ポリシー CSP - ADMX_Kerberos
ヒント
この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML でデータ型を <Format>chr</Format>として指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。
SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。
AlwaysSendCompoundId
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/AlwaysSendCompoundId
このポリシー設定は、リソース ドメインが複合 ID を要求するときに、デバイスが常に複合認証要求を送信するかどうかを制御します。
注
ドメイン コントローラーが複合認証を要求するには、リソース アカウント ドメインでポリシー "要求、複合認証、Kerberos 防御の KDC サポート" と "複合認証の要求" を構成して有効にする必要があります。
このポリシー設定を有効にし、リソース ドメインが複合認証を要求した場合、複合認証をサポートするデバイスは常に複合認証要求を送信します。
このポリシー設定を無効にするか、構成しなかった場合、リソース ドメインが複合認証を要求すると、サービスが複合認証を要求したときに、デバイスは最初に複合認証要求を送信し、次に複合認証要求を送信します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | AlwaysSendCompoundId |
| フレンドリ名 | 常に複合認証を最初に送信する |
| 場所 | [コンピューターの構成] |
| パス | システム > Kerberos |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| レジストリ値の名前 | AlwaysSendCompoundId |
| ADMX ファイル名 | Kerberos.admx |
DevicePKInitEnabled
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/DevicePKInitEnabled
証明書を使用したデバイス認証のサポートには、コンピューター アカウントの証明書認証をサポートするデバイス アカウント ドメイン内の DC への接続が必要です。
このポリシー設定を使用すると、Kerberos のサポートを設定して、デバイスの証明書を使用してドメインへの認証を試行できます。
- このポリシー設定を有効にすると、次のオプションに基づいてデバイスの資格情報が選択されます。
自動: デバイスは証明書を使用して認証を試みます。 DC が証明書を使用したコンピューター アカウント認証をサポートしていない場合は、パスワードによる認証が試行されます。
強制: デバイスは常に証明書を使用して認証されます。 証明書を使用したコンピューター アカウント認証をサポートする DC が見つからない場合、認証は失敗します。
このポリシー設定を無効にした場合、証明書は使用されません。
このポリシー設定を構成しない場合は、自動が使用されます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DevicePKInitEnabled |
| フレンドリ名 | 証明書を使用したデバイス認証のサポート |
| 場所 | [コンピューターの構成] |
| パス | システム > Kerberos |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| レジストリ値の名前 | DevicePKInitEnabled |
| ADMX ファイル名 | Kerberos.admx |
HostToRealm
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/HostToRealm
このポリシー設定を使用すると、どの DNS ホスト名と、どの DNS サフィックスを Kerberos 領域にマップするかを指定できます。
このポリシー設定を有効にすると、グループ ポリシーで定義されている Kerberos 領域にマップされた DNS ホスト名と DNS サフィックスの一覧を表示および変更できます。 マッピングの一覧を表示するには、ポリシー設定を有効にし、[表示] ボタンをクリックします。 マッピングを追加するには、ポリシー設定を有効にし、構文を書き留め、[表示] をクリックします。 [値名] 列の [コンテンツの表示] ダイアログ ボックスに、領域名を入力します。 [値] 列に、適切な構文形式を使用して、DNS ホスト名と DNS サフィックスの一覧を入力します。 一覧からマッピングを削除するには、削除するマッピング エントリをクリックし、DELETE キーを押します。 マッピングを編集するには、リストから現在のエントリを削除し、異なるパラメーターを持つ新しいエントリを追加します。
このポリシー設定を無効にすると、グループ ポリシーによって定義されたホスト名と Kerberos 領域マッピングの一覧が削除されます。
このポリシー設定を構成しない場合、システムはローカル レジストリで定義されているホスト名と Kerberos 領域のマッピング (存在する場合) を使用します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | HostToRealm |
| フレンドリ名 | ホスト名と Kerberos 領域のマッピングを定義する |
| 場所 | [コンピューターの構成] |
| パス | システム > Kerberos |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| レジストリ値の名前 | domain_realm_Enabled |
| ADMX ファイル名 | Kerberos.admx |
KdcProxyDisableServerRevocationCheck
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyDisableServerRevocationCheck
このポリシー設定を使用すると、対象の KDC プロキシ サーバーの SSL 証明書の失効チェックを無効にすることができます。
- このポリシー設定を有効にした場合、KDC プロキシ サーバーの SSL 証明書の失効チェックは Kerberos クライアントによって無視されます。 このポリシー設定は、KDC プロキシ接続のトラブルシューティングでのみ使用する必要があります。
Warning
失効チェックが無視された場合、証明書によって表されるサーバーは有効であるとは限りません。
- このポリシー設定を無効にするか、構成しない場合、Kerberos クライアントは SSL 証明書の失効チェックを強制します。 失効チェックが失敗した場合、KDC プロキシ サーバーへの接続は確立されません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | KdcProxyDisableServerRevocationCheck |
| フレンドリ名 | KDC プロキシ サーバーの SSL 証明書の失効チェックを無効にする |
| 場所 | [コンピューターの構成] |
| パス | システム > Kerberos |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| レジストリ値の名前 | NoRevocationCheck |
| ADMX ファイル名 | Kerberos.admx |
KdcProxyServer
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyServer
このポリシー設定は、ドメインの KDC プロキシ サーバーへの Kerberos クライアントのマッピングを、DNS サフィックス名に基づいて構成します。
このポリシー設定を有効にした場合、構成されたマッピングに基づいてドメイン コントローラーを配置できない場合、Kerberos クライアントはドメインに KDC プロキシ サーバーを使用します。 KDC プロキシ サーバーをドメインにマップするには、ポリシー設定を有効にし、[表示] をクリックし、オプション ウィンドウで説明されている構文を使用して、KDC プロキシ サーバー名をドメインの DNS 名にマップします。 [値名] 列の [コンテンツの表示] ダイアログ ボックスに、DNS サフィックス名を入力します。 [値] 列に、適切な構文形式を使用してプロキシ サーバーの一覧を入力します。 マッピングの一覧を表示するには、ポリシー設定を有効にし、[表示] ボタンをクリックします。 一覧からマッピングを削除するには、削除するマッピング エントリをクリックし、DELETE キーを押します。 マッピングを編集するには、リストから現在のエントリを削除し、異なるパラメーターを持つ新しいエントリを追加します。
このポリシー設定を無効にするか、構成しない場合、Kerberos クライアントには、グループ ポリシーによって定義された KDC プロキシ サーバーの設定がありません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | KdcProxyServer |
| フレンドリ名 | Kerberos クライアントの KDC プロキシ サーバーを指定する |
| 場所 | [コンピューターの構成] |
| パス | システム > Kerberos |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| レジストリ値の名前 | KdcProxyServer_Enabled |
| ADMX ファイル名 | Kerberos.admx |
MitRealms
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/MitRealms
このポリシー設定では、このポリシー設定で定義されているように、相互運用可能な Kerberos V5 領域で認証できるように Kerberos クライアントを構成します。
このポリシー設定を有効にした場合は、相互運用可能な Kerberos V5 領域とその設定の一覧を表示および変更できます。 相互運用可能な Kerberos V5 領域の一覧を表示するには、ポリシー設定を有効にし、[表示] ボタンをクリックします。 相互運用可能な Kerberos V5 領域を追加するには、ポリシー設定を有効にし、構文を書き留め、[表示] をクリックします。 [値名] 列の [コンテンツの表示] ダイアログ ボックスに、相互運用可能な Kerberos V5 領域名を入力します。 [値] 列に、適切な構文形式を使用してホスト KDC の領域フラグとホスト名を入力します。 相互運用可能な Kerberos V5 領域の値の名前または値のエントリを一覧から削除するには、エントリをクリックし、DELETE キーを押します。 マッピングを編集するには、リストから現在のエントリを削除し、異なるパラメーターを持つ新しいエントリを追加します。
このポリシー設定を無効にすると、グループ ポリシーによって定義された相互運用可能な Kerberos V5 領域設定が削除されます。
このポリシー設定を構成しない場合、システムは、ローカル レジストリで定義されている相互運用可能な Kerberos V5 領域設定 (存在する場合) を使用します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | MitRealms |
| フレンドリ名 | 相互運用可能な Kerberos V5 領域設定を定義する |
| 場所 | [コンピューターの構成] |
| パス | システム > Kerberos |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| レジストリ値の名前 | MitRealms_Enabled |
| ADMX ファイル名 | Kerberos.admx |
ServerAcceptsCompound
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/ServerAcceptsCompound
このポリシー設定は、複合認証用にデバイスの Active Directory アカウントを構成する方法を制御します。
アクセス制御に使用される複合認証の提供をサポートするには、リソース アカウント ドメインで要求をサポートするのに十分なドメイン コントローラーが必要です。 ドメイン管理者は、このポリシーをサポートするために、すべてのドメイン コントローラーでポリシー "動的アクセス制御と Kerberos 防御をサポートする" を構成する必要があります。
- このポリシー設定を有効にすると、次のオプションによって、デバイスの Active Directory アカウントが複合認証用に構成されます。
[なし]: このコンピューター アカウントに対して複合認証が提供されることはありません。
自動: 1 つ以上のアプリケーションが動的アクセス制御用に構成されている場合、このコンピューター アカウントに対して複合認証が提供されます。
常に: 複合認証は、常にこのコンピューター アカウントに対して提供されます。
このポリシー設定を無効にすると、Never が使用されます。
このポリシー設定を構成しない場合は、自動が使用されます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ServerAcceptsCompound |
| フレンドリ名 | 複合認証をサポートする |
| 場所 | [コンピューターの構成] |
| パス | システム > Kerberos |
| レジストリ キー名 | Software\Policies\Microsoft\Netlogon\Parameters |
| レジストリ値の名前 | CompoundIdDisabled |
| ADMX ファイル名 | Kerberos.admx |
StrictTarget
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/StrictTarget
このポリシー設定を使用すると、このシステム生成 SPN を含むチケットを Kerberos が復号化できるように、このサーバーを構成できます。 アプリケーションがサービス プリンシパル名 (SPN) の NULL 値を使用してこのサーバーにリモート プロシージャ コール (RPC) を実行しようとすると、Windows 7 以降を実行しているコンピューターは、SPN を生成して Kerberos を使用しようとします。
このポリシー設定を有効にした場合、LocalSystem または NetworkService として実行されているサービスのみがこれらの接続を受け入れることが許可されます。 LocalSystem または NetworkService とは異なる ID として実行されているサービスが認証に失敗する可能性があります。
このポリシー設定を無効にするか、構成しない場合、このシステム生成 SPN を使用して受信接続を受け入れるサービスが許可されます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | StrictTarget |
| フレンドリ名 | リモート プロシージャ呼び出しで厳密なターゲット SPN 一致を要求する |
| 場所 | [コンピューターの構成] |
| パス | システム > Kerberos |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| レジストリ値の名前 | StrictTargetContext |
| ADMX ファイル名 | Kerberos.admx |