Windows LAPS のパスワードとパスフレーズ
Windows ローカル管理者パスワード ソリューション (Windows LAPS) 用にパスワードとパスフレーズを作成する方法について説明します。
概要
Windows LAPS の主な目的は、ローカル Windows アカウントのパスワードを定期的にローテーションすることです。 Windows LAPS がランダム なパスワード (またはランダムなパスフレーズ) を生成する方法を理解することが重要です。
パスワードの文字セット
Windows LAPS では、ランダム なパスワードの生成に使用できる 複雑さの異なる 5 つ設定がサポートされています。 PasswordComplexity ポリシー設定は、パスワードの作成時に使用する文字セットを選択するために使用されます。
| PasswordComplexity の設定 | 説明 | 文字セット |
|---|---|---|
| 1 | 大文字 | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" |
| 2 | 大文字 + 小文字 | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" |
| 3 | 大文字 + 小文字 + 数字 | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" "0123456789" |
| 4 | 大きな文字 + 小さな文字 + 数字 + 特殊文字 | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" "0123456789" ",.-+;!#&@{}[]$/()%" |
| 5 | 大きい文字 + 小さい文字 + 数字 (読みやすさの向上) | "ABCDEFGHJKLMNPRSTUVWXYZ" "abcdefghijkmnpqrstuvwxyz" "23456789" "!#%+@:=?*" |
複数の文字セットを含む複雑な設定を選択すると、Windows LAPS によって、結果のパスワードに、各文字セットからランダムに選択された少なくとも 1 つの文字が含まれていることが保証されます。
パスワードの長さは、PasswordLength ポリシー設定を使用して制御されます。 Windows LAPS によって作成されるパスワードの既定の長さは 14 文字で、8 から 64 文字の任意の場所に構成できます。
パスワードの複雑さの設定 5 は、パスワードの複雑さの設定 4 に相当するが、読みやすさを向上させ、混乱を避けるために次の変更を加えています。 設定 4 と設定 5 の違いは次のとおりです。
- 文字 'I'、'O'、'Q'、'l'、および 'o' を削除している
- 数値 '0' と '1' を削除している
- 記号 ','、'.'、'&'、'{'、'}'、'['、']'、'('、')'、および ';' を削除している
- 記号 ':'、'='、'?'、および '*' を追加している
重要
"5" の PasswordComplexity 設定は、Windows Server 2025 以降の client\server OS バージョンでサポートされています。 この新しい設定を使用するために、Windows Server 2025 ドメイン コントローラーを展開する必要はありません。
パスフレーズのワード リスト
Windows LAPS では、ランダムなパスフレーズを生成するために使用できる複雑さの異なる 3 つの設定がサポートされています。 PasswordComplexity ポリシー設定は、パスフレーズの作成時に使用するワード リストを選択するために使用されます。
| PasswordComplexity の設定 | 説明 | リスト内のワード数 |
|---|---|---|
| 6 | 長いワード | 7776 |
| 7 | 短いワード | 1276 |
| 8 | 一意のプレフィックスを持つ短いワード | 1276 |
パスフレーズの長さは、PassphraseLength ポリシー設定を使用して制御されます。 Windows LAPS によって作成されたパスフレーズの既定の長さは 6 つのワードに設定され、3 から 10 の用語の任意の場所に構成できます。 読みやすさを向上させるために、各ワードの最初の文字は常に大文字になります。 句読点やその他の区切り文字はワード間で使用されません。
"長いワード" リストから取得した 6 つのワードで作成されたパスフレーズの例:
SkiingProduceIdentifyStarlitOctaneDistress
パスフレーズワード リストは、Electronic Frontier Foundation の「Deep Dive: EFFのランダムパスフレーズのための新しいワードリスト」から取得され、CC-BY-3.0 属性ライセンスの下で使用されています。 すべての Windows LAPS パスフレーズ ワード リストの特定の内容は、Windows LAPS パスフレーズ の ワード リストからダウンロードできます。 Microsoft は元のワード リストに若干の変更を加えました。すべての変更はダウンロード可能なリストで詳しく説明されています。
重要
Windows LAPS パスフレーズのサポートは、Windows Server 2025 以降の client\server OS バージョンでサポートされています。 この新しい設定を使用するために、Windows Server 2025 ドメイン コントローラーを展開する必要はありません。
エントロピに関する考慮事項
Windows LAPS では、真にランダムなパスワードとパスフレーズが作成されます (人の偏見は発生しません)。 したがって、特定の長さのパスワード/パスフレーズのエントロピの結果ビットを計算するのは簡単です。 次の表に、パスワード/パスフレーズの長さのサンプル セット全体におけるエントロピの結果のビットを示します。
サポートされているパスワードの複雑さの設定が表の上部に表示され、パスワード/パスフレーズの長さが左側に一覧表示されます。 既定のポリシー長設定のエントロピ値は太字で表示されます。
| PasswordComplexity の設定 - > パスワードまたはパスフレーズの長さ V |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
|---|---|---|---|---|---|---|---|---|
| 3 | 39 | 31 | 31 | |||||
| 4 | 52 | 41 | 41 | |||||
| 5 | 65 | 52 | 52 | |||||
| 6 | 78 | 62 | 62 | |||||
| 7 | 90 | 72 | 72 | |||||
| 8 | 38 | 46 | 48 | 51 | 48 | 103 | 83 | 83 |
| 9 | 42 | 51 | 54 | 57 | 54 | 116 | 93 | 93 |
| 10 | 47 | 57 | 60 | 63 | 60 | 129 | 103 | 103 |
| 11 | 52 | 63 | 65 | 70 | 66 | |||
| 12 | 56 | 68 | 71 | 76 | 72 | |||
| 13 | 61 | 74 | 77 | 82 | 78 | |||
| 14 | 66 | 80 | 83 | 89 | 84 | |||
| 20 | 94 | 114 | 119 | 126 | 120 | |||
| 40 | 188 | 228 | 238 | 253 | 240 | |||
| 60 | 282 | 342 | 357 | 379 | 360 |
許容される長さの範囲の上端では、ほとんどの通常の IT 環境ではエントロピ レベルが過剰と見なされる可能性があります。 通常、セキュリティとユーザビリティのトレードオフが関係していると考えてください。 たとえば、人間が長くて複雑なパスワードを読んで入力するのは困難です。 パスフレーズへの切り替えは、妥当な量のエントロピを維持しながら、これらの問題を改善するのに便利な方法です。 セキュリティを最大化することが最も重要な懸念事項である場合は、代わりに代替保護を検討することもできます。たとえば、マネージド アカウントを既定で無効な状態に維持するなどです。
関連項目
次のステップ
パスワードとパスフレーズの作成方法を理解したら、これらの他のセクションを参照してください。