Windows Defender Credential Guard の管理Manage Windows Defender Credential Guard

適用対象Applies to

  • Windows 10 Enterprise または Education SKUWindows 10 Enterprise or Education SKUs
  • Windows Server 2016Windows Server 2016
  • Windows Server 2019Windows Server 2019

Windows Defender Credential Guard を有効にするEnable Windows Defender Credential Guard

Windows Defender Credential Guard は、グループ ポリシー、レジストリ、またはHypervisor-Protected Code Integrity (HVCI) および Windows Defender Credential Guard ハードウェア準備ツールを使用して有効にできますWindows Defender Credential Guard can be enabled either by using Group Policy, the registry, or the Hypervisor-Protected Code Integrity (HVCI) and Windows Defender Credential Guard hardware readiness tool. Windows Defender Credential Guard は、物理マシンの場合と同様に、Hyper-V 仮想マシンで機密情報を保護できます。Windows Defender Credential Guard can also protect secrets in a Hyper-V virtual machine, just as it would on a physical machine. 物理マシンで Windows Defender Credential Guard を有効にする場合と同じ一連の手順が、仮想マシンにも適用されます。The same set of procedures used to enable Windows Defender Credential Guard on physical machines applies also to virtual machines.

グループ ポリシーを使用して Windows Defender Credential Guard を有効にするEnable Windows Defender Credential Guard by using Group Policy

グループ ポリシーを使って Windows Defender Credential Guard を有効にすることができます。You can use Group Policy to enable Windows Defender Credential Guard. これにより、必要に応じて仮想化ベースのセキュリティ機能を追加したり、有効にしたりすることができます。This will add and enable the virtualization-based security features for you if needed.

  1. グループ ポリシー管理コンソールから、[コンピューターの構成] -> [管理用テンプレート] -> [システム] -> [Device Guard] の順に移動します。From the Group Policy Management Console, go to Computer Configuration -> Administrative Templates -> System -> Device Guard.

  2. [仮想化ベースのセキュリティを有効にする] をダブルクリックし、[有効] をクリックします。Double-click Turn On Virtualization Based Security, and then click the Enabled option.

  3. [プラットフォームのセキュリティ レベルを選択する] ボックスで、[セキュア ブート] または [セキュア ブートと DMA 保護] を選びます。In the Select Platform Security Level box, choose Secure Boot or Secure Boot and DMA Protection.

  4. [Credential Guard の構成] ボックスで、[UEFI ロックで有効化] をクリックしてから [OK] をクリックします。In the Credential Guard Configuration box, click Enabled with UEFI lock, and then click OK. Windows Defender Credential Guard をリモートでオフにできるようにする場合は、[ロックなしで有効化] を選択します。If you want to be able to turn off Windows Defender Credential Guard remotely, choose Enabled without lock.

  5. [セキュリティで保護された起動構成] ボックスで、[構成されていません]、[有効]、 または [無効] を****選択しますIn the Secure Launch Configuration box, choose Not Configured, Enabled or Disabled. 詳細 については、この 記事を参照してください。Check this article for more details.

    Windows Defender Credential Guard のグループ ポリシー設定

  6. グループ ポリシー管理コンソールを閉じます。Close the Group Policy Management Console.

グループ ポリシーの処理を実施するには、gpupdate /force を実行します。To enforce processing of the group policy, you can run gpupdate /force.

Intune をWindows Defenderして資格情報ガードを有効にするEnable Windows Defender Credential Guard by using Intune

  1. [ホーム] から****、[Microsoft Intune] をクリックしますFrom Home, click Microsoft Intune.

  2. [デバイスの構成] をクリックします。Click Device configuration.

  3. [Profiles > Create Profile Endpointprotection > Windows Defender > Credential Guard] をクリックしますClick Profiles > Create Profile > Endpoint protection > Windows Defender Credential Guard.

    注意

    VBS と Secure Boot を有効にし、UEFI ロックの使用または使用なしで実行できます。It will enable VBS and Secure Boot and you can do it with or without UEFI Lock. Credential Guard をリモートで無効にする必要がある場合は、UEFI ロックなしで有効にします。If you will need to disable Credential Guard remotely, enable it without UEFI lock.

ヒント

また、エンドポイント セキュリティでアカウント保護プロファイルを使用して Credential Guard を構成することもできます。You can also configure Credential Guard by using an account protection profile in endpoint security. Intune のエンドポイント セキュリティのアカウント保護ポリシー設定を参照してくださいSee Account protection policy settings for endpoint security in Intune.

レジストリを使用して Windows Defender Credential Guard を有効化するEnable Windows Defender Credential Guard by using the registry

グループ ポリシーを使わない場合は、レジストリを使って Windows Defender Credential Guard を有効にすることができます。If you don't use Group Policy, you can enable Windows Defender Credential Guard by using the registry. Windows Defender Credential Guard は仮想化ベースのセキュリティ機能を使います。一部のオペレーティング システムでは、この機能を最初に有効にする必要があります。Windows Defender Credential Guard uses virtualization-based security features which have to be enabled first on some operating systems.

仮想化ベースのセキュリティ機能の追加Add the virtualization-based security features

Windows 10 バージョン 1607 および Windows Server 2016 以降では、仮想化ベースのセキュリティを使うために Windows の機能を有効にする必要がないため、この手順は省略してかまいません。Starting with Windows 10, version 1607 and Windows Server 2016, enabling Windows features to use virtualization-based security is not necessary and this step can be skipped.

Windows 10 バージョン 1507 (RTM) または Windows 10 バージョン 1511 を使っている場合は、仮想化ベースのセキュリティを使うために Windows の機能を有効にする必要があります。If you are using Windows 10, version 1507 (RTM) or Windows 10, version 1511, Windows features have to be enabled to use virtualization-based security. コントロール パネルまたは展開イメージのサービスと管理ツール (DISM) を使うことでこれを行うことができます。You can do this by using either the Control Panel or the Deployment Image Servicing and Management tool (DISM).

注意

グループ ポリシーを使って Windows Defender Credential Guard を有効にする場合、コントロール パネルまたは DISM を使って Windows の機能を有効にする手順は必要ありません。If you enable Windows Defender Credential Guard by using Group Policy, the steps to enable Windows features through Control Panel or DISM are not required. グループ ポリシーによって、Windows の機能がインストールされます。Group Policy will install Windows features for you.

[プログラムと機能] を使って仮想化ベースのセキュリティ機能を追加するAdd the virtualization-based security features by using Programs and Features

  1. コントロール パネルの [プログラムと機能] を開きます。Open the Programs and Features control panel.

  2. [Windows の機能の有効化または無効化] をクリックします。Click Turn Windows feature on or off.

  3. [Hyper-V] -> [Hyper-V プラットフォーム] の順に移動し、[Hyper-V Hypervisor] チェック ボックスをオンにします。Go to Hyper-V -> Hyper-V Platform, and then select the Hyper-V Hypervisor check box.

  4. 機能の選択肢のトップレベルにある [分離ユーザー モード] チェック ボックスをオンにします。Select the Isolated User Mode check box at the top level of the feature selection.

  5. [OK] をクリックします。Click OK.

DISM を使って仮想化ベースのセキュリティ機能をオフライン イメージに追加するAdd the virtualization-based security features to an offline image by using DISM

  1. 管理者特権でのコマンド プロンプトを開きます。Open an elevated command prompt.

  2. 次のコマンドを実行して Hyper-V Hypervisor を追加します。Add the Hyper-V Hypervisor by running the following command:

    dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
    
  3. 次のコマンドを実行して分離ユーザー モード機能を追加します。Add the Isolated User Mode feature by running the following command:

    dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
    

    注意

    Windows 10 バージョン 1607 以降では、分離ユーザー モード機能がコア オペレーティング システムに統合されています。In Windows 10, version 1607 and later, the Isolated User Mode feature has been integrated into the core operating system. したがって、上記の手順 3 でコマンドを実行する必要はありません。Running the command in step 3 above is therefore no longer required.

ヒント

DISM または Configuration Manager を使用して、これらの機能をオンライン イメージに追加することもできます。You can also add these features to an online image by using either DISM or Configuration Manager.

仮想化ベースのセキュリティと Windows Defender Credential Guard を有効にするEnable virtualization-based security and Windows Defender Credential Guard

  1. レジストリ エディターを開きます。Open Registry Editor.

  2. 仮想化ベースのセキュリティを有効にします。Enable virtualization-based security:

    1. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard に移動します。Go to HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard.

    2. EnableVirtualizationBasedSecurity という名前の新しい DWORD 値を追加します。Add a new DWORD value named EnableVirtualizationBasedSecurity. 仮想化ベースのセキュリティを有効にするには、このレジストリ設定の値を 1 に設定します。無効にするには、0 に設定します。Set the value of this registry setting to 1 to enable virtualization-based security and set it to 0 to disable it.

    3. RequirePlatformSecurityFeatures という名前の新しい DWORD 値を追加します。Add a new DWORD value named RequirePlatformSecurityFeatures. [セキュア ブート] のみを使用するには、このレジストリ設定の値を 1 に設定します。[セキュア ブートと DMA 保護] を使用するには、3 に設定します。Set the value of this registry setting to 1 to use Secure Boot only or set it to 3 to use Secure Boot and DMA protection.

  3. Windows Defender Credential Guard を有効にします。Enable Windows Defender Credential Guard:

    1. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA に移動します。Go to HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA.

    2. LsaCfgFlags という名前の新しい DWORD 値を追加します。Add a new DWORD value named LsaCfgFlags. Windows Defender Credential Guard を UEFI ロックありで有効にするにはレジストリ設定の値を 1 に設定し、ロックなしで Windows Defender Credential Guard を有効にするには 2 に設定し、無効化するには 0 に設定します。Set the value of this registry setting to 1 to enable Windows Defender Credential Guard with UEFI lock, set it to 2 to enable Windows Defender Credential Guard without lock, and set it to 0 to disable it.

  4. レジストリ エディターを閉じます。Close Registry Editor.

注意

FirstLogonCommands 無人設定のレジストリ エントリを設定して Windows Defender Credential Guard を有効にすることもできます。You can also enable Windows Defender Credential Guard by setting the registry entries in the FirstLogonCommands unattend setting.

HVCI Windows Defender Credential Guard ハードウェア準備ツールを使用してWindows Defender Credential Guard を有効にするEnable Windows Defender Credential Guard by using the HVCI and Windows Defender Credential Guard hardware readiness tool

また、HVCI および Windows Defender Credential Guard ハードウェア準備ツールを使用してWindows Defender Credential Guard を 有効にすることもできますYou can also enable Windows Defender Credential Guard by using the HVCI and Windows Defender Credential Guard hardware readiness tool.

DG_Readiness_Tool.ps1 -Enable -AutoReboot

重要

英語以外のオペレーティング システムで HVCI および Windows Defender Credential Guard ハードウェア準備ツールを実行する場合は、スクリプト内で、ツールが動作するために代わりに変更 $OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() されます。When running the HVCI and Windows Defender Credential Guard hardware readiness tool on a non-English operating system, within the script, change $OSArch = $(gwmi win32_operatingsystem).OSArchitecture to be $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() instead, in order for the tool to work.

これは既知の問題です。This is a known issue.

Windows Defender Credential Guard のパフォーマンスを確認するReview Windows Defender Credential Guard performance

Windows Defender Credential Guard が実行されているかどうかIs Windows Defender Credential Guard running?

システム情報を使って、Windows Defender Credential Guard が PC で実行されていることを確認できます。You can view System Information to check that Windows Defender Credential Guard is running on a PC.

  1. [スタート] をクリックし、「msinfo32.exe」と入力して、[システム情報] をクリックします。Click Start, type msinfo32.exe, and then click System Information.

  2. [システムの概要] をクリックします。Click System Summary.

  3. Virtualization ベース のセキュリティ サービス の実行中の横に Credential Guard が表示されているのを確認しますConfirm that Credential Guard is shown next to Virtualization-based security Services Running.

    次に例を示します。Here's an example:

    システム情報

また 、HVCIおよび Windows Defender Credential Guard ハードウェア準備ツールを使用して、Credential Guard が実行Windows Defender確認することもできます。You can also check that Windows Defender Credential Guard is running by using the HVCI and Windows Defender Credential Guard hardware readiness tool.

DG_Readiness_Tool_v3.6.ps1 -Ready

重要

英語以外のオペレーティング システムで HVCI および Windows Defender Credential Guard ハードウェア準備ツールを実行する場合は、スクリプト内で、ツールが動作するために代わりに変更 *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() されます。When running the HVCI and Windows Defender Credential Guard hardware readiness tool on a non-English operating system, within the script, change *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture to be $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() instead, in order for the tool to work.

これは既知の問題です。This is a known issue.

注意

Windows 10 1703 を実行しているクライアント コンピューターでは、他の機能のために仮想化ベースのセキュリティが有効になっていると、常に LsaIso.exe が実行されます。For client machines that are running Windows 10 1703, LsaIso.exe is running whenever virtualization-based security is enabled for other features.

  • デバイス がドメインに参加する前に、Windows Defender Credential Guard を有効にすることをお勧めします。We recommend enabling Windows Defender Credential Guard before a device is joined to a domain. デバイスがドメインに参加した後、デバイスで Windows Defender Credential Guard を有効にした場合、ユーザーとデバイスのシークレットが既に侵害されている可能性があります。If Windows Defender Credential Guard is enabled after domain join, the user and device secrets may already be compromised. つまり、デバイスや ID が既に侵害されている場合、Credential Guard を有効にしてもそれらのセキュリティ保護に役に立たないため、Credential Guard をできるだけ早くオンにすることをお勧めします。In other words, enabling Credential Guard will not help to secure a device or identity that has already been compromised, which is why we recommend turning on Credential Guard as early as possible.

  • Windows Defender Credential Guard が有効になっている PC についても通常のレビューを実行する必要があります。You should perform regular reviews of the PCs that have Windows Defender Credential Guard enabled. これは、セキュリティ監査ポリシーまたは WMI クエリによって実行できます。This can be done with security audit policies or WMI queries. 検索する WinInit イベント ID の一覧を次に示します。Here's a list of WinInit event IDs to look for:

    • イベント ID 13 Windows Defender Credential Guard (LsaIso.exe) が開始され、LSA 資格情報が保護されます。Event ID 13 Windows Defender Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

    • イベント ID 14Windows Defender Credential Guard (LsaIso.exe) の構成: [0x0 0x1 0x2 | **** | **** ]、0 ****Event ID 14 Windows Defender Credential Guard (LsaIso.exe) configuration: [0x0 | 0x1 | 0x2], 0

      • 1 つ目の変数0x1または**** 0x2、Credential Guard Windows Defenderが実行するように構成されていることを意味します。The first variable: 0x1 or 0x2 means that Windows Defender Credential Guard is configured to run. 0x0 は、実行するように構成されていないという意味です。0x0 means that it's not configured to run.

      • 2 番目の変数 0 は、保護モードで実行するように構成されていることを意味します。The second variable: 0 means that it's configured to run in protect mode. 1 は、テスト モードで実行するように構成されていることを意味します。1 means that it's configured to run in test mode. この変数は常に 0 である必要がありますThis variable should always be 0.

    • イベント ID 15 Windows Defender Credential Guard (LsaIso.exe) が構成されていますが、セキュリティで保護されたカーネルが実行されていないため、Windows Defender Credential Guard なしで続行しています。Event ID 15 Windows Defender Credential Guard (LsaIso.exe) is configured but the secure kernel is not running; continuing without Windows Defender Credential Guard.

    • イベント ID 16 Windows Defender Credential Guard (LsaIso.exe) を起動できませんでした: [エラー コード]。Event ID 16 Windows Defender Credential Guard (LsaIso.exe) failed to launch: [error code]

    • イベント ID 17 Credential Guard Windows Defender (LsaIso.exe) UEFI 構成の読み取りエラー: [error code]Event ID 17 Error reading Windows Defender Credential Guard (LsaIso.exe) UEFI configuration: [error code]

      また 、Microsoft Windows カーネル ブート イベント ソースでイベント ID 51 をチェックして、TPM がキー保護に使用されているのを - > **** - > **** 確認できます。You can also verify that TPM is being used for key protection by checking Event ID 51 in the Microsoft -> Windows -> Kernel-Boot event source. TPM を使って実行している場合、TPM PCR マスクの値は 0 以外の値になります。If you are running with a TPM, the TPM PCR mask value will be something other than 0.

    • イベント ID 51 VSM マスター暗号化キーをプロビジョニングします。Event ID 51 VSM Master Encryption Key Provisioning. キャッシュされたコピーの状態を使用する: 0x0。Using cached copy status: 0x0. キャッシュ済みコピーのシール解除状態: 0x1。Unsealing cached copy status: 0x1. 新しいキーの生成状態: 0x1。New key generation status: 0x1. シールの状態: 0x1。Sealing status: 0x1. TPM PCR マスク: 0x0 。TPM PCR mask: 0x0.

  • クライアント コンピューターでWindows PowerShell資格情報ガードが実行されているかどうかを判断するには、資格情報を使用します。You can use Windows PowerShell to determine whether credential guard is running on a client computer. 該当するコンピューターで、管理者特権の PowerShell ウィンドウを開き、次のコマンドを実行します。On the computer in question, open an elevated PowerShell window and run the following command:

    (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
    

    このコマンドは、次の出力を生成します。This command generates the following output:

    • 0: Credential Guard Windows Defender無効 (実行されていない)0: Windows Defender Credential Guard is disabled (not running)

    • 1: Credential Guard Windows Defenderが有効になっている (実行中)1: Windows Defender Credential Guard is enabled (running)

      注意

      タスク の一覧またはタスク マネージャーを調LSAISO.exe資格情報ガードが実行されているかどうかを判断するための推奨Windows Defender方法ではありません。Checking the task list or Task Manager to see if LSAISO.exe is running is not a recommended method for determining whether Windows Defender Credential Guard is running.

Windows Defender Credential Guard を無効にするDisable Windows Defender Credential Guard

Credential Guard Windows Defender無効にするには、次の一連の手順または Device Guard および Credential Guard ハードウェア 準備ツールを使用できますTo disable Windows Defender Credential Guard, you can use the following set of procedures or the Device Guard and Credential Guard hardware readiness tool. Credential Guard が UEFI ロックで有効になっている場合は、設定が EFI (ファームウェア) 変数に保持され、変更を受け入れるにはファンクション キーを押すコンピューターでの物理的なプレゼンスが必要になりますので、次の手順を使用する必要があります。If Credential Guard was enabled with UEFI Lock then you must use the following procedure as the settings are persisted in EFI (firmware) variables and it will require physical presence at the machine to press a function key to accept the change. Credential Guard が UEFI ロックなしで有効になっている場合は、グループ ポリシーを使用してオフにできます。If Credential Guard was enabled without UEFI Lock then you can turn it off by using Group Policy.

  1. グループ ポリシーを使用していた場合は、Windows Defender Credential Guard を有効にするために使用したグループ ポリシー設定 ([コンピューターの構成] ** -> [管理用テンプレート] -> ** [システム] -> [Device Guard] -> [仮想化ベースのセキュリティを有効にする]) を無効にします。If you used Group Policy, disable the Group Policy setting that you used to enable Windows Defender Credential Guard (Computer Configuration -> Administrative Templates -> System -> Device Guard -> Turn on Virtualization Based Security).

  2. 次のレジストリ キー設定を削除します。Delete the following registry settings:

    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlagsHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\\Windows\DeviceGuard\LsaCfgFlagsHKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
  3. 仮想化ベースのセキュリティを無効にする場合は、次のレジストリ設定を削除します。If you also wish to disable virtualization-based security delete the following registry settings:

    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurityHKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity

    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeaturesHKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

      重要

      これらのレジストリ設定を手動で削除する場合は、すべての設定を削除してください。If you manually remove these registry settings, make sure to delete them all. すべての設定を削除しない場合、デバイスが BitLocker 回復に移行する可能性があります。If you don't remove them all, the device might go into BitLocker recovery.

  4. bcdedit を使って Windows Defender Credential Guard の EFI 変数を削除します。Delete the Windows Defender Credential Guard EFI variables by using bcdedit. 管理者特権のコマンド プロンプトで、次のコマンドを入力します。From an elevated command prompt, type the following commands:

    mountvol X: /s
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
    
  5. PC を再起動します。Restart the PC.

  6. Windows Defender Credential Guard を無効にすることを確認するメッセージを受け入れます。Accept the prompt to disable Windows Defender Credential Guard.

  7. または、仮想化ベースのセキュリティ機能を無効にすることで、Windows Defender Credential Guard を無効にすることができます。Alternatively, you can disable the virtualization-based security features to turn off Windows Defender Credential Guard.

    注意

    EFS で暗号化されたファイルなどのコンテンツの暗号化を解除するために、PC にはドメイン コントローラーへの 1 回限りのアクセスが必要です。The PC must have one-time access to a domain controller to decrypt content, such as files that were encrypted with EFS. Windows Defender Credential Guard と仮想化ベースのセキュリティの両方をオフにする場合は、仮想化ベースのセキュリティ グループ ポリシーとレジストリ設定をオフにした後、次の bcdedit コマンドを実行します。If you want to turn off both Windows Defender Credential Guard and virtualization-based security, run the following bcdedit commands after turning off all virtualization-based security Group Policy and registry settings:

    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
    bcdedit /set vsmlaunchtype off
    

仮想化ベースのセキュリティと HVCI の詳細については、「コード整合性の仮想化ベースの保護を有効 にする」を参照してくださいFor more info on virtualization-based security and HVCI, see Enable virtualization-based protection of code integrity.

注意

Credential Guard と Device Guard は、Azure Gen 1 VM を使用する場合はサポートされません。Credential Guard and Device Guard are not supported when using Azure Gen 1 VMs. これらのオプションは、Gen 2 VM でのみ使用できます。These options are available with Gen 2 VMs only.

HVCI Windows Defender Credential Guard ハードウェア準備ツールを使用してWindows Defender Credential Guard を無効にするDisable Windows Defender Credential Guard by using the HVCI and Windows Defender Credential Guard hardware readiness tool

また、HVCI および Windows Defender Credential Guard ハードウェア準備ツールを使用してWindows Defender Credential Guard を 無効にすることもできますYou can also disable Windows Defender Credential Guard by using the HVCI and Windows Defender Credential Guard hardware readiness tool.

DG_Readiness_Tool_v3.6.ps1 -Disable -AutoReboot

重要

英語以外のオペレーティング システムで HVCI および Windows Defender Credential Guard ハードウェア準備ツールを実行する場合は、スクリプト内で、ツールが動作するために代わりに変更 *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() されます。When running the HVCI and Windows Defender Credential Guard hardware readiness tool on a non-English operating system, within the script, change *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture to be $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() instead, in order for the tool to work.

これは既知の問題です。This is a known issue.

仮想マシンの Windows Defender Credential Guard を無効にするDisable Windows Defender Credential Guard for a virtual machine

ホストからは、次のようにして仮想マシンの Windows Defender Credential Guard を無効にできます。From the host, you can disable Windows Defender Credential Guard for a virtual machine:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true