ポリシー CSP - ADMX_CredSsp

警告

一部の情報はリリース前の製品に関することであり、正式版がリリースされるまでに大幅に変更される可能性があります。 本書に記載された情報について、Microsoft は明示または黙示を問わずいかなる保証も行いません。


ADMX_CredSspポリシー

ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly
ADMX_CredSsp/AllowDefaultCredentials
ADMX_CredSsp/AllowEncryptionOracle
ADMX_CredSsp/AllowFreshCredentials
ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly
ADMX_CredSsp/AllowSavedCredentials
ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly
ADMX_CredSsp/DenyDefaultCredentials
ADMX_CredSsp/DenyFreshCredentials
ADMX_CredSsp/DenySavedCredentials
ADMX_CredSsp/RestrictedRemoteAdministration

ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly

Windows エディション サポート
Home cross mark
Pro cross mark
会社 cross mark
Enterprise check mark
Education cross mark

範囲:

  • デバイス

最新の Windows 10 Insider Preview ビルドで使用できます。 このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

このポリシー設定は、NTLM 経由でサーバー認証が達成された場合に適用されます。

このポリシー設定を有効にした場合は、ユーザーの既定の資格情報を委任できるサーバーを指定できます (既定の資格情報は、Windows に最初にログオンするときに使用する資格情報です)。

このポリシー設定を無効にするか(既定で)構成しない場合、既定の資格情報の委任は、どのコンピューターにも許可されません。

注意

"NTLM 専用サーバー認証による既定の資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、1 つのワイルドカード文字を使用できます。

例えば:

  • TERMSRV/host.humanresources.fabrikam.com リモート デスクトップ セッション ホストがコンピューター上 host.humanresources.fabrikam.com する
  • TERMSRV/* すべてのコンピューターで実行されているリモート デスクトップ セッション ホスト。
  • TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com のすべてのコンピューターで実行されているリモート デスクトップ セッション ホスト

ヒント

これは ADMX でサポートされるポリシーであり、有効または無効にするには特別な SyncML 形式が必要です。 詳細については 、「ADMX でサポートされるポリシーについて」を参照してください

SyncML でデータ型を Format < > chr < /Format として指定する必要があります > 。 SyncML の例については、「ポリシーの有効化 」を参照してください

SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードでは、使用できるさまざまなオンライン エンコーダーがあります。 ペイロードのエンコードを避けるために、MDM でサポートされている場合は CDATA を使用できます。 詳細については 、「CDATA セクション」を参照してください

ADMX の情報:

  • GP 英語名: NTLM 専用サーバー認証で既定の資格情報の委任 を許可する
  • GP 名: AllowDefCredentialsWhenNTLMOnly
  • GP パス: System\Credentials 委任
  • GP ADMX ファイル名: CredSsp.admx

ADMX_CredSsp/AllowDefaultCredentials

Windows エディション サポート
Home cross mark
Pro cross mark
会社 cross mark
Enterprise check mark
Education cross mark

範囲:

  • デバイス

最新の Windows 10 Insider Preview ビルドで使用できます。 このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

このポリシー設定は、信頼できる X509 証明書または Kerberos を使用してサーバー認証が達成された場合に適用されます。

このポリシー設定を有効にした場合は、ユーザーの既定の資格情報を委任できるサーバーを指定できます (既定の資格情報は、Windows に最初にログオンするときに使用する資格情報です)。

このポリシーは、ユーザーが次回 Windows を実行しているコンピューターにサインインすると有効になります。

このポリシー設定を無効にした場合、または構成しない場合(既定では)、既定の資格情報の委任は任意のコンピューターに対して許可されません。 この委任動作に応じてアプリケーションが認証に失敗する可能性があります。 詳細については、「KB」を参照してください。

KB の FWlink: https://go.microsoft.com/fwlink/?LinkId=301508

注意

[既定の資格情報の委任を許可する] ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、1 つのワイルドカード文字を使用できます。

例えば:

  • TERMSRV/host.humanresources.fabrikam.com リモート デスクトップ セッション ホストがコンピューター上 host.humanresources.fabrikam.com する
  • TERMSRV/* すべてのコンピューターで実行されているリモート デスクトップ セッション ホスト。
  • TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com のすべてのコンピューターで実行されているリモート デスクトップ セッション ホスト

ヒント

これは ADMX でサポートされるポリシーであり、有効または無効にするには特別な SyncML 形式が必要です。 詳細については 、「ADMX でサポートされるポリシーについて」を参照してください

SyncML でデータ型を Format < > chr < /Format として指定する必要があります > 。 SyncML の例については、「ポリシーの有効化 」を参照してください

SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードでは、使用できるさまざまなオンライン エンコーダーがあります。 ペイロードのエンコードを避けるために、MDM でサポートされている場合は CDATA を使用できます。 詳細については 、「CDATA セクション」を参照してください

ADMX の情報:

  • GP 英語名: 既定の資格情報の委任を許可する
  • GP 名: AllowDefaultCredentials
  • GP パス: System\Credentials 委任
  • GP ADMX ファイル名: CredSsp.admx

ADMX_CredSsp/AllowEncryptionOracle

Windows エディション サポート
Home cross mark
Pro cross mark
会社 cross mark
Enterprise check mark
Education cross mark

範囲:

  • デバイス

最新の Windows 10 Insider Preview ビルドで使用できます。 このポリシー設定は、CredSSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

一部のバージョンの CredSSP プロトコルは、クライアントに対する暗号化 Oracle 攻撃に対して脆弱です。 このポリシーは、脆弱なクライアントおよびサーバーとの互換性を制御します。 このポリシーを使用すると、暗号化 Oracle の脆弱性に必要な保護レベルを設定できます。

このポリシー設定を有効にすると、次のオプションに基づいて CredSSP バージョンのサポートが選択されます。

  • 強制的に更新されたクライアント: CredSSP を使用するクライアント アプリケーションは、セキュリティで保護されていないバージョンに戻り、CredSSP を使用するサービスは、パッチが適用されていないクライアントを受け入れしません。

    注意

    すべてのリモート ホストが最新バージョンをサポートするまで、この設定を展開する必要があります。

  • 軽減: CredSSP を使用するクライアント アプリケーションはセキュリティ保護されていないバージョンに戻るはできますが、CredSSP を使用するサービスは、パッチが適用されていないクライアントを受け入れる可能性があります。 未パッチのクライアントが引き続き受け取るリスクに関する重要な情報については、以下のリンクを参照してください。

  • 脆弱: CredSSP を使用するクライアント アプリケーションは、CredSSP を使用する安全でないバージョンとサービスへのフォール バックをサポートすることで、リモート サーバーを攻撃にさらし、パッチが適用されていないクライアントを受け入れる可能性があります。

保護に関する脆弱性とサービス要件の詳細については、以下を参照してください。 https://go.microsoft.com/fwlink/?linkid=866660

ヒント

これは ADMX でサポートされるポリシーであり、有効または無効にするには特別な SyncML 形式が必要です。 詳細については 、「ADMX でサポートされるポリシーについて」を参照してください

SyncML でデータ型を Format < > chr < /Format として指定する必要があります > 。 SyncML の例については、「ポリシーの有効化 」を参照してください

SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードでは、使用できるさまざまなオンライン エンコーダーがあります。 ペイロードのエンコードを避けるために、MDM でサポートされている場合は CDATA を使用できます。 詳細については 、「CDATA セクション」を参照してください

ADMX の情報:

  • GP 英語名: 暗号化 Oracle 修復
  • GP 名: AllowEncryptionOracle
  • GP パス: System\Credentials 委任
  • GP ADMX ファイル名: CredSsp.admx

ADMX_CredSsp/AllowFreshCredentials

Windows エディション サポート
Home cross mark
Pro cross mark
会社 cross mark
Enterprise check mark
Education cross mark

範囲:

  • デバイス

最新の Windows 10 Insider Preview ビルドで使用できます。 このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

このポリシー設定は、信頼できる X509 証明書または Kerberos を介してサーバー認証が達成された場合に適用されます。

このポリシー設定を有効にした場合は、ユーザーの新しい資格情報を委任できるサーバーを指定できます (新しい資格情報は、アプリケーションの実行時に求めるメッセージが表示されます)。

(既定では) このポリシー設定を構成しない場合、適切な相互認証の後、任意のコンピューターで実行されているリモート デスクトップ セッション ホスト (TERMSRV/*) に新しい資格情報の委任が許可されます。

このポリシー設定を無効にした場合、新しい資格情報の委任は、どのコンピューターにも許可されません。

注意

[新しい資格情報の委任を許可する] ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、1 つのワイルドカードを使用できます。

例えば:

  • TERMSRV/host.humanresources.fabrikam.com リモート デスクトップ セッション ホストがコンピューター上 host.humanresources.fabrikam.com する
  • TERMSRV/* すべてのコンピューターで実行されているリモート デスクトップ セッション ホスト。
  • TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com のすべてのコンピューターで実行されているリモート デスクトップ セッション ホスト

ヒント

これは ADMX でサポートされるポリシーであり、有効または無効にするには特別な SyncML 形式が必要です。 詳細については 、「ADMX でサポートされるポリシーについて」を参照してください

SyncML でデータ型を Format < > chr < /Format として指定する必要があります > 。 SyncML の例については、「ポリシーの有効化 」を参照してください

SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードでは、使用できるさまざまなオンライン エンコーダーがあります。 ペイロードのエンコードを避けるために、MDM でサポートされている場合は CDATA を使用できます。 詳細については 、「CDATA セクション」を参照してください

ADMX の情報:

  • GP 英語名: 新しい資格情報の委任を許可する
  • GP 名: AllowFreshCredentials
  • GP パス: System\Credentials 委任
  • GP ADMX ファイル名: CredSsp.admx

ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly

Windows エディション サポート
Home cross mark
Pro cross mark
会社 cross mark
Enterprise check mark
Education cross mark

範囲:

  • デバイス

最新の Windows 10 Insider Preview ビルドで使用できます。 このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

このポリシー設定は、NTLM 経由でサーバー認証が達成された場合に適用されます。

このポリシー設定を有効にした場合は、ユーザーの新しい資格情報を委任できるサーバーを指定できます (新しい資格情報は、アプリケーションの実行時に求めるメッセージが表示されます)。

(既定では) このポリシー設定を構成しない場合、適切な相互認証の後、任意のコンピューターで実行されているリモート デスクトップ セッション ホスト (TERMSRV/*) に新しい資格情報の委任が許可されます。

このポリシー設定を無効にした場合、新しい資格情報の委任は、どのコンピューターにも許可されません。

注意

"NTLM 専用サーバー認証による新しい資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、1 つのワイルドカード文字を使用できます。

例えば:

  • TERMSRV/host.humanresources.fabrikam.com リモート デスクトップ セッション ホストがコンピューター上 host.humanresources.fabrikam.com する
  • TERMSRV/* すべてのコンピューターで実行されているリモート デスクトップ セッション ホスト。
  • TERMSRV/*.humanresources.fabrikam.com リモート デスクトップ セッション ホストは、すべてのコンピューターで実行 humanresources.fabrikam.com

ヒント

これは ADMX でサポートされるポリシーであり、有効または無効にするには特別な SyncML 形式が必要です。 詳細については 、「ADMX でサポートされるポリシーについて」を参照してください

SyncML でデータ型を Format < > chr < /Format として指定する必要があります > 。 SyncML の例については、「ポリシーの有効化 」を参照してください

SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードでは、使用できるさまざまなオンライン エンコーダーがあります。 ペイロードのエンコードを避けるために、MDM でサポートされている場合は CDATA を使用できます。 詳細については 、「CDATA セクション」を参照してください

ADMX の情報:

  • GP 英語名: NTLM 専用サーバー認証で新しい資格情報の委任 を許可する
  • GP 名: AllowFreshCredentialsWhenNTLMOnly
  • GP パス: System\Credentials 委任
  • GP ADMX ファイル名: CredSsp.admx

ADMX_CredSsp/AllowSavedCredentials

Windows エディション サポート
Home cross mark
Pro cross mark
会社 cross mark
Enterprise check mark
Education cross mark

範囲:

  • デバイス

最新の Windows 10 Insider Preview ビルドで使用できます。 このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

このポリシー設定は、信頼できる X509 証明書または Kerberos を介してサーバー認証が達成された場合に適用されます。

このポリシー設定を有効にした場合は、ユーザーの保存された資格情報を委任できるサーバーを指定できます (保存された資格情報は、Windows 資格情報マネージャーを使用して保存または記憶する必要がある資格情報です)。

(既定では) このポリシー設定を構成しない場合、適切な相互認証の後、保存された資格情報の委任は、任意のコンピューターで実行されているリモート デスクトップ セッション ホスト (TERMSRV/*) に許可されます。

このポリシー設定を無効にすると、保存された資格情報の委任は、どのコンピューターにも許可されません。

注意

[保存された資格情報の委任を許可する] ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、1 つのワイルドカード文字を使用できます。

例えば:

  • TERMSRV/host.humanresources.fabrikam.com リモート デスクトップ セッション ホストがコンピューター上 host.humanresources.fabrikam.com する
  • TERMSRV/* すべてのコンピューターで実行されているリモート デスクトップ セッション ホスト。
  • TERMSRV/*.humanresources.fabrikam.com リモート デスクトップ セッション ホストは、すべてのコンピューターで実行 humanresources.fabrikam.com

ヒント

これは ADMX でサポートされるポリシーであり、有効または無効にするには特別な SyncML 形式が必要です。 詳細については 、「ADMX でサポートされるポリシーについて」を参照してください

SyncML でデータ型を Format < > chr < /Format として指定する必要があります > 。 SyncML の例については、「ポリシーの有効化 」を参照してください

SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードでは、使用できるさまざまなオンライン エンコーダーがあります。 ペイロードのエンコードを避けるために、MDM でサポートされている場合は CDATA を使用できます。 詳細については 、「CDATA セクション」を参照してください

ADMX の情報:

  • GP 英語名: 保存された資格情報の委任を許可する
  • GP 名: AllowSavedCredentials
  • GP パス: System\Credentials 委任
  • GP ADMX ファイル名: CredSsp.admx

ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly

Windows エディション サポート
Home cross mark
Pro cross mark
会社 cross mark
Enterprise check mark
Education cross mark

範囲:

  • デバイス

最新の Windows 10 Insider Preview ビルドで使用できます。 このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

このポリシー設定は、NTLM 経由でサーバー認証が達成された場合に適用されます。

このポリシー設定を有効にした場合は、ユーザーの保存された資格情報を委任できるサーバーを指定できます (保存された資格情報は、Windows 資格情報マネージャーを使用して保存または記憶する必要がある資格情報です)。

(既定では) このポリシー設定を構成しない場合、適切な相互認証の後、クライアント コンピューターがドメインのメンバーではない場合、保存された資格情報の委任は、任意のコンピューターで実行されているリモート デスクトップ セッション ホスト (TERMSRV/*) に許可されます。 クライアントがドメインに参加している場合、既定では、保存された資格情報の委任は、どのコンピューターにも許可されません。

このポリシー設定を無効にすると、保存された資格情報の委任は、どのコンピューターにも許可されません。

注意

"NTLM 専用サーバー認証を使用して保存された資格情報の委任を許可する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できるターゲット サーバーを表します。 SPN を指定する場合は、1 つのワイルドカード文字を使用できます。

例えば:

  • TERMSRV/host.humanresources.fabrikam.com リモート デスクトップ セッション ホストがコンピューター上 host.humanresources.fabrikam.com する
  • TERMSRV/* すべてのコンピューターで実行されているリモート デスクトップ セッション ホスト。
  • TERMSRV/*.humanresources.fabrikam.com リモート デスクトップ セッション ホストは、すべてのコンピューターで実行 humanresources.fabrikam.com

ヒント

これは ADMX でサポートされるポリシーであり、有効または無効にするには特別な SyncML 形式が必要です。 詳細については 、「ADMX でサポートされるポリシーについて」を参照してください

SyncML でデータ型を Format < > chr < /Format として指定する必要があります > 。 SyncML の例については、「ポリシーの有効化 」を参照してください

SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードでは、使用できるさまざまなオンライン エンコーダーがあります。 ペイロードのエンコードを避けるために、MDM でサポートされている場合は CDATA を使用できます。 詳細については 、「CDATA セクション」を参照してください

ADMX の情報:

  • GP 英語名: NTLM 専用サーバー認証で保存された資格情報の委任 を許可する
  • GP 名: AllowSavedCredentialsWhenNTLMOnly
  • GP パス: System\Credentials 委任
  • GP ADMX ファイル名: CredSsp.admx

ADMX_CredSsp/DenyDefaultCredentials

Windows エディション サポート
Home cross mark
Pro cross mark
会社 cross mark
Enterprise check mark
Education cross mark

範囲:

  • デバイス

最新の Windows 10 Insider Preview ビルドで使用できます。 このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

このポリシー設定を有効にした場合は、ユーザーの既定の資格情報を委任できないサーバーを指定できます (既定の資格情報は、最初に Windows にログオンするときに使用する資格情報です)。

このポリシー設定を無効にするか(既定で) 構成しない場合、このポリシー設定ではサーバーは指定されません。

注意

"既定の資格情報の委任を拒否する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できないターゲット サーバーを表します。 SPN を指定する場合は、1 つのワイルドカード文字を使用できます。

例えば:

  • TERMSRV/host.humanresources.fabrikam.com リモート デスクトップ セッション ホストがコンピューター上 host.humanresources.fabrikam.com する
  • TERMSRV/* すべてのコンピューターで実行されているリモート デスクトップ セッション ホスト。
  • TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com のすべてのコンピューターで実行されているリモート デスクトップ セッション ホスト

このポリシー設定は、"既定の資格情報の委任を許可する" ポリシー設定と組み合わせて使用して、"既定の資格情報の委任を許可する" サーバー一覧でワイルドカード文字を使用する場合に許可される特定のサーバーの例外を定義できます。

ヒント

これは ADMX でサポートされるポリシーであり、有効または無効にするには特別な SyncML 形式が必要です。 詳細については 、「ADMX でサポートされるポリシーについて」を参照してください

SyncML でデータ型を Format < > chr < /Format として指定する必要があります > 。 SyncML の例については、「ポリシーの有効化 」を参照してください

SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードでは、使用できるさまざまなオンライン エンコーダーがあります。 ペイロードのエンコードを避けるために、MDM でサポートされている場合は CDATA を使用できます。 詳細については 、「CDATA セクション」を参照してください

ADMX の情報:

  • GP 英語名: 既定の資格情報の委任を拒否する
  • GP 名: DenyDefaultCredentials
  • GP パス: System\Credentials 委任
  • GP ADMX ファイル名: CredSsp.admx

ADMX_CredSsp/DenyFreshCredentials

Windows エディション サポート
Home cross mark
Pro cross mark
会社 cross mark
Enterprise check mark
Education cross mark

範囲:

  • デバイス

最新の Windows 10 Insider Preview ビルドで使用できます。 このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

このポリシー設定を有効にした場合は、ユーザーの新しい資格情報を委任できないサーバーを指定できます (新しい資格情報は、アプリケーションの実行時に求めるメッセージが表示されます)。

このポリシー設定を無効にするか(既定で) 構成しない場合、このポリシー設定ではサーバーは指定されません。

注意

"新しい資格情報の委任を拒否する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できないターゲット サーバーを表します。 SPN を指定する場合は、1 つのワイルドカード文字を使用できます。

例えば:

  • TERMSRV/host.humanresources.fabrikam.com リモート デスクトップ セッション ホストがコンピューター上 host.humanresources.fabrikam.com する
  • TERMSRV/* すべてのコンピューターで実行されているリモート デスクトップ セッション ホスト。
  • TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com のすべてのコンピューターで実行されているリモート デスクトップ セッション ホスト

このポリシー設定は、"新しい資格情報の委任を許可する" ポリシー設定と組み合わせて使用して、"新しい資格情報の委任を許可する" サーバー一覧でワイルドカード文字を使用する場合に許可される特定のサーバーの例外を定義できます。

ヒント

これは ADMX でサポートされるポリシーであり、有効または無効にするには特別な SyncML 形式が必要です。 詳細については 、「ADMX でサポートされるポリシーについて」を参照してください

SyncML でデータ型を Format < > chr < /Format として指定する必要があります > 。 SyncML の例については、「ポリシーの有効化 」を参照してください

SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードでは、使用できるさまざまなオンライン エンコーダーがあります。 ペイロードのエンコードを避けるために、MDM でサポートされている場合は CDATA を使用できます。 詳細については 、「CDATA セクション」を参照してください

ADMX の情報:

  • GP 英語名: 新しい資格情報の委任を拒否する
  • GP 名: DenyFreshCredentials
  • GP パス: System\Credentials 委任
  • GP ADMX ファイル名: CredSsp.admx

ADMX_CredSsp/DenySavedCredentials

Windows エディション サポート
Home cross mark
Pro cross mark
会社 cross mark
Enterprise check mark
Education cross mark

範囲:

  • デバイス

最新の Windows 10 Insider Preview ビルドで使用できます。 このポリシー設定は、Cred SSP コンポーネント (リモート デスクトップ接続など) を使用するアプリケーションに適用されます。

このポリシー設定を有効にした場合は、ユーザーの保存された資格情報を委任できないサーバーを指定できます (保存された資格情報は、Windows 資格情報マネージャーを使用して保存または記憶する必要がある資格情報です)。

このポリシー設定を無効にするか(既定で) 構成しない場合、このポリシー設定ではサーバーは指定されません。

注意

[保存された資格情報の委任を拒否する] ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。 SPN は、ユーザー資格情報を委任できないターゲット サーバーを表します。 SPN を指定する場合は、1 つのワイルドカード文字を使用できます。

例えば:

  • TERMSRV/host.humanresources.fabrikam.com リモート デスクトップ セッション ホストがコンピューター上 host.humanresources.fabrikam.com する
  • TERMSRV/* すべてのコンピューターで実行されているリモート デスクトップ セッション ホスト。
  • TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com のすべてのコンピューターで実行されているリモート デスクトップ セッション ホスト

このポリシー設定は、"保存された資格情報の委任を許可する" ポリシー設定と組み合わせて使用して、"保存された資格情報の委任を許可する" サーバー一覧でワイルドカード文字を使用する場合に許可される特定のサーバーの例外を定義できます。

ヒント

これは ADMX でサポートされるポリシーであり、有効または無効にするには特別な SyncML 形式が必要です。 詳細については 、「ADMX でサポートされるポリシーについて」を参照してください

SyncML でデータ型を Format < > chr < /Format として指定する必要があります > 。 SyncML の例については、「ポリシーの有効化 」を参照してください

SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードでは、使用できるさまざまなオンライン エンコーダーがあります。 ペイロードのエンコードを避けるために、MDM でサポートされている場合は CDATA を使用できます。 詳細については 、「CDATA セクション」を参照してください

ADMX の情報:

  • GP 英語名: 保存された資格情報の委任を拒否する
  • GP 名: DenySavedCredentials
  • GP パス: System\Credentials 委任
  • GP ADMX ファイル名: CredSsp.admx

ADMX_CredSsp/RestrictedRemoteAdministration

Windows エディション サポート
Home cross mark
Pro cross mark
会社 cross mark
Enterprise check mark
Education cross mark

範囲:

  • デバイス

最新の Windows 10 Insider Preview ビルドで使用できます。 制限付き管理者モードまたはリモート資格情報ガード モードで実行している場合、参加しているアプリは、サインインした資格情報や提供された資格情報をリモート ホストに公開しません。 制限付き管理者は、資格情報が委任されないので、リモート ホストから他のサーバーまたはネットワーク上にあるリソースへのアクセスを制限します。 リモート Credential Guard は、すべての要求をクライアント デバイスにリダイレクトし戻すので、リソースへのアクセスを制限する必要はありません。

参加アプリ: リモート デスクトップ クライアント

このポリシー設定を有効にすると、次のオプションがサポートされます。

  • 資格情報の委任を制限する: 参加しているアプリケーションは、制限付き管理者またはリモート資格情報ガードを使用してリモート ホストに接続する必要があります。
  • リモート資格情報ガードを必要とする: 参加しているアプリケーションは、リモート の資格情報ガードを使用してリモート ホストに接続する必要があります。
  • 制限付き管理者が必要: 参加しているアプリケーションは、制限付き管理者を使用してリモート ホストに接続する必要があります。

このポリシー設定を無効にするか構成しない場合、制限付き管理者モードとリモート資格情報ガード モードは適用されません。参加しているアプリは、資格情報をリモート デバイスに委任できます。

注意

ほとんどの資格情報の委任を無効にするには、管理用テンプレートの設定 (コンピューター構成\管理用テンプレート\System\Credentials Delegation にある) を変更することで、資格情報セキュリティ サポート プロバイダー (CredSSP) の委任を拒否する必要があります。

Windows 8.1 Windows Server 2012 R2 では、このポリシーを有効にすると、選択したモードに関係なく制限付き管理モードが適用されます。 これらのバージョンでは、リモート Credential Guard はサポートされていません。

ヒント

これは ADMX でサポートされるポリシーであり、有効または無効にするには特別な SyncML 形式が必要です。 詳細については 、「ADMX でサポートされるポリシーについて」を参照してください

SyncML でデータ型を Format < > chr < /Format として指定する必要があります > 。 SyncML の例については、「ポリシーの有効化 」を参照してください

SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードでは、使用できるさまざまなオンライン エンコーダーがあります。 ペイロードのエンコードを避けるために、MDM でサポートされている場合は CDATA を使用できます。 詳細については 、「CDATA セクション」を参照してください

ADMX の情報:

  • GP 英語名: 資格情報の委任をリモート サーバーに制限する
  • GP 名: RestrictedRemoteAdministration
  • GP パス: System\Credentials 委任
  • GP ADMX ファイル名: CredSsp.admx

注意

これらのポリシーは現在、Windows Insider リリースの一部としてのみ使用できます。