ポリシー CSP - ADMX_CredSsp
ヒント
この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML のデータ型を として <Format>chr</Format>指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。
SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。
AllowDefaultCredentials
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefaultCredentials
このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。
このポリシー設定は、信頼された X509 証明書または Kerberos を使用してサーバー認証が実現された場合に適用されます。
- このポリシー設定を有効にした場合は、ユーザーの既定の資格情報を委任できるサーバーを指定できます (既定の資格情報は、最初に Windows にログオンするときに使用する資格情報です)。
このポリシーは、ユーザーが次回 Windows を実行しているコンピューターにサインオンすると有効になります。
- このポリシー設定を無効にするか、(既定で) 構成しない場合、既定の資格情報の委任はどのコンピューターにも許可されません。 この委任の動作に応じてアプリケーションが認証に失敗する可能性があります。 詳細については、「KB」を参照してください。
KB の FWlink:
https://go.microsoft.com/fwlink/?LinkId=301508
注
"既定の資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字を使用できます。
例えば:
TERMSRV/host.humanresources.fabrikam.com コンピューターで実行されているリモート デスクトップ セッション ホスト host.humanresources.fabrikam.com。
TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。
TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | AllowDefaultCredentials |
| フレンドリ名 | 既定の資格情報の委任を許可する |
| 場所 | [コンピューターの構成] |
| パス | システム > 資格情報の委任 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| レジストリ値の名前 | AllowDefaultCredentials |
| ADMX ファイル名 | CredSsp.admx |
AllowDefCredentialsWhenNTLMOnly
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly
このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。
このポリシー設定は、NTLM 経由でサーバー認証が達成された場合に適用されます。
このポリシー設定を有効にした場合は、ユーザーの既定の資格情報を委任できるサーバーを指定できます (既定の資格情報は、最初に Windows にログオンするときに使用する資格情報です)。
このポリシー設定を無効にするか、(既定で) 構成しない場合、既定の資格情報の委任はどのマシンにも許可されません。
注
"NTLM 専用サーバー認証による既定の資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字を使用できます。
例えば:
TERMSRV/host.humanresources.fabrikam.com コンピューターで実行されているリモート デスクトップ セッション ホスト host.humanresources.fabrikam.com。
TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。
TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | AllowDefCredentialsWhenNTLMOnly |
| フレンドリ名 | NTLM 専用サーバー認証を使用した既定の資格情報の委任を許可する |
| 場所 | [コンピューターの構成] |
| パス | システム > 資格情報の委任 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| レジストリ値の名前 | AllowDefCredentialsWhenNTLMOnly |
| ADMX ファイル名 | CredSsp.admx |
AllowEncryptionOracle
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowEncryptionOracle
暗号化 Oracle 修復。
このポリシー設定は、CredSSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。
CredSSP プロトコルの一部のバージョンでは、クライアントに対する暗号化 Oracle 攻撃に対して脆弱です。 このポリシーは、脆弱なクライアントとサーバーとの互換性を制御します。 このポリシーを使用すると、暗号化 Oracle の脆弱性に必要な保護レベルを設定できます。
このポリシー設定を有効にすると、次のオプションに基づいて CredSSP バージョンのサポートが選択されます。
強制的に更新されたクライアント: CredSSP を使用するクライアント アプリケーションは、セキュリティで保護されていないバージョンにフォールバックできず、CredSSP を使用するサービスでは、パッチが適用されていないクライアントは受け入れられません。 すべてのリモート ホストが最新バージョンをサポートするまで、この設定を展開しないでください。
軽減: CredSSP を使用するクライアント アプリケーションは安全でないバージョンにフォールバックできませんが、CredSSP を使用するサービスは、パッチが適用されていないクライアントを受け入れます。 パッチが適用されていないクライアントの残りのリスクに関する重要な情報については、以下のリンクを参照してください。
脆弱: CredSSP を使用するクライアント アプリケーションでは、CredSSP を使用してセキュリティで保護されていないバージョンとサービスへのフォールバックをサポートすることで、リモート サーバーが攻撃に公開され、パッチが適用されていないクライアントが受け入れられます。
保護に関する脆弱性とサービス要件の詳細については、次を参照してください。 https://go.microsoft.com/fwlink/?linkid=866660
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | AllowEncryptionOracle |
| フレンドリ名 | 暗号化 Oracle 修復 |
| 場所 | [コンピューターの構成] |
| パス | システム > 資格情報の委任 |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
| ADMX ファイル名 | CredSsp.admx |
AllowFreshCredentials
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentials
このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。
このポリシー設定は、信頼された X509 証明書または Kerberos を使用してサーバー認証が達成された場合に適用されます。
このポリシー設定を有効にした場合は、ユーザーの新しい資格情報を委任できるサーバーを指定できます (新しい資格情報は、アプリケーションの実行時に求められる資格情報です)。
このポリシー設定を (既定で) 構成しない場合は、適切な相互認証の後、任意のコンピューター (TERMSRV/*) で実行されているリモート デスクトップ セッション ホストへの新しい資格情報の委任が許可されます。
このポリシー設定を無効にした場合、新しい資格情報の委任はどのマシンにも許可されません。
注
"新しい資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカードを使用できます。
例えば:
TERMSRV/host.humanresources.fabrikam.com。
host.humanresources.fabrikam.com マシンで実行されているリモート デスクトップ セッション ホスト。
TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。
TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | AllowFreshCredentials |
| フレンドリ名 | 新しい資格情報の委任を許可する |
| 場所 | [コンピューターの構成] |
| パス | システム > 資格情報の委任 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| レジストリ値の名前 | AllowFreshCredentials |
| ADMX ファイル名 | CredSsp.admx |
AllowFreshCredentialsWhenNTLMOnly
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly
このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。
このポリシー設定は、NTLM 経由でサーバー認証が達成された場合に適用されます。
このポリシー設定を有効にした場合は、ユーザーの新しい資格情報を委任できるサーバーを指定できます (新しい資格情報は、アプリケーションの実行時に求められる資格情報です)。
このポリシー設定を (既定で) 構成しない場合は、適切な相互認証の後、任意のコンピューター (TERMSRV/*) で実行されているリモート デスクトップ セッション ホストへの新しい資格情報の委任が許可されます。
このポリシー設定を無効にした場合、新しい資格情報の委任はどのマシンにも許可されません。
注
"NTLM 専用サーバー認証による新しい資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字を使用できます。
例えば:
TERMSRV/host.humanresources.fabrikam.com コンピューターで実行されているリモート デスクトップ セッション ホスト host.humanresources.fabrikam.com。
TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。
TERMSRV/*.humanresources.fabrikam.com humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | AllowFreshCredentialsWhenNTLMOnly |
| フレンドリ名 | NTLM 専用サーバー認証で新しい資格情報の委任を許可する |
| 場所 | [コンピューターの構成] |
| パス | システム > 資格情報の委任 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| レジストリ値の名前 | AllowFreshCredentialsWhenNTLMOnly |
| ADMX ファイル名 | CredSsp.admx |
AllowSavedCredentials
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentials
このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。
このポリシー設定は、信頼された X509 証明書または Kerberos を使用してサーバー認証が達成された場合に適用されます。
このポリシー設定を有効にした場合は、ユーザーの保存した資格情報を委任できるサーバーを指定できます (保存された資格情報は、Windows 資格情報マネージャーを使用して保存/記憶することを選択したサーバーです)。
このポリシー設定を (既定で) 構成しない場合、適切な相互認証の後、保存された資格情報の委任は、任意のコンピューターで実行されているリモート デスクトップ セッション ホスト (TERMSRV/*) に許可されます。
このポリシー設定を無効にした場合、保存された資格情報の委任はどのマシンにも許可されません。
注
"保存された資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字を使用できます。
例えば:
TERMSRV/host.humanresources.fabrikam.com コンピューターで実行されているリモート デスクトップ セッション ホスト host.humanresources.fabrikam.com。
TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。
TERMSRV/*.humanresources.fabrikam.com humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | AllowSavedCredentials |
| フレンドリ名 | 保存された資格情報の委任を許可する |
| 場所 | [コンピューターの構成] |
| パス | システム > 資格情報の委任 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| レジストリ値の名前 | AllowSavedCredentials |
| ADMX ファイル名 | CredSsp.admx |
AllowSavedCredentialsWhenNTLMOnly
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly
このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。
このポリシー設定は、NTLM 経由でサーバー認証が達成された場合に適用されます。
このポリシー設定を有効にした場合は、ユーザーの保存した資格情報を委任できるサーバーを指定できます (保存された資格情報は、Windows 資格情報マネージャーを使用して保存/記憶することを選択したサーバーです)。
このポリシー設定を (既定で) 構成しない場合、適切な相互認証の後、クライアント コンピューターがドメインのメンバーでない場合は、任意のマシン (TERMSRV/*) で実行されているリモート デスクトップ セッション ホストへの保存された資格情報の委任が許可されます。 クライアントがドメインに参加している場合、既定では、保存された資格情報の委任はどのマシンにも許可されません。
このポリシー設定を無効にした場合、保存された資格情報の委任はどのマシンにも許可されません。
注
"NTLM 専用サーバー認証で保存された資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字を使用できます。
例えば:
TERMSRV/host.humanresources.fabrikam.com コンピューターで実行されているリモート デスクトップ セッション ホスト host.humanresources.fabrikam.com。
TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。
TERMSRV/*.humanresources.fabrikam.com humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | AllowSavedCredentialsWhenNTLMOnly |
| フレンドリ名 | NTLM 専用サーバー認証を使用して保存された資格情報の委任を許可する |
| 場所 | [コンピューターの構成] |
| パス | システム > 資格情報の委任 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| レジストリ値の名前 | AllowSavedCredentialsWhenNTLMOnly |
| ADMX ファイル名 | CredSsp.admx |
DenyDefaultCredentials
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyDefaultCredentials
このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。
このポリシー設定を有効にした場合、ユーザーの既定の資格情報を委任できないサーバーを指定できます (既定の資格情報は、最初に Windows にログオンするときに使用する資格情報です)。
このポリシー設定を無効にするか、(既定で) 構成しない場合、このポリシー設定ではサーバーは指定されません。
注
"既定の資格情報の委任を拒否する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できないターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字を使用できます。
例えば:
TERMSRV/host.humanresources.fabrikam.com コンピューターで実行されているリモート デスクトップ セッション ホスト host.humanresources.fabrikam.com。
TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。
TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。
このポリシー設定は、"既定の資格情報の委任を許可する" ポリシー設定と組み合わせて使用して、"既定の資格情報の委任を許可する" サーバーの一覧でワイルドカード文字を使用するときに許可されない特定のサーバーの例外を定義できます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DenyDefaultCredentials |
| フレンドリ名 | 既定の資格情報の委任を拒否する |
| 場所 | [コンピューターの構成] |
| パス | システム > 資格情報の委任 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| レジストリ値の名前 | DenyDefaultCredentials |
| ADMX ファイル名 | CredSsp.admx |
DenyFreshCredentials
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyFreshCredentials
このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。
このポリシー設定を有効にした場合、ユーザーの新しい資格情報を委任できないサーバーを指定できます (新しい資格情報は、アプリケーションの実行時に求められる資格情報です)。
このポリシー設定を無効にするか、(既定で) 構成しない場合、このポリシー設定ではサーバーは指定されません。
注
"新しい資格情報の委任を拒否する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できないターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字を使用できます。
例えば:
TERMSRV/host.humanresources.fabrikam.com コンピューターで実行されているリモート デスクトップ セッション ホスト host.humanresources.fabrikam.com。
TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。
TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。
このポリシー設定は、"新しい資格情報の委任を許可する" ポリシー設定と組み合わせて使用して、"新しい資格情報の委任を許可する" サーバーの一覧でワイルドカード文字を使用するときに許可されない特定のサーバーの例外を定義できます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DenyFreshCredentials |
| フレンドリ名 | 新しい資格情報の委任を拒否する |
| 場所 | [コンピューターの構成] |
| パス | システム > 資格情報の委任 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| レジストリ値の名前 | DenyFreshCredentials |
| ADMX ファイル名 | CredSsp.admx |
DenySavedCredentials
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenySavedCredentials
このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。
このポリシー設定を有効にした場合、ユーザーの保存した資格情報を委任できないサーバーを指定できます (保存された資格情報は、Windows 資格情報マネージャーを使用して保存/記憶することを選択したサーバーです)。
このポリシー設定を無効にするか、(既定で) 構成しない場合、このポリシー設定ではサーバーは指定されません。
注
"保存された資格情報の委任を拒否する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できないターゲット サーバーを表します。 SPN を指定する場合は、単一のワイルドカード文字を使用できます。
例えば:
TERMSRV/host.humanresources.fabrikam.com コンピューターで実行されているリモート デスクトップ セッション ホスト host.humanresources.fabrikam.com。
TERMSRV/* すべてのマシンで実行されているリモート デスクトップ セッション ホスト。
TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのマシンで実行されているリモート デスクトップ セッション ホスト。
このポリシー設定は、"保存された資格情報の委任を許可する" ポリシー設定と組み合わせて使用して、"保存された資格情報の委任を許可する" サーバーの一覧でワイルドカード文字を使用するときに許可されない特定のサーバーの例外を定義できます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DenySavedCredentials |
| フレンドリ名 | 保存された資格情報の委任を拒否する |
| 場所 | [コンピューターの構成] |
| パス | システム > 資格情報の委任 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| レジストリ値の名前 | DenySavedCredentials |
| ADMX ファイル名 | CredSsp.admx |
RestrictedRemoteAdministration
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
制限付き管理またはリモート資格情報ガード モードで実行する場合、参加しているアプリはサインインまたは指定された資格情報をリモート ホストに公開しません。 制限付き管理では、資格情報が委任されないため、リモート ホストから他のサーバーまたはネットワーク上にあるリソースへのアクセスが制限されます。 リモート Credential Guard は、すべての要求をクライアント デバイスにリダイレクトするため、リソースへのアクセスを制限しません。
参加しているアプリ:
リモート デスクトップ クライアント。
- このポリシー設定を有効にすると、次のオプションがサポートされます。
資格情報の委任を制限する: 参加しているアプリケーションは、制限付き管理またはリモート資格情報ガードを使用してリモート ホストに接続する必要があります。
リモート資格情報ガードが必要: 参加しているアプリケーションは、リモート 資格情報ガードを使用してリモート ホストに接続する必要があります。
制限付き管理が必要: 参加しているアプリケーションは、制限付き管理を使用してリモート ホストに接続する必要があります。
- このポリシー設定を無効にするか、構成しない場合、制限付き管理とリモート資格情報ガード モードは適用されず、参加しているアプリは資格情報をリモート デバイスに委任できます。
注
ほとんどの資格情報の委任を無効にするには、管理用テンプレートの設定 (コンピューターの構成\管理用テンプレート\System\Credentials 委任にあります) を変更することで、資格情報セキュリティ サポート プロバイダー (CredSSP) での委任を拒否するだけで十分な場合があります。
注
Windows 8.1 および Windows Server 2012 R2 では、このポリシーを有効にすると、選択したモードに関係なく、制限付き管理モードが適用されます。 これらのバージョンでは、リモート資格情報ガードはサポートされていません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | RestrictedRemoteAdministration |
| フレンドリ名 | リモート サーバーへの資格情報の委任を制限する |
| 場所 | [コンピューターの構成] |
| パス | システム > 資格情報の委任 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\CredentialsDelegation |
| レジストリ値の名前 | RestrictedRemoteAdministration |
| ADMX ファイル名 | CredSsp.admx |
関連記事
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示