ダイアログボックスの [値の名前] 列に DNS サフィックス名を入力し、適切な構文形式を使用して [値] 列にプロキシサーバーの一覧を入力します。マッピングの一覧を表示するには、このポリシー設定を有効にし、[表示] ボタンをクリックします。一覧からマッピングを削除するには、削除するマッピングエントリをクリックし、Del キーを押します。マッピングを編集するには、一覧から現在のエントリを削除し、異なるパラメーターを持つ新しいエントリを追加します。このポリシー設定を無効にした場合または構成しなかった場合、グループポリシーで定義されている KDC プロキシサーバーは、Kerberos クライアントに設定されません。 KDC プロキシサーバーの SSL 証明書の失効確認を無効にするこのポリシー設定では、接続先 KDC プロキシサーバーの SSL 証明書の失効確認を無効にできます。このポリシー設定を有効にすると、Kerberos クライアントは、KDC プロキシサーバーの SSL 証明書の失効確認を無視します。このポリシー設定は KDC プロキシ接続のトラブルシューティングを行う場合にのみ使用してください。警告: 失効確認を無視すると、証明書によって表されるサーバーの有効性は保証されません。このポリシー設定を無効にした場合、または構成しなかった場合は、Kerberos クライアントが SSL 証明書の失効確認を実行します。失効確認に失敗した場合、KDC プロキシサーバーへの接続は確立されません。 Kerberos 防御が使用できないときは認証要求を失敗とするこのポリシー設定では、コンピューターがドメインコントローラーと通信するときに、Kerberos メッセージ交換での防御の使用を要求するかどうかを制御します。警告: [ダイナミックアクセス制御と Kerberos 防御をサポートする] を有効にすることによって、ドメインで Kerberos 防御がサポートされていない場合、このポリシー設定が有効にされているコンピューターからのすべてのユーザー認証が失敗します。このポリシー設定を有効にすると、認証サービス (AS) およびチケット保証サービス (TGS) のメッセージがドメインコントローラーと交換されるときに限り、ドメイン内のクライアントコンピューターは Kerberos 防御の使用を要求します。注: Kerberos 防御をサポートするには、Kerberos グループポリシーの [Kerberos クライアントで信頼性情報、複合認証、および Kerberos 防御をサポートする] も有効にする必要があります。このポリシー設定を無効にした場合または構成しなかった場合、ターゲットドメインのサポート状況により可能であれば、そのドメイン内のクライアントコンピューターは Kerberos 防御を使用します。複合認証をサポートするこのポリシー設定は、デバイスの Active Directory アカウントを複合認証用に構成するかどうかを制御します。アクセス制御に使用する複合認証の提供をサポートするには、リソースアカウントのドメイン内に、要求に対応できる数のドメインコントローラーが必要です。ドメイン管理者は、このポリシーをサポートするすべてのドメインコントローラーに対して、[ダイナミックアクセス制御と Kerberos 防御をサポートする] ポリシーを構成する必要があります。このポリシー設定を有効にする場合、次のオプションを使用してデバイスの Active Directory アカウントを複合認証用に構成します。なし: このコンピューターアカウントに対して複合認証は提供されません。自動: 1 つ以上のアプリケーションがダイナミックアクセス制御に対応するように構成されている場合、このコンピューターアカウントに対して複合認証が提供されます。常時: このコンピューターアカウントに対して常に複合認証が提供されます。このポリシー設定を無効にすると、[なし] が使用されます。このポリシー設定を構成しない場合、[自動] が使用されます。なし自動常時 Kerberos SSPI コンテキストトークンのバッファーサイズの最大値を設定するこのポリシー設定では、SSPI コンテキストトークンのバッファーサイズの最大値を要求するアプリケーションに返される値を設定できます。コンテキストトークンのバッファーサイズを使用して、アプリケーションでは SSPI コンテキストトークンサイズの最大値を予測し、割り当てます。バッファーは、認証要求処理とグループメンバーシップに応じて、SSPI コンテキストトークンの実際のサイズより小さくなることがあります。このポリシー設定を有効にすると、Kerberos クライアントまたはサーバーは、構成された値とローカルで許容される最大値のうち、小さい方の値を使用します。このポリシー設定を無効にする場合または構成しない場合、Kerberos クライアントまたはサーバーは、ローカルで構成された値と既定値のどちらかを使用します。注: このポリシー設定では、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters 内の既存の MaxTokenSize レジストリ値が構成されます。このレジストリ値は Windows XP と Windows Server 2003 から追加されたもので、既定値は 12,000 バイトです。Windows 8 以降の既定値は 48,000 バイトです。HTTP では認証コンテキストトークンの base64 エンコーディングがあるため、この値を 48,000 バイト以上に設定しないことをお勧めします。 Kerberos クライアントで信頼性情報、複合認証、および Kerberos 防御をサポートするこのポリシー設定では、これらの機能をサポートするドメインで Kerberos 認証を使用して、ダイナミックアクセス制御と Kerberos 防御で使用する信頼性情報および複合認証をデバイスが要求するかどうかを制御します。このポリシー設定を有効にした場合、クライアントコンピューターは、信頼性情報を要求し、ダイナミックアクセス制御と Kerberos 防御で使用する信頼性情報および複合認証をサポートするドメインで複合認証の作成と Kerberos メッセージの防御に必要な情報を提供します。このポリシー設定を無効にした場合、または構成しなかった場合、クライアントデバイスは信頼性情報を要求しないため、複合認証の作成と Kerberos メッセージの防御に必要な情報が提供されません。デバイスでホストされているサービスは、Kerberos プロトコル遷移を使用してクライアントの信頼性情報を取得できなくなります。常に複合認証を先に送信するこのポリシー設定では、リソースドメインにより複合 ID が要求されるときにデバイスが複合認証要求を常に送信するかどうかを制御します。注: ドメインコントローラーが複合認証を要求するためには、"KDC で信頼性情報、複合認証、および Kerberos 防御をサポートする" ポリシーおよび "複合認証を要求する" ポリシーをリソースアカウントドメインで構成して有効にする必要があります。このポリシー設定を有効にした場合、リソースドメインにより複合認証が要求されると、複合認証をサポートするデバイスは常に複合認証要求を送信します。このポリシー設定を無効にした場合、または構成しなかった場合、リソースドメインにより複合認証が要求されると、デバイスは、先に非複合認証要求を送信し、その後、サービスによって複合認証が要求されるときに複合認証要求を送信します。証明書を使用したデバイス認証をサポートする証明書を使用したデバイスの認証をサポートするには、コンピューターアカウントの証明書による認証をサポートしているデバイスアカウントドメイン内の DC に接続できる必要があります。このポリシー設定では、ドメインでデバイスの証明書を使用した認証を行うために、Kerberos に対するサポートを設定できます。このポリシー設定を有効にした場合、次のオプションに基づいてデバイスの資格情報が選択されます。自動: デバイスの証明書を使用してデバイスの認証を試みます。証明書を使用したコンピューターアカウントの認証を DC がサポートしていない場合は、パスワードによる認証を試みます。強制: 常にデバイスの証明書を使用してデバイスの認証を試みます。証明書を使用したコンピューターアカウントの認証をサポートする DC が見つからない場合、認証は失敗します。このポリシー設定を無効にした場合、証明書は使用されません。このポリシー設定を構成しなかった場合、[自動] が使用されます。エンタープライズ PKI の構成については、次のガイドを参照してください: https://go.microsoft.com/fwlink/?linkid=2340158 自動強制ログオン中にAzure AD Kerberos チケット保証チケットの取得を許可するこのポリシー設定を使用すると、ログオン時にAzure AD Kerberos チケット保証チケットを取得できます。このポリシー設定を無効にした場合、または構成しなかった場合、ログオン時に Azure AD Kerberos チケット保証チケットは取得されません。このポリシー設定を有効にした場合、ログオン時にAzure AD Kerberos チケット保証チケットが取得されます。証明書ログオンのハッシュアルゴリズムを構成するこのポリシー設定は、証明書認証を実行するときに Kerberos クライアントで使用されるハッシュまたはチェックサムのアルゴリズムを制御します。このポリシーを有効にした場合、各アルゴリズムで 4 つの状態のうち 1 つを構成できるようになります。 - "既定" の場合、アルゴリズムは推奨されている状態に設定されます。 - "サポート" の場合、アルゴリズムの使用が有効になります。既定で無効にされたアルゴリズムを有効にすると、セキュリティが低下するおそれがあります。 - "監査対象" の場合、アルゴリズムの使用が有効になり、それが使用されるたびにイベント (ID 206) が報告されます。この状態は、そのアルゴリズムが使用されておらず、無効にして差し支えないことを確認することを意図したものです。 - "サポートされない" の場合、アルゴリズムの使用が無効になります。この状態は、安全ではないと見なされるアルゴリズムを対象としています。このポリシーを無効にした場合、または構成しなかった場合、各アルゴリズムは "既定" 状態と見なされます。 Windows Kerberos クライアントでサポートされているハッシュおよびチェックサムのアルゴリズムと、その既定の状態の詳細については、https://go.microsoft.com/fwlink/?linkid=2169037 をご覧ください。この構成によって生成されるイベント: 205、206、207、208。既定値サポート監査対象サポートされていません委任された管理されたサービスアカウントログオンを有効にするこのポリシー設定は、このコンピューターの委任された管理されたサービスアカウントログオンを有効または無効にします。このポリシー設定を有効にすると、委任された管理されたサービスアカウントトログオンが Kerberos クライアントでサポートされます。このポリシーには特定の前提条件があることにご注意ください。新しい委任された管理されたサービスアカウントを作成するための前提条件と手順については、https://go.microsoft.com/fwlink/?linkid=2250379 を参照してください。このポリシー設定を無効にするか構成しない場合、委任された管理されたサービスアカウントトログオンは Kerberos クライアントでサポートされません。ホスト名から Kerberos 領域へのマッピングを次のように定義する構文: Kerberos 領域名を値の名前として入力します。 Kerberos 領域にマップするホスト名と DNS サフィックスを値として入力します。複数の名前を追加するには、エントリを ";" で区切ります。注: DNS サフィックスを指定するには、エントリの前に '.' ピリオドを付けます。ホスト名のエントリの場合は、先頭に '.' ピリオドを指定しないでください。例: 値の名前: MICROSOFT.COM 値: .microsoft.com; .ms.com; computer1.fabrikam.com; 上の例の場合。DNS サフィックスが *.microsoft.com または *.ms.com のプリンシパルは、MICROSOFT.COM Kerberos 領域にマップされます。また、ホスト名 computer1.fabrikam.com も MICROSOFT.COM Kerberos 領域にマップされます。相互運用可能な Kerberos V5 領域設定を次のように定義する: 構文: 相互運用可能な Kerberos V5 領域名を値の名前として入力します。領域のフラグと KDC のホスト名を値として入力します。領域のフラグをタグ <f> と </f> で囲みます。 KDC の一覧をタグ <k> と </k> で囲みます。複数の KDC 名を追加するには、エントリをセミコロン ";" で区切ります。例: 値の名前: TEST.COM 値: <f>0x00000004</f><k>kdc1.test.com; kdc2.test.com</k> 別の例: 値の名前: REALM.FABRIKAM.COM 値: <f>0x0000000E</f> 領域: 構文: DMSA が存在する可能性のある領域の一覧を入力してください。完全修飾ドメイン名 (FQDN) と短い名前の両方を入力してください。 1 行につき 1 つの領域を入力してください。詳細: Kerberos クライアントは、一覧表示された領域について、DMSA 対応ドメインコントローラーの検索を試みます。領域が指定されていない場合、Kerberos クライアントはすべての領域の DMSA 対応ドメインコントローラーを検索しようとします。モード: 検索対象のフォレスト構文: このポリシーが有効になっているときに検索するフォレストの一覧を入力してください。完全修飾ドメイン名 (FQDN) の形式を使用してください。複数の検索エントリはセミコロン ";" で区切ってください。詳細: フォレストの検索順序ではまずグローバルカタログが使用され、次に一覧に表示されている順序で検索されるため、現在のフォレストを一覧に含める必要はありません。フォレスト内のすべてのドメインを個別に一覧に含める必要はありません。信頼する側のフォレストを一覧に含めると、フォレスト内のすべてのドメインが検索されます。最適なパフォーマンスを得るためには、一致する可能性が高い順序でフォレストを一覧に含めてください。 KDC プロキシサーバーの設定を次のように定義する: 構文: DNS サフィックス名を値の名前として入力します。 DNS サフィックス名では次の 3 つの形式を使用できます。優先順位が高い順に示します。完全一致: host.contoso.com サフィックス一致: .contoso.com 既定の一致: * プロキシサーバー名を値として入力します。プロキシサーバー名は、必ずタグ <https /> で囲みます。複数のプロキシサーバー名を追加するには、エントリをスペースまたはコンマ "," で区切ります。例: 値の名前: .contoso.com 値: <https proxy1.contoso.com proxy2.contoso.com /> 別の例: 値の名前: * 値: <https proxy.contoso.com /> クライアントのデバイス情報を使用する認証をサポートする: 最大サイズ証明書を使用したデバイス認証の動作: SHA-1 SHA-256 SHA-384 SHA-512