次の方法で共有


ポリシー CSP - ADMX_CredSsp

ヒント

この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML でデータ型を <Format>chr</Format>として指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。

SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。

AllowDefaultCredentials

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefaultCredentials

このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

このポリシー設定は、信頼された X509 証明書または Kerberos を使用してサーバー認証が実現された場合に適用されます。

  • このポリシー設定を有効にした場合は、ユーザーの既定の資格情報を委任できるサーバーを指定できます (既定の資格情報は、最初に Windows にログオンするときに使用する資格情報です)。

このポリシーは、ユーザーが次回 Windows を実行しているコンピューターにサインオンすると有効になります。

  • このポリシー設定を無効にするか、(既定で) 構成しない場合、既定の資格情報の委任はどのコンピューターにも許可されません。 この委任の動作に応じてアプリケーションが認証に失敗する可能性があります。 詳細については、「KB」を参照してください。

KB の FWlink:

https://go.microsoft.com/fwlink/?LinkId=301508

"既定の資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字を使用できます。

例えば:

TERMSRV/host.humanresources.fabrikam.com コンピューターで実行されているリモート デスクトップ セッション ホスト host.humanresources.fabrikam.com。

TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 AllowDefaultCredentials
フレンドリ名 既定の資格情報の委任を許可する
場所 [コンピューターの構成]
パス システム > 資格情報の委任
レジストリ キー名 Software\Policies\Microsoft\Windows\CredentialsDelegation
レジストリ値の名前 AllowDefaultCredentials
ADMX ファイル名 CredSsp.admx

AllowDefCredentialsWhenNTLMOnly

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly

このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

このポリシー設定は、NTLM 経由でサーバー認証が達成された場合に適用されます。

  • このポリシー設定を有効にした場合は、ユーザーの既定の資格情報を委任できるサーバーを指定できます (既定の資格情報は、最初に Windows にログオンするときに使用する資格情報です)。

  • このポリシー設定を無効にするか、(既定で) 構成しない場合、既定の資格情報の委任はどのマシンにも許可されません。

"NTLM 専用サーバー認証による既定の資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字を使用できます。

例えば:

TERMSRV/host.humanresources.fabrikam.com コンピューターで実行されているリモート デスクトップ セッション ホスト host.humanresources.fabrikam.com。

TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 AllowDefCredentialsWhenNTLMOnly
フレンドリ名 NTLM 専用サーバー認証を使用した既定の資格情報の委任を許可する
場所 [コンピューターの構成]
パス システム > 資格情報の委任
レジストリ キー名 Software\Policies\Microsoft\Windows\CredentialsDelegation
レジストリ値の名前 AllowDefCredentialsWhenNTLMOnly
ADMX ファイル名 CredSsp.admx

AllowEncryptionOracle

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowEncryptionOracle

暗号化 Oracle 修復。

このポリシー設定は、CredSSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

CredSSP プロトコルの一部のバージョンでは、クライアントに対する暗号化 Oracle 攻撃に対して脆弱です。 このポリシーは、脆弱なクライアントとサーバーとの互換性を制御します。 このポリシーを使用すると、暗号化 Oracle の脆弱性に必要な保護レベルを設定できます。

このポリシー設定を有効にすると、次のオプションに基づいて CredSSP バージョンのサポートが選択されます。

強制的に更新されたクライアント: CredSSP を使用するクライアント アプリケーションは、セキュリティで保護されていないバージョンにフォールバックできず、CredSSP を使用するサービスでは、パッチが適用されていないクライアントは受け入れられません。 すべてのリモート ホストが最新バージョンをサポートするまで、この設定を展開しないでください。

軽減: CredSSP を使用するクライアント アプリケーションは安全でないバージョンにフォールバックできませんが、CredSSP を使用するサービスは、パッチが適用されていないクライアントを受け入れます。 パッチが適用されていないクライアントの残りのリスクに関する重要な情報については、以下のリンクを参照してください。

脆弱: CredSSP を使用するクライアント アプリケーションでは、CredSSP を使用してセキュリティで保護されていないバージョンとサービスへのフォールバックをサポートすることで、リモート サーバーが攻撃に公開され、パッチが適用されていないクライアントが受け入れられます。

保護に関する脆弱性とサービス要件の詳細については、次を参照してください。 https://go.microsoft.com/fwlink/?linkid=866660

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 AllowEncryptionOracle
フレンドリ名 暗号化 Oracle 修復
場所 [コンピューターの構成]
パス システム > 資格情報の委任
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
ADMX ファイル名 CredSsp.admx

AllowFreshCredentials

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentials

このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

このポリシー設定は、信頼された X509 証明書または Kerberos を使用してサーバー認証が達成された場合に適用されます。

  • このポリシー設定を有効にした場合は、ユーザーの新しい資格情報を委任できるサーバーを指定できます (新しい資格情報は、アプリケーションの実行時に求められる資格情報です)。

  • このポリシー設定を (既定で) 構成しない場合は、適切な相互認証の後、任意のコンピューター (TERMSRV/*) で実行されているリモート デスクトップ セッション ホストへの新しい資格情報の委任が許可されます。

  • このポリシー設定を無効にした場合、新しい資格情報の委任はどのマシンにも許可されません。

"新しい資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカードを使用できます。

例えば:

TERMSRV/host.humanresources.fabrikam.com。

host.humanresources.fabrikam.com マシンで実行されているリモート デスクトップ セッション ホスト。

TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 AllowFreshCredentials
フレンドリ名 新しい資格情報の委任を許可する
場所 [コンピューターの構成]
パス システム > 資格情報の委任
レジストリ キー名 Software\Policies\Microsoft\Windows\CredentialsDelegation
レジストリ値の名前 AllowFreshCredentials
ADMX ファイル名 CredSsp.admx

AllowFreshCredentialsWhenNTLMOnly

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly

このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

このポリシー設定は、NTLM 経由でサーバー認証が達成された場合に適用されます。

  • このポリシー設定を有効にした場合は、ユーザーの新しい資格情報を委任できるサーバーを指定できます (新しい資格情報は、アプリケーションの実行時に求められる資格情報です)。

  • このポリシー設定を (既定で) 構成しない場合は、適切な相互認証の後、任意のコンピューター (TERMSRV/*) で実行されているリモート デスクトップ セッション ホストへの新しい資格情報の委任が許可されます。

  • このポリシー設定を無効にした場合、新しい資格情報の委任はどのマシンにも許可されません。

"NTLM 専用サーバー認証による新しい資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字を使用できます。

例えば:

TERMSRV/host.humanresources.fabrikam.com コンピューターで実行されているリモート デスクトップ セッション ホスト host.humanresources.fabrikam.com。

TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。

TERMSRV/*.humanresources.fabrikam.com humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 AllowFreshCredentialsWhenNTLMOnly
フレンドリ名 NTLM 専用サーバー認証で新しい資格情報の委任を許可する
場所 [コンピューターの構成]
パス システム > 資格情報の委任
レジストリ キー名 Software\Policies\Microsoft\Windows\CredentialsDelegation
レジストリ値の名前 AllowFreshCredentialsWhenNTLMOnly
ADMX ファイル名 CredSsp.admx

AllowSavedCredentials

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentials

このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

このポリシー設定は、信頼された X509 証明書または Kerberos を使用してサーバー認証が達成された場合に適用されます。

  • このポリシー設定を有効にした場合は、ユーザーの保存した資格情報を委任できるサーバーを指定できます (保存された資格情報は、Windows 資格情報マネージャーを使用して保存/記憶することを選択したサーバーです)。

  • このポリシー設定を (既定で) 構成しない場合、適切な相互認証の後、保存された資格情報の委任は、任意のコンピューターで実行されているリモート デスクトップ セッション ホスト (TERMSRV/*) に許可されます。

  • このポリシー設定を無効にした場合、保存された資格情報の委任はどのマシンにも許可されません。

"保存された資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字を使用できます。

例えば:

TERMSRV/host.humanresources.fabrikam.com コンピューターで実行されているリモート デスクトップ セッション ホスト host.humanresources.fabrikam.com。

TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。

TERMSRV/*.humanresources.fabrikam.com humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 AllowSavedCredentials
フレンドリ名 保存された資格情報の委任を許可する
場所 [コンピューターの構成]
パス システム > 資格情報の委任
レジストリ キー名 Software\Policies\Microsoft\Windows\CredentialsDelegation
レジストリ値の名前 AllowSavedCredentials
ADMX ファイル名 CredSsp.admx

AllowSavedCredentialsWhenNTLMOnly

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly

このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

このポリシー設定は、NTLM 経由でサーバー認証が達成された場合に適用されます。

  • このポリシー設定を有効にした場合は、ユーザーの保存した資格情報を委任できるサーバーを指定できます (保存された資格情報は、Windows 資格情報マネージャーを使用して保存/記憶することを選択したサーバーです)。

  • このポリシー設定を (既定で) 構成しない場合、適切な相互認証の後、クライアント コンピューターがドメインのメンバーでない場合は、任意のマシン (TERMSRV/*) で実行されているリモート デスクトップ セッション ホストへの保存された資格情報の委任が許可されます。 クライアントがドメインに参加している場合、既定では、保存された資格情報の委任はどのマシンにも許可されません。

  • このポリシー設定を無効にした場合、保存された資格情報の委任はどのマシンにも許可されません。

"NTLM 専用サーバー認証で保存された資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字を使用できます。

例えば:

TERMSRV/host.humanresources.fabrikam.com コンピューターで実行されているリモート デスクトップ セッション ホスト host.humanresources.fabrikam.com。

TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。

TERMSRV/*.humanresources.fabrikam.com humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 AllowSavedCredentialsWhenNTLMOnly
フレンドリ名 NTLM 専用サーバー認証を使用して保存された資格情報の委任を許可する
場所 [コンピューターの構成]
パス システム > 資格情報の委任
レジストリ キー名 Software\Policies\Microsoft\Windows\CredentialsDelegation
レジストリ値の名前 AllowSavedCredentialsWhenNTLMOnly
ADMX ファイル名 CredSsp.admx

DenyDefaultCredentials

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyDefaultCredentials

このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

  • このポリシー設定を有効にした場合、ユーザーの既定の資格情報を委任できないサーバーを指定できます (既定の資格情報は、最初に Windows にログオンするときに使用する資格情報です)。

  • このポリシー設定を無効にするか、(既定で) 構成しない場合、このポリシー設定ではサーバーは指定されません。

"既定の資格情報の委任を拒否する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できないターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字を使用できます。

例えば:

TERMSRV/host.humanresources.fabrikam.com コンピューターで実行されているリモート デスクトップ セッション ホスト host.humanresources.fabrikam.com。

TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。

このポリシー設定は、"既定の資格情報の委任を許可する" ポリシー設定と組み合わせて使用して、"既定の資格情報の委任を許可する" サーバーの一覧でワイルドカード文字を使用するときに許可されない特定のサーバーの例外を定義できます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 DenyDefaultCredentials
フレンドリ名 既定の資格情報の委任を拒否する
場所 [コンピューターの構成]
パス システム > 資格情報の委任
レジストリ キー名 Software\Policies\Microsoft\Windows\CredentialsDelegation
レジストリ値の名前 DenyDefaultCredentials
ADMX ファイル名 CredSsp.admx

DenyFreshCredentials

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyFreshCredentials

このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

  • このポリシー設定を有効にした場合、ユーザーの新しい資格情報を委任できないサーバーを指定できます (新しい資格情報は、アプリケーションの実行時に求められる資格情報です)。

  • このポリシー設定を無効にするか、(既定で) 構成しない場合、このポリシー設定ではサーバーは指定されません。

"新しい資格情報の委任を拒否する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できないターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字を使用できます。

例えば:

TERMSRV/host.humanresources.fabrikam.com コンピューターで実行されているリモート デスクトップ セッション ホスト host.humanresources.fabrikam.com。

TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。

このポリシー設定は、"新しい資格情報の委任を許可する" ポリシー設定と組み合わせて使用して、"新しい資格情報の委任を許可する" サーバーの一覧でワイルドカード文字を使用するときに許可されない特定のサーバーの例外を定義できます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 DenyFreshCredentials
フレンドリ名 新しい資格情報の委任を拒否する
場所 [コンピューターの構成]
パス システム > 資格情報の委任
レジストリ キー名 Software\Policies\Microsoft\Windows\CredentialsDelegation
レジストリ値の名前 DenyFreshCredentials
ADMX ファイル名 CredSsp.admx

DenySavedCredentials

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenySavedCredentials

このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

  • このポリシー設定を有効にした場合、ユーザーの保存した資格情報を委任できないサーバーを指定できます (保存された資格情報は、Windows 資格情報マネージャーを使用して保存/記憶することを選択したサーバーです)。

  • このポリシー設定を無効にするか、(既定で) 構成しない場合、このポリシー設定ではサーバーは指定されません。

"保存された資格情報の委任を拒否する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できないターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字を使用できます。

例えば:

TERMSRV/host.humanresources.fabrikam.com コンピューターで実行されているリモート デスクトップ セッション ホスト host.humanresources.fabrikam.com。

TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。

このポリシー設定は、"保存された資格情報の委任を許可する" ポリシー設定と組み合わせて使用して、"保存された資格情報の委任を許可する" サーバーの一覧でワイルドカード文字を使用するときに許可されない特定のサーバーの例外を定義できます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 DenySavedCredentials
フレンドリ名 保存された資格情報の委任を拒否する
場所 [コンピューターの構成]
パス システム > 資格情報の委任
レジストリ キー名 Software\Policies\Microsoft\Windows\CredentialsDelegation
レジストリ値の名前 DenySavedCredentials
ADMX ファイル名 CredSsp.admx

RestrictedRemoteAdministration

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration

制限付き管理者またはリモート資格情報ガード モードで実行している場合、参加しているアプリは、サインインしている資格情報や指定された資格情報をリモート ホストに公開しません。 制限付き管理者は、資格情報が委任されないため、リモート ホストから他のサーバーまたはネットワーク上にあるリソースへのアクセスを制限します。 リモート Credential Guard は、すべての要求をクライアント デバイスにリダイレクトするため、リソースへのアクセスを制限しません。

参加しているアプリ:

リモート デスクトップ クライアント。

  • このポリシー設定を有効にすると、次のオプションがサポートされます。

資格情報の委任を制限する: 参加しているアプリケーションは、制限付き管理者またはリモート資格情報ガードを使用してリモート ホストに接続する必要があります。

リモート資格情報ガードが必要: 参加しているアプリケーションは、リモート 資格情報ガードを使用してリモート ホストに接続する必要があります。

制限付き管理者が必要: 参加しているアプリケーションでは、制限付き管理者を使用してリモート ホストに接続する必要があります。

  • このポリシー設定を無効にした場合、または構成しなかった場合、制限付き管理者モードとリモート資格情報ガード モードは適用されず、参加しているアプリは資格情報をリモート デバイスに委任できます。

ほとんどの資格情報の委任を無効にするには、管理用テンプレートの設定 (コンピューターの構成\管理用テンプレート\System\Credentials 委任にあります) を変更することで、資格情報セキュリティ サポート プロバイダー (CredSSP) での委任を拒否するだけで十分な場合があります。

Windows 8.1と Windows Server 2012 R2 では、このポリシーを有効にすると、選択したモードに関係なく、制限付き管理モードが適用されます。 これらのバージョンでは、リモート資格情報ガードはサポートされていません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 RestrictedRemoteAdministration
フレンドリ名 リモート サーバーへの資格情報の委任を制限する
場所 [コンピューターの構成]
パス システム > 資格情報の委任
レジストリ キー名 Software\Policies\Microsoft\Windows\CredentialsDelegation
レジストリ値の名前 RestrictedRemoteAdministration
ADMX ファイル名 CredSsp.admx

ポリシー構成サービス プロバイダー