ダイナミック アクセス制御の概要Dynamic Access Control Overview

適用対象: Windows Server 2012 R2、Windows Server 2012Applies To: Windows Server 2012 R2, Windows Server 2012

この IT プロフェッショナル向けのトピックでは、Windows Server 2012 と Windows 8 で導入されたダイナミック アクセス制御とそれに関連する要素の概要について説明します。This overview topic for the IT professional describes Dynamic Access Control and its associated elements, which were introduced in Windows Server 2012 and Windows 8.

ドメインベースのダイナミック アクセス制御によって管理者は、明確に定義された規則 (リソースの秘密度、ユーザーの業務または役割、これらのリソースへのアクセスに使用されるデバイスの構成などを含めることができる) に基づいてアクセス制御の許可と制限を適用できます。Domain-based Dynamic Access Control enables administrators to apply access-control permissions and restrictions based on well-defined rules that can include the sensitivity of the resources, the job or role of the user, and the configuration of the device that is used to access these resources.

たとえば、ユーザーがオフィスのコンピューターからリソースにアクセスするときは、仮想プライベート ネットワークを介してポータブル コンピューターを使用するときとは異なるアクセス許可を持つ場合があります。For example, a user might have different permissions when they access a resource from their office computer versus when they are using a portable computer over a virtual private network. また、ネットワーク管理者が定めたセキュリティ要件をデバイスが満たしている場合にのみアクセスが許可される場合もあります。Or access may be allowed only if a device meets the security requirements that are defined by the network administrators. 動的 Access Control を使用すると、ユーザーのジョブまたはロールが変更された場合 (AD DS でユーザーのアカウント属性が変更された場合)、追加の管理者の介入なしに、ユーザーのアクセス許可が動的に変更されます。When Dynamic Access Control is used, a user's permissions change dynamically without additional administrator intervention if the user's job or role changes (resulting in changes to the user's account attributes in AD DS).

ダイナミック アクセス制御は、Windows Server 2012 と Windows 8 より前の Windows オペレーティング システムではサポートされていません。Dynamic Access Control is not supported in Windows operating systems prior to Windows Server 2012 and Windows 8. ダイナミック アクセス制御がサポートされているバージョンの Windows とサポートされていないバージョンの Windows 環境で構成すると、サポートされているバージョンのみにこの変更が実装されます。When Dynamic Access Control is configured in environments with supported and non-supported versions of Windows, only the supported versions will implement the changes.

ダイナミック アクセス制御に関連する機能と概念の代表的なものを次に示します。Features and concepts associated with Dynamic Access Control include:

集約型アクセス規則Central access rules

集約型のアクセス規則とは、ユーザー グループ、ユーザーの信頼性情報、デバイスの信頼性情報、リソース プロパティなどが関係する 1 つ以上の条件を含む承認規則のことです。A central access rule is an expression of authorization rules that can include one or more conditions involving user groups, user claims, device claims, and resource properties. 複数の集約型アクセス規則を、単一の集約型アクセス ポリシーとして結合できます。Multiple central access rules can be combined into a central access policy.

1 つ以上の集約型アクセス規則が 1 つのドメインに対して定義された場合、ファイル共有の管理者は特定の規則を特定のリソースおよびビジネス要件と適合させることができます。If one or more central access rules have been defined for a domain, file share administrators can match specific rules to specific resources and business requirements.

集約型アクセスポリシーCentral access policies

集約型アクセス ポリシーは、条件式を含む承認ポリシーです。Central access policies are authorization policies that include conditional expressions. たとえば、ファイル内の個人を特定できる情報 (PII) へのアクセスをファイル所有者と人事 (HR) 部門のメンバーのみに制限するビジネス要件が組織にあるとします。For example, let's say an organization has a business requirement to restrict access to personally identifiable information (PII) in files to only the file owner and members of the human resources (HR) department who are allowed to view PII information. これは、組織内のファイル サーバーにある PII ファイルに適用される組織全体のポリシーを表します。This represents an organization-wide policy that applies to PII files wherever they are located on file servers across the organization. 組織がこのポリシーを実装するためには、次の処理が可能でなければなりません。To implement this policy, an organization needs to be able to:

  • PII を含むファイルを特定し、マークする。Identify and mark the files that contain the PII.

  • PII 情報を表示できる HR のメンバーを特定およびグループ化する。Identify the group of HR members who are allowed to view the PII information.

  • 集約型アクセス規則に集約型アクセス ポリシーを追加し、組織内のすべてのファイル サーバーに保存された、PII を含むすべてのファイルにこの集約型アクセス規則を適用する。Add the central access policy to a central access rule, and apply the central access rule to all files that contain the PII, wherever they are located amongst the file servers across the organization.

集約型のアクセス ポリシーは、組織のサーバー全体に適用され、上位のセキュリティとして機能します。Central access policies act as security umbrellas that an organization applies across its servers. これらのポリシーは、ファイルやフォルダーに適用されているローカルのアクセス ポリシーまたは随意アクセス制御リスト (DACL) に追加されるものです (置き換わるわけではありません)。These policies are in addition to (but do not replace) the local access policies or discretionary access control lists (DACLs) that are applied to files and folders.

保険Claims

信頼性情報とは、ドメイン コントローラーによって公開されたユーザー、デバイス、リソースなどに関する一意の情報一式のことです。A claim is a unique piece of information about a user, device, or resource that has been published by a domain controller. 要求の有効な例として、ユーザーの役職、ファイルの部署分類、またはコンピューターの正常性状態があります。The user's title, the department classification of a file, or the health state of a computer are valid examples of a claim. 各エントリには複数の信頼性情報を含めることができ、信頼性情報を任意に組み合わせてリソース アクセスを承認できます。An entity can involve more than one claim, and any combination of claims can be used to authorize access to resources. サポートされているバージョンの Windows では、次の信頼情報の種類を使用できます。The following types of claims are available in the supported versions of Windows:

  • ユーザーの信頼性情報。特定のユーザーに関連付けられる Active Directory 属性です。User claims Active Directory attributes that are associated with a specific user.

  • デバイスの信頼性情報。特定のコンピューター オブジェクトに関連付けられる Active Directory 属性です。Device claims Active Directory attributes that are associated with a specific computer object.

  • リソース属性。承認判断で使用するようにマークされ、Active Directory で公開される、グローバル リソース プロパティです。Resource attributes Global resource properties that are marked for use in authorization decisions and published in Active Directory.

信頼性情報を使用して管理者は、式、規則、ポリシーに含めることができる、ユーザー、デバイス、リソースに関する組織またはエンタープライズ全体の明確な声明を作成できます。Claims make it possible for administrators to make precise organization- or enterprise-wide statements about users, devices, and resources that can be incorporated in expressions, rules, and policies.

Expressions

条件式は、アクセス制御管理の拡張機能の 1 つです。条件式を使用することで、特定の条件 (デバイスのグループ メンバーシップ、場所、セキュリティ状態など) が満たされる場合だけリソースへのアクセスを許可または拒否することができます。Conditional expressions are an enhancement to access control management that allow or deny access to resources only when certain conditions are met, for example, group membership, location, or the security state of the device. 式は、ACL エディターの [セキュリティの詳細設定] ダイアログ ボックス、または Active Directory 管理センター (ADAC) の集約型アクセス規則エディターを使用して管理できます。Expressions are managed through the Advanced Security Settings dialog box of the ACL Editor or the Central Access Rule Editor in the Active Directory Administrative Center (ADAC).

式は、管理者が複雑化するビジネス環境内で条件を柔軟に使用して重要リソースへのアクセスを管理するのに役立ちます。Expressions help administrators manage access to sensitive resources with flexible conditions in increasingly complex business environments.

提案されたアクセス許可Proposed permissions

提案されたアクセス許可を利用すると、アクセス制御の設定値を実際に変更することなく、設定値を変更した場合の影響を正確にモデル化できます。Proposed permissions enable an administrator to more accurately model the impact of potential changes to access control settings without actually changing them.

リソースに対する有効なアクセスを予測することで、変更を加える前にリソースのアクセス許可の計画と設定をスムーズに進めることができます。Predicting the effective access to a resource helps you plan and configure permissions for those resources before implementing those changes.

追加の変更Additional changes

ダイナミック アクセス制御をサポートするバージョンの Windows では、次の点も改善されています。Additional enhancements in the supported versions of Windows that support Dynamic Access Control include:

Kerberos 認証プロトコルにおける、ユーザーの信頼性情報、デバイスの信頼性情報、デバイス グループなどの確実な提供のサポート。Support in the Kerberos authentication protocol to reliably provide user claims, device claims, and device groups.

既定で、サポートされるバージョンの Windows を実行するデバイスは、ダイナミック アクセス制御関連の Kerberos チケット (複合認証に必要なデータが含まれる) を処理できます。By default, devices running any of the supported versions of Windows are able to process Dynamic Access Control-related Kerberos tickets, which include data needed for compound authentication. ドメイン コントローラーは、複合認証関連の情報が含まれる Kerberos チケットの発行と対応ができます。Domain controllers are able to issue and respond to Kerberos tickets with compound authentication-related information. ダイナミック アクセス制御を認識するようにドメインが設定されていると、デバイスは初期認証時にドメイン コントローラーから信頼性情報を受け取り、サービス チケット要求を提出するときに複合認証チケットを受け取ります。When a domain is configured to recognize Dynamic Access Control, devices receive claims from domain controllers during initial authentication, and they receive compound authentication tickets when submitting service ticket requests. 複合認証を行うと、ダイナミック アクセス制御を認識する、リソース上のユーザーとデバイスの識別情報を含むアクセス トークンが生成されます。Compound authentication results in an access token that includes the identity of the user and the device on the resources that recognize Dynamic Access Control.

ドメインのダイナミック アクセス制御を有効にするキー配布センター (KDC) グループ ポリシー設定の使用のサポート。Support for using the Key Distribution Center (KDC) Group Policy setting to enable Dynamic Access Control for a domain.

ドメイン コントローラーはすべて、[コンピューターの構成]、[ポリシー]、[管理用テンプレート]、[システム][KDC]、[ダイナミック アクセス制御と Kerberos 防御をサポートする] の順にアクセスした場所に置かれている管理用テンプレートのポリシー設定を同じにする必要があります。Every domain controller needs to have the same Administrative Template policy setting, which is located at Computer Configuration\Policies\Administrative Templates\System\KDC\Support Dynamic Access Control and Kerberos armoring.

ドメインのダイナミック アクセス制御を有効にするキー配布センター (KDC) グループ ポリシー設定の使用のサポート。Support for using the Key Distribution Center (KDC) Group Policy setting to enable Dynamic Access Control for a domain.

ドメイン コントローラーはすべて、[コンピューターの構成]、[ポリシー]、[管理用テンプレート]、[システム][KDC]、[ダイナミック アクセス制御と Kerberos 防御をサポートする] の順にアクセスした場所に置かれている管理用テンプレートのポリシー設定を同じにする必要があります。Every domain controller needs to have the same Administrative Template policy setting, which is located at Computer Configuration\Policies\Administrative Templates\System\KDC\Support Dynamic Access Control and Kerberos armoring.

Active Directory における、ユーザーの信頼性情報、デバイスの信頼性情報、リソース プロパティ、集約型アクセス ポリシー オブジェクトなどの保存のサポート。Support in Active Directory to store user and device claims, resource properties, and central access policy objects.

グループ ポリシーによる集約型アクセス ポリシー オブジェクトの展開のサポート。Support for using Group Policy to deploy central access policy objects.

[コンピューターの構成]、[ポリシー]、[Windows 設定]、[セキュリティの設定]、[ファイル システム]、[集約型アクセス ポリシー] の順にアクセスした場所にあるグループ ポリシー設定を使用すると、集約型アクセス ポリシー オブジェクトを組織内のファイル サーバーに展開できます。The following Group Policy setting enables you to deploy central access policy objects to file servers in your organization: Computer Configuration\Policies\ Windows Settings\Security Settings\File System\Central Access Policy.

グループ ポリシーとグローバル オブジェクト アクセスの監査による、ファイル システムを対象にした信頼性情報ベースのファイル承認/監査のサポート。Support for claims-based file authorization and auditing for file systems by using Group Policy and Global Object Access Auditing

提案されたアクセス許可を使用して集約型アクセス ポリシーの有効なアクセスを監査するには、ステージングされた集約型アクセス ポリシー監査を有効にする必要があります。You must enable staged central access policy auditing to audit the effective access of central access policy by using proposed permissions. コンピューターのこの設定値は、グループ ポリシー オブジェクト (GPO) の [セキュリティの設定][監査ポリシーの詳細な構成] で指定します。You configure this setting for the computer under Advanced Audit Policy Configuration in the Security Settings of a Group Policy Object (GPO). GPO でセキュリティ設定を構成すると、GPO をネットワーク内のコンピューターに展開できます。After you configure the security setting in the GPO, you can deploy the GPO to computers in your network.

Active Directory フォレストの信頼を走査する信頼性情報ポリシー オブジェクトの変換またはフィルター処理のサポート。Support for transforming or filtering claim policy objects that traverse Active Directory forest trusts

フォレストの信頼を走査する入力方向または出力方向の信頼性情報のフィルター処理または変換を行うことができます。You can filter or transform incoming and outgoing claims that traverse a forest trust. 信頼性情報のフィルター処理と変換には、次に示す 3 つの基本的なシナリオが存在します。There are three basic scenarios for filtering and transforming claims:

  • 値ベースのフィルター処理。フィルターを、信頼性情報の値に基づかせることができます。Value-based filtering Filters can be based on the value of a claim. これにより、信頼される側のフォレストは、特定の値を持つ信頼性情報が信頼する側のフォレストに送信されることを防ぐことができます。This allows the trusted forest to prevent claims with certain values from being sent to the trusting forest. 信頼する側のフォレストのドメイン コントローラーは、値ベースのフィルター処理を使用して、信頼される側のフォレストから入る特定の値を持つ信頼性情報のフィルター処理を行うことによって特権の昇格攻撃を避けることができます。Domain controllers in trusting forests can use value-based filtering to guard against an elevation-of-privilege attack by filtering the incoming claims with specific values from the trusted forest.

  • 信頼性情報の種類ベースのフィルター処理。信頼性情報の値ではなく信頼性情報の種類に基づいたフィルターです。Claim type-based filtering Filters are based on the type of claim, rather than the value of the claim. 信頼性情報の名前によって信頼性情報の種類を特定します。You identify the claim type by the name of the claim. 信頼されているフォレスト内で信頼性情報の種類ベースのフィルター処理を使用し、信頼する側のフォレストに対して情報を開示する信頼性情報を Windows が送信できないようにします。You use claim type-based filtering in the trusted forest, and it prevents Windows from sending claims that disclose information to the trusting forest.

  • 信頼性情報の種類ベースの変換。意図したターゲットに信頼性情報を送信する前にその情報を操作します。Claim type-based transformation Manipulates a claim before sending it to the intended target. 信頼される側のフォレストで信頼性情報の種類ベースの変換を使用し、特定の情報が含まれる既知の信頼性情報を一般化します。You use claim type-based transformation in the trusted forest to generalize a known claim that contains specific information. 変換を使用し、信頼性情報の種類、信頼性情報の値、またはこの両方を一般化できます。You can use transformations to generalize the claim-type, the claim value, or both.

ソフトウェア要件Software requirements

ダイナミック アクセス制御の信頼性情報と複合認証は、Kerberos 認証の拡張機能を必要とします。このため、ダイナミック アクセス制御をサポートするドメインはすべて、十分な数のドメイン コントローラーでサポートされるバージョンの Windows を実行し、ダイナミック アクセス制御対応の Kerberos クライアントからの認証をサポートする必要があります。Because claims and compound authentication for Dynamic Access Control require Kerberos authentication extensions, any domain that supports Dynamic Access Control must have enough domain controllers running the supported versions of Windows to support authentication from Dynamic Access Control-aware Kerberos clients. 既定では、デバイスは、他のサイトのドメイン コントローラーを使用する必要があります。By default, devices must use domain controllers in other sites. このようなドメイン コントローラーが使用できない場合、認証は失敗します。If no such domain controllers are available, authentication will fail. したがって、次に示す状況の 1 つをサポートする必要があります。Therefore, you must support one of the following conditions:

  • ダイナミック アクセス制御をサポートするすべてのドメインが、サポートされるバージョンの Windows または Windows Server を実行しているすべてのデバイスからの認証をサポートするには、サポートされるバージョンの Windows Server を実行している適切なドメイン コントローラーを用意する必要があります。Every domain that supports Dynamic Access Control must have enough domain controllers running the supported versions of Windows Server to support authentication from all devices running the supported versions of Windows or Windows Server.

  • サポートされるバージョンの Windows 実行するデバイス、または信頼性情報または複合 ID を使用してリソースを保護することがないデバイスは、ダイナミック アクセス制御の Kerberos プロトコル サポートを無効にする必要があります。Devices running the supported versions of Windows or that do not protect resources by using claims or compound identity, should disable Kerberos protocol support for Dynamic Access Control.

ユーザー信頼性情報をサポートするドメインの場合、信頼性情報と複合認証をサポートし、Kerberos 防御を提供するために、サポートされるバージョンの Windows Server を実行する各ドメイン コントローラーに適切な設定値を指定する必要があります。For domains that support user claims, every domain controller running the supported versions of Windows server must be configured with the appropriate setting to support claims and compound authentication, and to provide Kerberos armoring. KDC 管理用テンプレート ポリシーの設定値を指定するには、次のように操作します。Configure settings in the KDC Administrative Template policy as follows:

  • [常に信頼性情報を提供する]。すべてのドメイン コントローラーがサポートされるバージョンの Windows Server を実行している場合は、この設定を使用します。Always provide claims Use this setting if all domain controllers are running the supported versions of Windows Server. また、ドメインの機能レベルを Windows Server 2012 以上に設定します。In addition, set the domain functional level to Windows Server 2012 or higher.

  • [サポート]。この設定を使用する場合は、ドメイン コントローラーを監視し、ダイナミック アクセス制御によって保護されたリソースにアクセスする必要があるクライアント コンピューターの数に対応できるだけの十分な数のドメイン コントローラーがサポートされるバージョンの Windows Server を実行していることを確認してください。Supported When you use this setting, monitor domain controllers to ensure that the number of domain controllers running the supported versions of Windows Server is sufficient for the number of client computers that need to access resources protected by Dynamic Access Control.

ユーザードメインとファイルサーバードメインが異なるフォレストにある場合は、ファイルサーバーのフォレストルート内のすべてのドメインコントローラーを、Windows Server 2012 以上の機能レベルで設定する必要があります。If the user domain and file server domain are in different forests, all domain controllers in the file server's forest root must be set at the Windows Server 2012 or higher functional level.

クライアントがダイナミック アクセス制御を認識しない場合は、それらの 2 つのフォレスト間に双方向の信頼関係が存在していなければなりません。If clients do not recognize Dynamic Access Control, there must be a two-way trust relationship between the two forests.

要求がフォレストを離れるときに変換される場合は、ユーザーのフォレストルート内のすべてのドメインコントローラーが、Windows Server 2012 以上の機能レベルで設定されている必要があります。If claims are transformed when they leave a forest, all domain controllers in the user's forest root must be set at the Windows Server 2012 or higher functional level.

Windows Server 2012 または Windows Server 2012 R2 を実行するファイル サーバーには、信頼性情報を搬送しないユーザー トークンのためにユーザーの信頼性情報を取得する必要があるかどうかを指定するグループ ポリシー設定が必要です。A file server running Windows Server 2012 or Windows Server 2012 R2 must have a Group Policy setting that specifies whether it needs to get user claims for user tokens that do not carry claims. この設定値は、既定で [自動] に指定されます。この結果、そのファイル サーバー用のユーザー信頼性情報またはデバイス信頼性情報を含む集約型ポリシーが存在する場合には、このグループ ポリシー設定が [オン] になります。This setting is set by default to Automatic, which results in this Group Policy setting to be turned On if there is a central policy that contains user or device claims for that file server. ファイル サーバーにユーザーの信頼性情報が入った随意 ACL が含まれる場合は、このグループ ポリシーを [オン] にする必要があります。これにより、サーバーは、サーバーにアクセスする際に信頼性情報を提供しないユーザーに代わって信頼性情報を要求する必要があることを認識できます。If the file server contains discretionary ACLs that include user claims, you need to set this Group Policy to On so that the server knows to request claims on behalf of users that do not provide claims when they access the server.

その他のリソースAdditional resource

このテクノロジに基づくソリューションの実装の詳細については、「 Dynamic Access Control: シナリオの概要」を参照してください。For information about implementing solutions based on this technology, see Dynamic Access Control: Scenario Overview.