スマート カードのグループ ポリシーとレジストリ設定
IT プロフェッショナルとスマート カード開発者向けのこの記事では、スマート カードの構成に使用できるグループ ポリシー設定、レジストリ キー設定、ローカル セキュリティ ポリシー設定、資格情報委任ポリシー設定について説明します。
次のセクションと表に、コンピューターごとに設定できるスマート カード関連のグループ ポリシー設定とレジストリ キーを示します。 ドメイン グループ ポリシー オブジェクト (GPO) を使用する場合は、グループ ポリシー設定を編集してローカル コンピューターまたはドメイン コンピューターに適用できます。
-
スマート カードのプライマリ グループ ポリシー設定
- 拡張キー使用法証明書属性のない証明書を許可する
- ログオンと認証に ECC 証明書を使用できるようにする
- ログオン時に統合ブロック解除画面を表示できるようにする
- ログオンに有効な署名キーを許可する
- 無効な証明書を許可する
- ユーザー名のヒントを許可する
- ルート証明書のクリーンを構成する
- スマート カードがブロックされている場合に文字列を表示する
- 重複するログオン証明書をフィルター処理する
- スマート カードからすべての証明書を強制的に読み取る
- スマート カード ドライバーのインストールが成功したことをユーザーに通知する
- 資格情報マネージャーからプレーンテキスト PIN が返されないようにする
- 表示時に証明書に格納されているサブジェクト名を逆にする
- スマート カードからの証明書の伝達を有効にする
- スマート カードからのルート証明書の伝達を有効にする
- スマート カード プラグ アンド プレイ サービスを有効にする
- ベース CSP とスマート カード KSP レジストリ キー
- CRL チェック レジストリ キー
- その他のスマート カード グループ ポリシー設定とレジストリ キー
スマート カードのプライマリ グループ ポリシー設定
次のスマート カード グループ ポリシー設定は、コンピューターの構成\管理用テンプレート\Windows コンポーネント\スマート カードにあります。
レジストリ キーは次の場所にあります。
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScPnP\EnableScPnP
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CertProp
注
スマート カード リーダー のレジストリ情報は、HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\Readersにあります。
スマート カード レジストリ情報は HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\SmartCardsにあります。
次の表に、これらの GPO 設定の既定値を示します。 バリエーションについては、この記事のポリシーの説明に記載されています。
| サーバーの種類または GPO | 既定値 |
|---|---|
| 既定のドメイン ポリシー | 未構成 |
| 既定のドメイン コントローラー ポリシー | 未構成 |
| スタンドアロン サーバーの既定の設定 | 未構成 |
| ドメイン コントローラーの有効な既定の設定 | 無効 |
| メンバー サーバーの有効な既定の設定 | 無効 |
| クライアント コンピューターの有効な既定の設定 | 無効 |
拡張キー使用法証明書属性のない証明書を許可する
このポリシー設定を使用すると、拡張キー使用法 (EKU) が設定されていない証明書をサインインに使用できます。
注
拡張キー使用法証明書属性は、拡張キー使用法とも呼ばれます。
Windows Vista より前のバージョンの Windows では、サインインに使用されるスマート カード証明書には、スマート カード ログオン オブジェクト識別子を持つ EKU 拡張機能が必要です。 このポリシー設定を使用して、その制限を変更できます。
このポリシー設定を有効にすると、次の属性を持つ証明書を使用して、スマート カードでサインインすることもできます。
- EKU のない証明書
- すべての目的の EKU を持つ証明書
- クライアント認証 EKU を使用した証明書
このポリシー設定が有効になっていない場合は、スマート カード ログオン オブジェクト識別子を含む証明書のみを使用して、スマート カードでサインインできます。
| 項目 | 説明 |
|---|---|
| レジストリ キー | AllowCertificatesWithNoEKU |
| 既定値 | オペレーティング システムのバージョンごとに変更なし 無効で構成されていないのは同等です |
| ポリシー管理 | 再起動要件: なし サインオフ要件: なし ポリシーの競合: なし |
ログオンと認証に ECC 証明書を使用できるようにする
このポリシー設定を使用して、スマート カードの楕円曲線暗号 (ECC) 証明書を使用してドメインにサインインできるかどうかを制御できます。
この設定を有効にすると、スマート カードの ECC 証明書を使用してドメインにサインインできます。
この設定が有効になっていない場合、スマート カードの ECC 証明書を使用してドメインにサインインすることはできません。
| 項目 | 説明 |
|---|---|
| レジストリ キー | EnumerateECCCerts |
| 既定値 | オペレーティング システムのバージョンごとに変更なし 無効で構成されていないのは同等です |
| ポリシー管理 | 再起動要件: なし サインオフ要件: なし ポリシーの競合: なし |
| メモとリソース | このポリシー設定は、ユーザーがドメインにサインインする機能にのみ影響します。 ドキュメント署名など、他のアプリケーションに使用されるスマート カードの ECC 証明書は、このポリシー設定の影響を受けられません。 ECDSA キーを使用してサインインする場合は、ネットワークに接続していないときにサインインを許可する ECDH キーも関連付けられている必要があります。 |
ログオン時に統合ブロック解除画面を表示できるようにする
このポリシー設定を使用して、統合ブロック解除機能がサインイン ユーザー インターフェイス (UI) で使用できるかどうかを判断できます。 この機能は、Windows Vista の資格情報セキュリティ サポート プロバイダーの標準機能として導入されました。
この設定をオンにすると、統合ブロック解除機能を使用できます。
この設定がオンになっていない場合、この機能は使用できません。
| 項目 | 説明 |
|---|---|
| レジストリ キー | AllowIntegratedUnblock |
| 既定値 | オペレーティング システムのバージョンごとに変更なし 無効で構成されていないのは同等です |
| ポリシー管理 | 再起動要件: なし サインオフ要件: なし ポリシーの競合: なし |
| メモとリソース | 統合ブロック解除機能を使用するには、スマート カードでサポートされている必要があります。 ハードウェアの製造元に問い合わせて、スマート カードがこの機能をサポートしていることを確認します。 スマート カードがブロックされたときにユーザーに表示されるカスタム メッセージを作成する場合は、ポリシー設定 [スマート カードがブロックされたときに文字列を表示する] を構成します。 |
ログオンに有効な署名キーを許可する
このポリシー設定を使用して、署名キーベースの証明書を列挙し、サインインに使用できるようにします。
この設定を有効にすると、署名専用キーを持つスマート カードで使用できる証明書がサインイン画面に一覧表示されます。
この設定が有効になっていない場合、署名専用キーを持つスマート カードで使用できる証明書は、サインイン画面に一覧表示されません。
| 項目 | 説明 |
|---|---|
| レジストリ キー | AllowSignatureOnlyKeys |
| 既定値 | オペレーティング システムのバージョンごとに変更なし 無効で構成されていないのは同等です |
| ポリシー管理 | 再起動要件: なし サインオフ要件: なし ポリシーの競合: なし |
無効な証明書を許可する
このポリシー設定を使用すると、有効期限が切れている証明書、またはまだ有効でない証明書のサインインの表示を許可できます。
注
Windows Vista の前に、証明書には有効な時間を含め、有効期限が切れないようにする必要がありました。 証明書を使用するには、ドメイン コントローラーによって受け入れられる必要があります。 このポリシー設定は、クライアント コンピューターに表示される証明書のみを制御します。
この設定を有効にすると、無効な時間があるかどうか、または有効期限が切れているかどうかに関係なく、証明書がサインイン画面に一覧表示されます。
このポリシー設定が有効になっていない場合、有効期限が切れている証明書または有効でない証明書は、サインイン画面に一覧表示されません。
| 項目 | 説明 |
|---|---|
| レジストリ キー | AllowTimeInvalidCertificates |
| 既定値 | オペレーティング システムのバージョンごとに変更なし 無効で構成されていないのは同等です |
| ポリシー管理 | 再起動要件: なし サインオフ要件: なし ポリシーの競合: なし |
ユーザー名のヒントを許可する
このポリシー設定を使用して、サインイン中にオプションのフィールドが表示されるかどうかを判断し、ユーザーがユーザー名またはユーザー名とドメインを入力できる昇格プロセスを提供します。これにより、証明書がユーザーに関連付けられます。
このポリシー設定を有効にすると、ユーザー名またはユーザー名とドメインを入力できる省略可能なフィールドが表示されます。
このポリシー設定がオンになっていない場合、ユーザーにはこの省略可能なフィールドは表示されません。
| 項目 | 説明 |
|---|---|
| レジストリ キー | X509HintsNeeded |
| 既定値 | オペレーティング システムのバージョンごとに変更なし 無効で構成されていないのは同等です |
| ポリシー管理 | 再起動要件: なし サインオフ要件: なし ポリシーの競合: なし |
ルート証明書のクリーンを構成する
このポリシー設定を使用して、ルート証明書のクリーンアップ動作を管理できます。 証明書は信頼チェーンを使用して検証され、デジタル証明書のトラスト アンカーはルート証明機関 (CA) です。 CA は、ルート証明書をツリー構造の最上位証明書として複数の証明書を発行できます。 秘密キーは、他の証明書に署名するために使用されます。 これにより、ルート証明書のすぐ下にあるすべての証明書に対して継承された信頼性が作成されます。
このポリシー設定を有効にすると、次のクリーンアップ オプションを設定できます。
- クリーンアップなし。 ユーザーがスマート カードをサインアウトまたは削除すると、セッション中に使用されるルート証明書がコンピューターに保持されます。
- スマート カードの削除時に証明書をクリーンアップします。 スマート カードが削除されると、ルート証明書が削除されます。
- ログオフ時に証明書をクリーンアップします。 ユーザーが Windows からサインアウトすると、ルート証明書が削除されます。
このポリシー設定がオンになっていない場合、ユーザーが Windows からサインアウトすると、ルート証明書が自動的に削除されます。
| 項目 | 説明 |
|---|---|
| レジストリ キー | RootCertificateCleanupOption |
| 既定値 | オペレーティング システムのバージョンごとに変更なし 無効で構成されていないのは同等です |
| ポリシー管理 | 再起動要件: なし サインオフ要件: なし ポリシーの競合: なし |
スマート カードがブロックされている場合に文字列を表示する
このポリシー設定を使用すると、ユーザーがスマート カードがブロックされているかどうかを確認する既定のメッセージを変更できます。
このポリシー設定を有効にすると、スマート カードがブロックされたときにユーザーに表示されるメッセージを作成および管理できます。
このポリシー設定がオンになっていない場合 (また、統合ブロック解除機能も有効になっている場合)、スマート カードがブロックされると、システムの既定のメッセージが表示されます。
| 項目 | 説明 |
|---|---|
| レジストリ キー | IntegratedUnblockPromptString |
| 既定値 | オペレーティング システムのバージョンごとに変更なし 無効で構成されていないのは同等です |
| ポリシー管理 | 再起動要件: なし サインオフ要件: なし ポリシーの競合: このポリシー設定は、 ログオン 時に [統合ブロックの解除を許可する] 画面が有効 になっている場合にのみ有効です。 |
重複するログオン証明書をフィルター処理する
このポリシー設定を使用して、表示される有効なサインイン証明書を構成できます。
注
証明書の更新期間中、ユーザーのスマート カードは、同じ証明書テンプレートから発行された複数の有効なサインイン証明書を持つことができます。これにより、選択する証明書が混乱する可能性があります。 この動作は、証明書が更新され、古い証明書の有効期限がまだ切れていない場合に発生する可能性があります。
同じメジャー バージョンの同じテンプレートから 2 つの証明書が発行され、同じユーザーに対して発行されている場合 (これは UPN によって決定されます)、それらは同じと判断されます。
このポリシー設定を有効にすると、ユーザーが最新の有効な証明書からのみ選択できるように、フィルター処理が実行されます。
このポリシー設定が有効になっていない場合は、すべての証明書がユーザーに表示されます。
このポリシー設定は、[ 無効な証明書を許可する] ポリシー設定が適用された後にコンピューターに適用されます。
| 項目 | 説明 |
|---|---|
| レジストリ キー | FilterDuplicateCerts |
| 既定値 | オペレーティング システムのバージョンごとに変更なし 無効で構成されていないのは同等です |
| ポリシー管理 | 再起動要件: なし サインオフ要件: なし ポリシーの競合: なし |
| メモとリソース | スマート カードに同じ証明書が 2 つ以上あり、このポリシー設定が有効になっている場合は、有効期限が最も遠い証明書が表示されます。 |
スマート カードからすべての証明書を強制的に読み取る
このポリシー設定を使用して、Windows がサインインのためにスマート カードからすべての証明書を読み取る方法を管理できます。 サインイン中、Windows は、1 回の呼び出しですべての証明書の取得をサポートしない限り、スマート カードから既定の証明書のみを読み取ります。 このポリシー設定により、Windows はスマート カードからすべての証明書を読み取ります。
このポリシー設定を有効にすると、WINDOWS は CSP 機能セットに関係なく、スマート カードからすべての証明書の読み取りを試みます。
このポリシーが有効になっていない場合、Windows は、1 回の呼び出しですべての証明書の取得をサポートしていないスマート カードから既定の証明書のみを読み取ろうとします。 既定以外の証明書はサインインに使用できません。
| 項目 | 説明 |
|---|---|
| レジストリ キー | ForceReadingAllCertificates |
| 既定値 | オペレーティング システムのバージョンごとに変更なし 無効で構成されていないのは同等です |
| ポリシー管理 | 再起動要件: なし サインオフ要件: なし ポリシーの競合: なし 重要: このポリシー設定を有効にすると、特定の状況でサインイン プロセス中のパフォーマンスに悪影響を与える可能性があります。 |
| メモとリソース | スマート カードと関連する CSP が必要な動作をサポートしているかどうかを判断するには、スマート カード ベンダーに問い合わせてください。 |
スマート カード ドライバーのインストールが成功したことをユーザーに通知する
このポリシー設定を使用して、スマート カード デバイス ドライバーがインストールされたときにユーザーに確認メッセージが表示されるかどうかを制御できます。
このポリシー設定を有効にすると、スマート カード デバイス ドライバーがインストールされると、ユーザーに確認メッセージが表示されます。
この設定がオンになっていないと、ユーザーにスマート カード デバイス ドライバーのインストール メッセージが表示されません。
| -- | -- |
|---|---|
| レジストリ キー | ScPnPNotification |
| 既定値 | オペレーティング システムのバージョンごとに変更なし 無効で構成されていないのは同等です |
| ポリシー管理 | 再起動要件: なし サインオフ要件: なし ポリシーの競合: なし |
| メモとリソース | このポリシー設定は、Windows ハードウェア品質ラボ (WHQL) テスト プロセスに合格したスマート カード ドライバーにのみ適用されます。 |
資格情報マネージャーからプレーンテキスト PIN が返されないようにする
このポリシー設定を使用して、Credential Manager からプレーンテキスト PIN が返されないようにすることができます。
注
Credential Manager は、ローカル コンピューター上のユーザーによって制御され、サポートされているブラウザーと Windows アプリケーションからの資格情報を格納します。 資格情報は、ユーザーのプロファイルの下にあるコンピューター上の特別な暗号化されたフォルダーに保存されます。
このポリシー設定を有効にすると、Credential Manager はプレーンテキスト PIN を返しません。
この設定がオンになっていない場合、Credential Manager はプレーンテキスト PIN を返すことができます。
| 項目 | 説明 |
|---|---|
| レジストリ キー | DisallowPlaintextPin |
| 既定値 | オペレーティング システムのバージョンごとに変更なし 無効で構成されていないのは同等です |
| ポリシー管理 | 再起動要件: なし サインオフ要件: なし ポリシーの競合: なし |
| メモとリソース | このポリシー設定を有効にすると、Windows を実行しているコンピューターで一部のスマート カードが機能しない可能性があります。 このポリシー設定を有効にするかどうかを判断するには、スマート カード製造元に問い合わせてください。 |
表示時に証明書に格納されているサブジェクト名を逆にする
このポリシー設定を使用して、サインイン時のサブジェクト名の表示方法を制御できます。
注
ユーザーが 1 つの証明書を別の証明書と区別できるように、ユーザー プリンシパル名 (UPN) と共通名が既定で表示されます。 たとえば、この設定を有効にすると、証明書の件名が CN=User1、OU=Users、DN=example、DN=com、 UPN が user1@example.comの場合、 User1 は と user1@example.com表示されます。 UPN が存在しない場合は、サブジェクト名全体が表示されます。 この設定は、そのサブジェクト名の外観を制御し、organizationに合わせて調整する必要がある場合があります。
このポリシー設定を有効にすると、サインイン中のサブジェクト名は、証明書に格納される方法とは逆に表示されます。
このポリシー設定が有効になっていない場合、サブジェクト名は証明書に格納されているのと同じように表示されます。
| 項目 | 説明 |
|---|---|
| レジストリ キー | ReverseSubject |
| 既定値 | オペレーティング システムのバージョンごとに変更なし 無効で構成されていないのは同等です |
| ポリシー管理 | 再起動要件: なし サインオフ要件: なし ポリシーの競合: なし |
スマート カードからの証明書の伝達を有効にする
このポリシー設定を使用して、スマート カードが挿入されたときに発生する証明書の伝達を管理できます。
注
証明書伝達サービスは、サインインしているユーザーがコンピューターに接続されているリーダーにスマート カードを挿入するときに適用されます。 このアクションにより、証明書がスマート カードから読み取られます。 その後、証明書がユーザーの個人用ストアに追加されます。
このポリシー設定を有効にすると、ユーザーがスマート カードを挿入するときに証明書の伝達が発生します。
このポリシー設定をオフにすると、証明書の伝達は行われず、Outlook などのアプリケーションでは証明書を使用できません。
| 項目 | 説明 |
|---|---|
| レジストリ キー | CertPropEnabled |
| 既定値 | オペレーティング システムのバージョンごとに変更なし 有効と未構成は同等です |
| ポリシー管理 | 再起動要件: なし サインオフ要件: なし ポリシーの競合: スマート カードからのルート証明書の伝達を有効にする設定が有効になっている場合に機能させるには、このポリシー設定を有効にする必要があります。 |
スマート カードからのルート証明書の伝達を有効にする
このポリシー設定を使用して、スマート カードが挿入されたときに発生するルート証明書の伝達を管理できます。
注
証明書伝達サービスは、サインインしているユーザーがコンピューターに接続されているリーダーにスマート カードを挿入するときに適用されます。 このアクションにより、証明書がスマート カードから読み取られます。 その後、証明書がユーザーの個人用ストアに追加されます。
このポリシー設定を有効にすると、ユーザーがスマート カードを挿入するときにルート証明書の伝達が発生します。
このポリシー設定がオンになっていない場合、ユーザーがスマート カードを挿入してもルート証明書の伝達は行われません。
| 項目 | 説明 |
|---|---|
| レジストリ キー | EnableRootCertificate Propagation |
| 既定値 | オペレーティング システムのバージョンごとに変更なし 有効と未構成は同等です |
| ポリシー管理 | 再起動要件: なし サインオフ要件: なし ポリシーの競合: このポリシー設定を機能させるには、[スマート カードからの証明書の伝達を有効にする] ポリシー設定も有効にする必要があります。 |
| メモとリソース |
スマート カード プラグ アンド プレイ サービスを有効にする
このポリシー設定を使用して、スマート カード プラグ アンド プレイを有効にするかどうかを制御できます。
注
ユーザーは、特別なミドルウェアを必要とせずに、Windows Updateを通じてドライバーを公開したベンダーのスマート カードを使用できます。 これらのドライバーは、Windows の他のデバイスのドライバーと同じ方法でダウンロードされます。 Windows Updateから適切なドライバーを使用できない場合は、サポートされているバージョンの Windows に含まれている PIV 準拠のミニ ドライバーがこれらのカードに使用されます。
このポリシー設定をオンにすると、スマート カードがスマート カード リーダーに初めて挿入されたときに、スマート カード デバイス ドライバーのインストールが試行されます。
このポリシー設定がオンになっていない場合、スマート カードがスマート カード リーダーに挿入されると、デバイス ドライバーはインストールされません。
| 項目 | 説明 |
|---|---|
| レジストリ キー | EnableScPnP |
| 既定値 | オペレーティング システムのバージョンごとに変更なし 有効と未構成は同等です |
| ポリシー管理 | 再起動要件: なし サインオフ要件: なし ポリシーの競合: なし |
| メモとリソース | このポリシー設定は、Windows ハードウェア品質ラボ (WHQL) テスト プロセスに合格したスマート カード ドライバーにのみ適用されます。 |
ベース CSP とスマート カード KSP レジストリ キー
基本暗号化サービス プロバイダー (CSP) とスマート カード キー ストレージ プロバイダー (KSP) に対して、次のレジストリ キーを構成できます。 次の表に、キーの一覧を示します。 すべてのキーで DWORD 型が使用されます。
Base CSP のレジストリ キーは、 のレジストリにあります HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider。
スマート カード KSP のレジストリ キーは にありますHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cryptography\Providers\Microsoft Smart Card Key Storage Provider。
ベース CSP とスマート カード KSP のレジストリ キー
| レジストリ キー | 説明 |
|---|---|
| AllowPrivateExchangeKeyImport | 0 以外の値を使用すると、キーアーカイブシナリオで使用するために RSA 交換 (暗号化など) 秘密キーをインポートできます。 既定値: 00000000 |
| AllowPrivateSignatureKeyImport | 0 以外の値を使用すると、キーアーカイブシナリオで使用するために RSA 署名秘密キーをインポートできます。 既定値: 00000000 |
| DefaultPrivateKeyLenBits | 必要に応じて、秘密キーの既定の長さを定義します。 既定値: 00000400 既定のキー生成パラメーター: 1024 ビット キー |
| RequireOnCardPrivateKeyGen | このキーは、秘密キーの生成時に必要なフラグカード設定します (既定値)。 この値を設定すると、ホストで生成されたキーをスマート カードにインポートできます。 これは、カードキー生成をサポートしていないスマート カードや、キー エスクローが必要なスマート カードに使用されます。 既定値: 00000000 |
| TransactionTimeoutMilliseconds | 既定のタイムアウト値を使用すると、時間のかかるトランザクションが失敗するかどうかを指定できます。 既定値: 000005dc スマート カードにトランザクションを保持するための既定のタイムアウトは 1.5 秒です。 |
スマート カード KSP の追加のレジストリ キー:
| レジストリ キー | 説明 |
|---|---|
| AllowPrivateECDHEKeyImport | この値を使用すると、キーアーカイブシナリオで使用するためにエフェメラル楕円曲線 Diffie-Hellman (ECDHE) 秘密キーをインポートできます。 既定値: 00000000 |
| AllowPrivateECDSAKeyImport | この値を使用すると、キーアーカイブシナリオで使用するために、楕円曲線デジタル署名アルゴリズム (ECDSA) 秘密キーをインポートできます。 既定値: 00000000 |
CRL チェック レジストリ キー
次の表に、キー配布センター (KDC) またはクライアントで証明書失効リスト (CRL) チェックをオフにするキーと対応する値を示します。 CRL チェックを管理するには、KDC とクライアントの両方の設定を構成する必要があります。
| レジストリ キー | 詳細 |
|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Kdc\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors |
型 = DWORD 値 = 1 |
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Control\LSA\Kerberos\Parameters\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors |
型 = DWORD 値 = 1 |
その他のスマート カード グループ ポリシー設定とレジストリ キー
スマート カード展開では、使いやすさまたはセキュリティを強化するために、追加のグループ ポリシー設定を使用できます。 スマート カード展開を補完できる次の 2 つのポリシー設定は次のとおりです。
- コンピューターの委任をオフにする
- 対話型ログオン: Ctrl + ALT + DEL は必要ありません (推奨されません)
次のスマート カード関連のグループ ポリシー設定は、コンピューターの構成\Windows 設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプションにあります。
ローカル セキュリティ ポリシーの設定
| グループ ポリシー設定とレジストリ キー | 既定値 | 説明 |
|---|---|---|
| 対話型ログオン: スマート カードが必要 scforceoption |
無効 | このセキュリティ ポリシー設定では、ユーザーがスマート カードを使用してコンピューターにサインインする必要があります。 有効ユーザーは、スマート カードを使用してのみコンピューターにサインインできます。 無効 ユーザーは任意の方法を使用してコンピューターにサインインできます。 注: Windows LAPS で管理されるローカル アカウントは、[有効] の場合、このポリシーから除外されます。 |
| 対話型ログオン: スマート カード取り出し時の動作 scremoveoption |
このポリシー設定は定義されていません。これは、システムがアクションなしとして扱うことを意味 します。 | この設定は、サインインしているユーザーのスマート カードがスマート カード リーダーから削除された場合の動作を決定します。 オプションは次のとおりです。 アクションなし ワークステーションのロック: スマート カードが削除されるとワークステーションがロックされるため、ユーザーはエリアを離れ、スマート カードを使用して保護されたセッションを維持できます。 強制的にログオフする: スマート カードが削除されると、ユーザーは自動的にサインアウトされます。 リモート デスクトップ サービス セッションの場合は切断する: スマート カードを削除すると、ユーザーがサインアウトせずにセッションが切断されます。 ユーザーは、スマート カードを再挿入し、後でセッションを再開したり、スマート カード リーダーを備えた別のコンピューターで再度サインインしたりしなくても実行できます。 セッションがローカルの場合、このポリシー設定は [ ワークステーションのロック ] オプションと同じように機能します。 |
ローカル セキュリティ ポリシー エディター (secpol.msc) から、システム ポリシーを編集および適用して、ローカル コンピューターまたはドメイン コンピューターの資格情報の委任を管理できます。
次のスマート カード関連のグループ ポリシー設定は、コンピューターの構成\管理用テンプレート\System\Credentials 委任にあります。
レジストリ キーは にあります HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults。
注
次の表では、新しい資格情報は、アプリケーションの実行時に求められる資格情報です。
資格情報の委任ポリシー設定
| グループ ポリシー設定とレジストリ キー | 既定値 | 説明 |
|---|---|---|
| 新しい資格情報の委任を許可する AllowFreshCredentials |
未構成 | このポリシー設定は、次の場合に適用されます。 信頼された X509 証明書または Kerberos プロトコルを使用してサーバー認証が達成された場合。 CredSSP コンポーネントを使用するアプリケーション (リモート デスクトップ サービスなど)。 有効: ユーザーの新しい資格情報を委任できるサーバーを指定できます。 [未構成]: 適切な相互認証の後、任意のコンピューターで実行されているリモート デスクトップ サービスへの新しい資格情報の委任が許可されます。 無効: すべてのコンピューターへの新しい資格情報の委任は許可されません。 注: このポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、次のように 1 つのワイルドカード文字を使用できます。 任意のコンピューターで実行されているリモート デスクトップ セッション ホスト (RD セッション ホスト) に *TERMSRV/** を使用します。 host.humanresources.fabrikam.com コンピューターで実行されている RD セッション ホストには TERMSRV/ host.humanresources.fabrikam.com を使用します。 .humanresources.fabrikam.com のすべてのコンピューターで実行されている RD セッション ホストに TERMSRV/*.humanresources.fabrikam.com を使用する |
| NTLM 専用サーバー認証を使用した新しい資格情報の委任を許可する AllowFreshCredentialsWhenNTLMOnly |
未構成 | このポリシー設定は、次の場合に適用されます。 NTLM を使用してサーバー認証が実現された場合。 CredSSP コンポーネントを使用するアプリケーション (リモート デスクトップなど)。 有効: ユーザーの新しい資格情報を委任できるサーバーを指定できます。 未構成: 適切な相互認証の後、すべてのコンピューターで実行されている RD セッション ホスト (TERMSRV/*) に対して、新しい資格情報の委任が許可されます。 無効: 新しい資格情報の委任は、どのコンピューターにも許可されません。 注: このポリシー設定は、1 つ以上の SPN に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字 (*) を使用できます。 例については、「 新しい資格情報の委任を許可する 」ポリシー設定の説明を参照してください。 |
| 新しい資格情報の委任を拒否する DenyFreshCredentials |
未構成 | このポリシー設定は、CredSSP コンポーネント (リモート デスクトップなど) を使用するアプリケーションに適用されます。 有効: ユーザーの新しい資格情報を委任できないサーバーを指定できます。 無効 または 未構成: サーバーが指定されていません。 注: このポリシー設定は、1 つ以上の SPN に設定できます。 SPN は、ユーザー資格情報を委任できないターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字 (*) を使用できます。 例については、「新しい資格情報の委任を許可する」ポリシー設定を参照してください。 |
スマート カード ログオンでリモート デスクトップ サービスを使用している場合、既定の資格情報と保存された資格情報を委任することはできません。 次の表にあるレジストリ キーと、HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults対応するグループ ポリシー設定は無視されます。
| レジストリ キー | 対応するグループ ポリシー設定 |
|---|---|
| AllowDefaultCredentials | 既定の資格情報の委任を許可する |
| AllowDefaultCredentialsWhenNTLMOnly | NTLM 専用サーバー認証を使用した既定の資格情報の委任を許可する |
| AllowSavedCredentials | 保存された資格情報の委任を許可する |
| AllowSavedCredentialsWhenNTLMOnly | NTLM 専用サーバー認証を使用して保存された資格情報の委任を許可する |