次の方法で共有


ポリシー CSP - ADMX_Kerberos

ヒント

この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML でデータ型を <Format>chr</Format>として指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。

SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。

AlwaysSendCompoundId

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/AlwaysSendCompoundId

このポリシー設定は、リソース ドメインが複合 ID を要求するときに、デバイスが常に複合認証要求を送信するかどうかを制御します。

ドメイン コントローラーが複合認証を要求するには、リソース アカウント ドメインでポリシー "要求、複合認証、Kerberos 防御の KDC サポート" と "複合認証の要求" を構成して有効にする必要があります。

  • このポリシー設定を有効にし、リソース ドメインが複合認証を要求した場合、複合認証をサポートするデバイスは常に複合認証要求を送信します。

  • このポリシー設定を無効にするか、構成しなかった場合、リソース ドメインが複合認証を要求すると、サービスが複合認証を要求したときに、デバイスは最初に複合認証要求を送信し、次に複合認証要求を送信します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 AlwaysSendCompoundId
フレンドリ名 常に複合認証を最初に送信する
場所 [コンピューターの構成]
パス システム > Kerberos
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
レジストリ値の名前 AlwaysSendCompoundId
ADMX ファイル名 Kerberos.admx

DevicePKInitEnabled

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/DevicePKInitEnabled

証明書を使用したデバイス認証のサポートには、コンピューター アカウントの証明書認証をサポートするデバイス アカウント ドメイン内の DC への接続が必要です。

このポリシー設定を使用すると、Kerberos のサポートを設定して、デバイスの証明書を使用してドメインへの認証を試行できます。

  • このポリシー設定を有効にすると、次のオプションに基づいてデバイスの資格情報が選択されます。

自動: デバイスは証明書を使用して認証を試みます。 DC が証明書を使用したコンピューター アカウント認証をサポートしていない場合は、パスワードによる認証が試行されます。

強制: デバイスは常に証明書を使用して認証されます。 証明書を使用したコンピューター アカウント認証をサポートする DC が見つからない場合、認証は失敗します。

  • このポリシー設定を無効にした場合、証明書は使用されません。

  • このポリシー設定を構成しない場合は、自動が使用されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 DevicePKInitEnabled
フレンドリ名 証明書を使用したデバイス認証のサポート
場所 [コンピューターの構成]
パス システム > Kerberos
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
レジストリ値の名前 DevicePKInitEnabled
ADMX ファイル名 Kerberos.admx

HostToRealm

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/HostToRealm

このポリシー設定を使用すると、どの DNS ホスト名と、どの DNS サフィックスを Kerberos 領域にマップするかを指定できます。

  • このポリシー設定を有効にすると、グループ ポリシーで定義されている Kerberos 領域にマップされた DNS ホスト名と DNS サフィックスの一覧を表示および変更できます。 マッピングの一覧を表示するには、ポリシー設定を有効にし、[表示] ボタンをクリックします。 マッピングを追加するには、ポリシー設定を有効にし、構文を書き留め、[表示] をクリックします。 [値名] 列の [コンテンツの表示] ダイアログ ボックスに、領域名を入力します。 [値] 列に、適切な構文形式を使用して、DNS ホスト名と DNS サフィックスの一覧を入力します。 一覧からマッピングを削除するには、削除するマッピング エントリをクリックし、DELETE キーを押します。 マッピングを編集するには、リストから現在のエントリを削除し、異なるパラメーターを持つ新しいエントリを追加します。

  • このポリシー設定を無効にすると、グループ ポリシーによって定義されたホスト名と Kerberos 領域マッピングの一覧が削除されます。

  • このポリシー設定を構成しない場合、システムはローカル レジストリで定義されているホスト名と Kerberos 領域のマッピング (存在する場合) を使用します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 HostToRealm
フレンドリ名 ホスト名と Kerberos 領域のマッピングを定義する
場所 [コンピューターの構成]
パス システム > Kerberos
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
レジストリ値の名前 domain_realm_Enabled
ADMX ファイル名 Kerberos.admx

KdcProxyDisableServerRevocationCheck

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyDisableServerRevocationCheck

このポリシー設定を使用すると、対象の KDC プロキシ サーバーの SSL 証明書の失効チェックを無効にすることができます。

  • このポリシー設定を有効にした場合、KDC プロキシ サーバーの SSL 証明書の失効チェックは Kerberos クライアントによって無視されます。 このポリシー設定は、KDC プロキシ接続のトラブルシューティングでのみ使用する必要があります。

Warning

失効チェックが無視された場合、証明書によって表されるサーバーは有効であるとは限りません。

  • このポリシー設定を無効にするか、構成しない場合、Kerberos クライアントは SSL 証明書の失効チェックを強制します。 失効チェックが失敗した場合、KDC プロキシ サーバーへの接続は確立されません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 KdcProxyDisableServerRevocationCheck
フレンドリ名 KDC プロキシ サーバーの SSL 証明書の失効チェックを無効にする
場所 [コンピューターの構成]
パス システム > Kerberos
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
レジストリ値の名前 NoRevocationCheck
ADMX ファイル名 Kerberos.admx

KdcProxyServer

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyServer

このポリシー設定は、ドメインの KDC プロキシ サーバーへの Kerberos クライアントのマッピングを、DNS サフィックス名に基づいて構成します。

  • このポリシー設定を有効にした場合、構成されたマッピングに基づいてドメイン コントローラーを配置できない場合、Kerberos クライアントはドメインに KDC プロキシ サーバーを使用します。 KDC プロキシ サーバーをドメインにマップするには、ポリシー設定を有効にし、[表示] をクリックし、オプション ウィンドウで説明されている構文を使用して、KDC プロキシ サーバー名をドメインの DNS 名にマップします。 [値名] 列の [コンテンツの表示] ダイアログ ボックスに、DNS サフィックス名を入力します。 [値] 列に、適切な構文形式を使用してプロキシ サーバーの一覧を入力します。 マッピングの一覧を表示するには、ポリシー設定を有効にし、[表示] ボタンをクリックします。 一覧からマッピングを削除するには、削除するマッピング エントリをクリックし、DELETE キーを押します。 マッピングを編集するには、リストから現在のエントリを削除し、異なるパラメーターを持つ新しいエントリを追加します。

  • このポリシー設定を無効にするか、構成しない場合、Kerberos クライアントには、グループ ポリシーによって定義された KDC プロキシ サーバーの設定がありません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 KdcProxyServer
フレンドリ名 Kerberos クライアントの KDC プロキシ サーバーを指定する
場所 [コンピューターの構成]
パス システム > Kerberos
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
レジストリ値の名前 KdcProxyServer_Enabled
ADMX ファイル名 Kerberos.admx

MitRealms

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/MitRealms

このポリシー設定では、このポリシー設定で定義されているように、相互運用可能な Kerberos V5 領域で認証できるように Kerberos クライアントを構成します。

  • このポリシー設定を有効にした場合は、相互運用可能な Kerberos V5 領域とその設定の一覧を表示および変更できます。 相互運用可能な Kerberos V5 領域の一覧を表示するには、ポリシー設定を有効にし、[表示] ボタンをクリックします。 相互運用可能な Kerberos V5 領域を追加するには、ポリシー設定を有効にし、構文を書き留め、[表示] をクリックします。 [値名] 列の [コンテンツの表示] ダイアログ ボックスに、相互運用可能な Kerberos V5 領域名を入力します。 [値] 列に、適切な構文形式を使用してホスト KDC の領域フラグとホスト名を入力します。 相互運用可能な Kerberos V5 領域の値の名前または値のエントリを一覧から削除するには、エントリをクリックし、DELETE キーを押します。 マッピングを編集するには、リストから現在のエントリを削除し、異なるパラメーターを持つ新しいエントリを追加します。

  • このポリシー設定を無効にすると、グループ ポリシーによって定義された相互運用可能な Kerberos V5 領域設定が削除されます。

  • このポリシー設定を構成しない場合、システムは、ローカル レジストリで定義されている相互運用可能な Kerberos V5 領域設定 (存在する場合) を使用します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 MitRealms
フレンドリ名 相互運用可能な Kerberos V5 領域設定を定義する
場所 [コンピューターの構成]
パス システム > Kerberos
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
レジストリ値の名前 MitRealms_Enabled
ADMX ファイル名 Kerberos.admx

ServerAcceptsCompound

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/ServerAcceptsCompound

このポリシー設定は、複合認証用にデバイスの Active Directory アカウントを構成する方法を制御します。

アクセス制御に使用される複合認証の提供をサポートするには、リソース アカウント ドメインで要求をサポートするのに十分なドメイン コントローラーが必要です。 ドメイン管理者は、このポリシーをサポートするために、すべてのドメイン コントローラーでポリシー "動的アクセス制御と Kerberos 防御をサポートする" を構成する必要があります。

  • このポリシー設定を有効にすると、次のオプションによって、デバイスの Active Directory アカウントが複合認証用に構成されます。

[なし]: このコンピューター アカウントに対して複合認証が提供されることはありません。

自動: 1 つ以上のアプリケーションが動的アクセス制御用に構成されている場合、このコンピューター アカウントに対して複合認証が提供されます。

常に: 複合認証は、常にこのコンピューター アカウントに対して提供されます。

  • このポリシー設定を無効にすると、Never が使用されます。

  • このポリシー設定を構成しない場合は、自動が使用されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 ServerAcceptsCompound
フレンドリ名 複合認証をサポートする
場所 [コンピューターの構成]
パス システム > Kerberos
レジストリ キー名 Software\Policies\Microsoft\Netlogon\Parameters
レジストリ値の名前 CompoundIdDisabled
ADMX ファイル名 Kerberos.admx

StrictTarget

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/StrictTarget

このポリシー設定を使用すると、このシステム生成 SPN を含むチケットを Kerberos が復号化できるように、このサーバーを構成できます。 アプリケーションがサービス プリンシパル名 (SPN) の NULL 値を使用してこのサーバーにリモート プロシージャ コール (RPC) を実行しようとすると、Windows 7 以降を実行しているコンピューターは、SPN を生成して Kerberos を使用しようとします。

  • このポリシー設定を有効にした場合、LocalSystem または NetworkService として実行されているサービスのみがこれらの接続を受け入れることが許可されます。 LocalSystem または NetworkService とは異なる ID として実行されているサービスが認証に失敗する可能性があります。

  • このポリシー設定を無効にするか、構成しない場合、このシステム生成 SPN を使用して受信接続を受け入れるサービスが許可されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 StrictTarget
フレンドリ名 リモート プロシージャ呼び出しで厳密なターゲット SPN 一致を要求する
場所 [コンピューターの構成]
パス システム > Kerberos
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
レジストリ値の名前 StrictTargetContext
ADMX ファイル名 Kerberos.admx

ポリシー構成サービス プロバイダー