ポリシー CSP - Kerberos
ヒント
この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML のデータ型を として <Format>chr</Format>指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。
SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。
AllowForestSearchOrder
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder
このポリシー設定は、2 部構成のサービス プリンシパル名 (SPN) を解決しようとしたときに Kerberos クライアントが検索する信頼フォレストの一覧を定義します。
このポリシー設定を有効にすると、Kerberos クライアントは、2 部構成の SPN を解決できない場合に、この一覧のフォレストを検索します。 一致するものが見つかった場合、Kerberos クライアントは適切なドメインへの紹介チケットを要求します。
このポリシー設定を無効にした場合、または構成しなかった場合、Kerberos クライアントは、一覧表示されたフォレストを検索して SPN を解決しません。 名前が見つからないために Kerberos クライアントが SPN を解決できない場合は、NTLM 認証が使用される可能性があります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ForestSearch |
| フレンドリ名 | フォレストの検索順序を使用する |
| 場所 | [コンピューターの構成] |
| パス | System > Kerberos |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| レジストリ値の名前 | UseForestSearch |
| ADMX ファイル名 | Kerberos.admx |
CloudKerberosTicketRetrievalEnabled
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled
このポリシー設定では、ログオン中にMicrosoft Entra Kerberos チケット許可チケットを取得できます。
このポリシー設定を無効にした場合、または構成しなかった場合、ログオン中に Kerberos チケット許可チケットMicrosoft Entraは取得されません。
このポリシー設定を有効にすると、ログオン中に Kerberos チケット許可チケットMicrosoft Entraが取得されます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 無効。 |
| 1 | 有効。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | CloudKerberosTicketRetrievalEnabled |
| フレンドリ名 | ログオン中に Azure AD Kerberos チケット許可チケットの取得を許可する |
| 場所 | [コンピューターの構成] |
| パス | System > Kerberos |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| レジストリ値の名前 | CloudKerberosTicketRetrievalEnabled |
| ADMX ファイル名 | Kerberos.admx |
KerberosClientSupportsClaimsCompoundArmor
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor
このポリシー設定は、これらの機能をサポートするドメインで Kerberos 認証を使用して、デバイスが動的Access Controlと Kerberos 防御の要求と複合認証を要求するかどうかを制御します。
このポリシー設定を有効にした場合、クライアント コンピューターは要求を要求し、動的Access Controlと Kerberos 防御の要求と複合認証をサポートするドメインで複合認証と防御 Kerberos メッセージを作成するために必要な情報を提供します。
このポリシー設定を無効にした場合、または構成しなかった場合、クライアント デバイスは要求を要求せず、複合認証と防御 Kerberos メッセージの作成に必要な情報を提供します。 デバイスでホストされているサービスは、Kerberos プロトコル遷移を使用してクライアントの要求を取得できません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | EnableCbacAndArmor |
| フレンドリ名 | 要求、複合認証、Kerberos 防御に対する Kerberos クライアントのサポート |
| 場所 | [コンピューターの構成] |
| パス | System > Kerberos |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| レジストリ値の名前 | EnableCbacAndArmor |
| ADMX ファイル名 | Kerberos.admx |
PKInitHashAlgorithmConfiguration
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11バージョン 22H2 [10.0.22621] 以降 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
このポリシー設定は、証明書認証の実行時に Kerberos クライアントによって使用されるハッシュアルゴリズムまたはチェックサム アルゴリズムを制御します。
このポリシーを有効にすると、アルゴリズムごとに 4 つの状態のいずれかを構成できます。
"既定値" は、アルゴリズムを推奨状態に設定します。
"サポートされている" は、アルゴリズムの使用を可能にします。 既定で無効になっているアルゴリズムを有効にすると、セキュリティが低下する可能性があります。
"監査済み" では、アルゴリズムの使用が有効になり、使用されるたびにイベント (ID 206) が報告されます。 この状態は、アルゴリズムが使用されておらず、安全に無効にできることを確認するためのものです。
"サポートされていません" は、アルゴリズムの使用を無効にします。 この状態は、安全でないと見なされるアルゴリズムを対象としています。
このポリシーを無効にするか、構成しない場合、各アルゴリズムは "既定" の状態を前提とします。
この構成によって生成されるイベント: 205、206、207、208。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 無効/未構成。 |
| 1 | 有効。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | PKInitHashAlgorithmConfiguration |
| フレンドリ名 | 証明書ログオンのハッシュ アルゴリズムを構成する |
| 場所 | [コンピューターの構成] |
| パス | System > Kerberos |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| レジストリ値の名前 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX ファイル名 | Kerberos.admx |
PKInitHashAlgorithmSHA1
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11バージョン 22H2 [10.0.22621] 以降 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1
このポリシー設定は、証明書認証の実行時に Kerberos クライアントによって使用される SHA1 アルゴリズムの構成を制御します。 このポリシーは、Kerberos/PKInitHashAlgorithmConfiguration が有効になっている場合にのみ適用されます。 このアルゴリズムには、次の 4 つの状態のいずれかを構成できます。
- 0 - サポートされていません: この状態では、アルゴリズムの使用が無効になります。 この状態は、安全でないと見なされるアルゴリズムを対象としています。
- 1 - 既定値: この状態は、アルゴリズムを推奨状態に設定します。
- 2 - 監査済み: この状態により、アルゴリズムの使用が有効になり、使用されるたびにイベント (ID 206) が報告されます。 この状態は、アルゴリズムが使用されておらず、安全に無効にできることを確認するためのものです。
- 3 - サポート: この状態により、アルゴリズムの使用が有効になります。 既定で無効になっているアルゴリズムを有効にすると、セキュリティが低下する可能性があります。
このポリシーを構成しない場合、SHA1 アルゴリズムは 既定 の状態を想定します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
| 依存関係 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | 依存関係の種類: DependsOn 依存関係 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration 依存関係の許可される値: [1] 依存関係の許可される値の種類: Range |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | サポートされていません。 |
| 1 (既定値) | 既定。 |
| 2 | 監査。 |
| 3 | サポートされています。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | PKInitHashAlgorithmConfiguration |
| フレンドリ名 | 証明書ログオンのハッシュ アルゴリズムを構成する |
| 場所 | [コンピューターの構成] |
| パス | System > Kerberos |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| レジストリ値の名前 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX ファイル名 | Kerberos.admx |
PKInitHashAlgorithmSHA256
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11バージョン 22H2 [10.0.22621] 以降 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256
このポリシー設定は、証明書認証の実行時に Kerberos クライアントによって使用される SHA256 アルゴリズムの構成を制御します。 このポリシーは、Kerberos/PKInitHashAlgorithmConfiguration が有効になっている場合にのみ適用されます。 このアルゴリズムには、次の 4 つの状態のいずれかを構成できます。
- 0 - サポートされていません: この状態では、アルゴリズムの使用が無効になります。 この状態は、安全でないと見なされるアルゴリズムを対象としています。
- 1 - 既定値: この状態は、アルゴリズムを推奨状態に設定します。
- 2 - 監査済み: この状態により、アルゴリズムの使用が有効になり、使用されるたびにイベント (ID 206) が報告されます。 この状態は、アルゴリズムが使用されておらず、安全に無効にできることを確認するためのものです。
- 3 - サポート: この状態により、アルゴリズムの使用が有効になります。 既定で無効になっているアルゴリズムを有効にすると、セキュリティが低下する可能性があります。
このポリシーを構成しない場合、SHA256 アルゴリズムは 既定 の状態を想定します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
| 依存関係 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | 依存関係の種類: DependsOn 依存関係 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration 依存関係の許可される値: [1] 依存関係の許可される値の種類: Range |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | サポートされていません。 |
| 1 (既定値) | 既定。 |
| 2 | 監査。 |
| 3 | サポートされています。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | PKInitHashAlgorithmConfiguration |
| フレンドリ名 | 証明書ログオンのハッシュ アルゴリズムを構成する |
| 場所 | [コンピューターの構成] |
| パス | System > Kerberos |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| レジストリ値の名前 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX ファイル名 | Kerberos.admx |
PKInitHashAlgorithmSHA384
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11バージョン 22H2 [10.0.22621] 以降 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384
このポリシー設定は、証明書認証の実行時に Kerberos クライアントによって使用される SHA384 アルゴリズムの構成を制御します。 このポリシーは、Kerberos/PKInitHashAlgorithmConfiguration が有効になっている場合にのみ適用されます。 このアルゴリズムには、次の 4 つの状態のいずれかを構成できます。
- 0 - サポートされていません: この状態では、アルゴリズムの使用が無効になります。 この状態は、安全でないと見なされるアルゴリズムを対象としています。
- 1 - 既定値: この状態は、アルゴリズムを推奨状態に設定します。
- 2 - 監査済み: この状態により、アルゴリズムの使用が有効になり、使用されるたびにイベント (ID 206) が報告されます。 この状態は、アルゴリズムが使用されておらず、安全に無効にできることを確認するためのものです。
- 3 - サポート: この状態により、アルゴリズムの使用が有効になります。 既定で無効になっているアルゴリズムを有効にすると、セキュリティが低下する可能性があります。
このポリシーを構成しない場合、SHA384 アルゴリズムは 既定 の状態を想定します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
| 依存関係 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | 依存関係の種類: DependsOn 依存関係 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration 依存関係の許可される値: [1] 依存関係の許可される値の種類: Range |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | サポートされていません。 |
| 1 (既定値) | 既定。 |
| 2 | 監査。 |
| 3 | サポートされています。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | PKInitHashAlgorithmConfiguration |
| フレンドリ名 | 証明書ログオンのハッシュ アルゴリズムを構成する |
| 場所 | [コンピューターの構成] |
| パス | System > Kerberos |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| レジストリ値の名前 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX ファイル名 | Kerberos.admx |
PKInitHashAlgorithmSHA512
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11バージョン 22H2 [10.0.22621] 以降 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512
このポリシー設定は、証明書認証の実行時に Kerberos クライアントによって使用される SHA512 アルゴリズムの構成を制御します。 このポリシーは、Kerberos/PKInitHashAlgorithmConfiguration が有効になっている場合にのみ適用されます。 このアルゴリズムには、次の 4 つの状態のいずれかを構成できます。
- 0 - サポートされていません: この状態では、アルゴリズムの使用が無効になります。 この状態は、安全でないと見なされるアルゴリズムを対象としています。
- 1 - 既定値: この状態は、アルゴリズムを推奨状態に設定します。
- 2 - 監査済み: この状態により、アルゴリズムの使用が有効になり、使用されるたびにイベント (ID 206) が報告されます。 この状態は、アルゴリズムが使用されておらず、安全に無効にできることを確認するためのものです。
- 3 - サポート: この状態により、アルゴリズムの使用が有効になります。 既定で無効になっているアルゴリズムを有効にすると、セキュリティが低下する可能性があります。
このポリシーを構成しない場合、SHA512 アルゴリズムは 既定 の状態を想定します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
| 依存関係 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | 依存関係の種類: DependsOn 依存関係 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration 依存関係の許可される値: [1] 依存関係の許可される値の種類: Range |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | サポートされていません。 |
| 1 (既定値) | 既定。 |
| 2 | 監査。 |
| 3 | サポートされています。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | PKInitHashAlgorithmConfiguration |
| フレンドリ名 | 証明書ログオンのハッシュ アルゴリズムを構成する |
| 場所 | [コンピューターの構成] |
| パス | System > Kerberos |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| レジストリ値の名前 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX ファイル名 | Kerberos.admx |
RequireKerberosArmoring
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring
このポリシー設定は、ドメイン コントローラーと通信するときに、コンピューターで Kerberos メッセージ交換を防御する必要があるかどうかを制御します。
Warning
ドメインで [動的なAccess Controlと Kerberos の防御をサポートする] を有効にして Kerberos の防御をサポートしていない場合、このポリシー設定が有効になっているコンピューターからすべてのユーザーに対するすべての認証が失敗します。
- このポリシー設定を有効にした場合、ドメイン内のクライアント コンピューターは、認証サービス (AS) とチケット付与サービス (TGS) メッセージ交換のみで、ドメイン コントローラーとの Kerberos 防御の使用を強制します。
注
Kerberos グループ ポリシー Kerberos の防御をサポートするには、"Kerberos クライアントによる要求のサポート、複合認証、Kerberos の防御" も有効にする必要があります。
- このポリシー設定を無効にするか、構成しない場合、ドメイン内のクライアント コンピューターは、可能な限りターゲット ドメインでサポートされている Kerberos 防御の使用を強制します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ClientRequireFast |
| フレンドリ名 | Kerberos の防御が使用できない場合に認証要求を失敗させる |
| 場所 | [コンピューターの構成] |
| パス | System > Kerberos |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| レジストリ値の名前 | RequireFast |
| ADMX ファイル名 | Kerberos.admx |
RequireStrictKDCValidation
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation
このポリシー設定は、スマート カードとシステム証明書ログオンの KDC 証明書の検証における Kerberos クライアントの動作を制御します。
このポリシー設定を有効にした場合、Kerberos クライアントでは、KDC の X.509 証明書に拡張キー使用法 (EKU) 拡張機能に KDC キー目的オブジェクト識別子が含まれていること、および KDC の X.509 証明書にドメインの DNS 名と一致する dNSName subjectAltName (SAN) 拡張機能が含まれている必要があります。 コンピューターがドメインに参加している場合、Kerberos クライアントでは、NTAuth ストアの証明機関 (CA) によって KDC の X.509 証明書に署名する必要があります。 コンピューターがドメインに参加していない場合、Kerberos クライアントは、KDC の X.509 証明書のパス検証でスマート カードのルート CA 証明書を使用できるようにします。
このポリシー設定を無効にするか、構成しない場合、Kerberos クライアントでは、任意のサーバーに発行できる EKU 拡張機能のサーバー認証目的オブジェクト識別子が KDC 証明書に含まれている必要があります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ValidateKDC |
| フレンドリ名 | 厳密な KDC 検証が必要 |
| 場所 | [コンピューターの構成] |
| パス | System > Kerberos |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| レジストリ値の名前 | KdcValidation |
| ADMX ファイル名 | Kerberos.admx |
SetMaximumContextTokenSize
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize
このポリシー設定を使用すると、SSPI コンテキスト トークン バッファー サイズの最大サイズを要求するアプリケーションに返される値を設定できます。
コンテキスト トークン バッファーのサイズは、アプリケーションが予期して割り当てる SSPI コンテキスト トークンの最大サイズを決定します。 認証要求の処理とグループ メンバーシップによっては、バッファーが SSPI コンテキスト トークンの実際のサイズよりも小さい場合があります。
このポリシー設定を有効にした場合、Kerberos クライアントまたはサーバーは、構成された値またはローカルで許可される最大値のどちらか小さい方を使用します。
このポリシー設定を無効にするか、構成しない場合、Kerberos クライアントまたはサーバーはローカルで構成された値または既定値を使用します。
注
このポリシー設定では、Windows XP および Windows Server 2003 で追加された、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters の既存の MaxTokenSize レジストリ値を構成します。既定値は 12,000 バイトです。 Windows 8 以降の既定値は 48,000 バイトです。 認証コンテキスト トークンの HTTP の base64 エンコードのため、この値を 48,000 バイトを超える値を設定することはお勧めしません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | MaxTokenSize |
| フレンドリ名 | Kerberos SSPI コンテキスト トークンの最大バッファー サイズを設定する |
| 場所 | [コンピューターの構成] |
| パス | System > Kerberos |
| レジストリ キー名 | System\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
| レジストリ値の名前 | EnableMaxTokenSize |
| ADMX ファイル名 | Kerberos.admx |
UPNNameHints
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 Version 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints
ハイブリッド環境でMicrosoft Entra IDに参加しているデバイスは、Active Directory ドメイン コントローラーと対話する必要がありますが、ドメインに参加しているデバイスが持つドメイン コントローラーを見つけるための組み込みの機能がありません。 これにより、このようなデバイスが Microsoft Entra UPN を Active Directory プリンシパルに解決する必要がある場合にエラーが発生する可能性があります。 このパラメーターは、Microsoft Entra参加済みデバイスがプリンシパルに UPN を解決できない場合に接続を試みるドメインの一覧を追加します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | リスト (区切り記号: 0xF000) |