認証ポリシーと認証ポリシー サイロ

このトピックでは、IT プロフェッショナル向けに、認証ポリシー サイロについて、およびサイロに属するアカウントを制限するポリシーについて説明します。 また、認証ポリシーを使用してアカウントの範囲を制限する方法についても説明します。

認証ポリシー サイロおよびそれに付随するポリシーは、高い特権を持つ資格情報の使用を、特定のユーザー、コンピューター、またはサービスに関係するシステムに限定するための手段です。 サイロの定義と管理は、Active Directory Domain Services (AD DS) で Active Directory 管理センターと Active Directory Windows PowerShell コマンドレットを使用して行います。

認証ポリシー サイロはコンテナーであり、管理者がこのコンテナーにユーザー アカウント、コンピューター アカウント、サービス アカウントを割り当てます。 これで、アカウントの集合を、そのコンテナーに割り当てられた認証ポリシーで管理できるようになります。 この方法を利用すると、リソースに対する個々のアカウントのアクセス権を管理者が常に把握している必要がなくなると共に、悪意のあるユーザーが資格情報を盗んで他のリソースにアクセスすることを防止するのにも役立ちます。

理由: Windows Server 2012 R2 には、認証ポリシー サイロを作成する機能が追加されています。このサイロは、高い特権を持つユーザーのセットをホストします。 認証ポリシーをこのコンテナーに割り当てると、ドメイン内のどの部分で特権アカウントを使用できるかを制限できます。 アカウントが Protected Users セキュリティ グループに属しているときは、制御がさらに強化され、たとえば Kerberos プロトコル以外は使用できなくなります。

これらの機能を利用すると、高い特権を持つアカウントの使用を高価値ホストのみに制限することができます。 たとえば、"フォレスト管理者" というサイロを新規作成して、この中にエンタープライズ、スキーマ、およびドメインの管理者を入れます。 次に、このサイロの認証ポリシーを構成します。パスワードとスマートカード ベースの認証をドメイン コントローラーやドメイン管理者コンソール以外のシステムから実行しようとしても失敗するように、このポリシーを設定します。

認証ポリシー サイロと認証ポリシーの構成方法については、「保護されるアカウントの構成方法」をご覧ください。

認証ポリシー サイロについて

認証ポリシー サイロとは、どのアカウントをサイロによって制限できるかを制御するものであり、サイロで定義された認証ポリシーがメンバーに適用されます。 サイロの作成は、組織の要件に基づいて行うことができます。 サイロはユーザー、コンピューター、サービスに対する Active Directory オブジェクトであり、次の表に示すスキーマで定義されます。

認証ポリシー サイロに対応する Active Directory スキーマ

表示名 説明
Authentication Policy Silo このクラスのインスタンスは、割り当てられたユーザー、コンピューター、サービスの認証ポリシーおよび関連する動作を定義します。
Authentication Policy Silos このクラスのコンテナーに、認証ポリシー サイロ オブジェクトを入れることができます。
Authentication Policy Silo Enforced 認証ポリシー サイロを強制適用するかどうかを指定します。

強制適用しない場合は、ポリシーは既定で監査モードとなります。 成功や失敗の可能性を示すイベントが生成されますが、システムは保護されません。

Assigned Authentication Policy Silo Backlink この属性は、msDS-AssignedAuthNPolicySilo の後方リンクです。
Authentication Policy Silo Members どのプリンシパルを AuthNPolicySilo に割り当てるかを指定します。
Authentication Policy Silo Members Backlink この属性は、msDS-AuthNPolicySiloMembers の後方リンクです。

認証ポリシー サイロを構成するには、Active Directory 管理コンソールまたは Windows PowerShell を使用します。 詳細については、「保護されるアカウントの構成方法」をご覧ください。

認証ポリシーについて

認証ポリシーとは、特定のアカウント タイプに対して、Kerberos プロトコルのチケット保証チケット (TGT) 有効期間プロパティと認証アクセス制御条件を定義するものです。 このポリシーの基盤でありポリシーによって制御される AD DS のコンテナーを、認証ポリシー サイロといいます。

認証ポリシーによって制御されるものは次のとおりです。

  • アカウントの TGT 有効期間。更新不可能となるように設定されます。

  • パスワードまたは証明書を使用してサインインするためにデバイス アカウントが満たす必要のある条件。

  • そのアカウントの一部として実行されるサービスに対してユーザーやデバイスが認証を受けるために満たす必要のある条件。

Active Directory アカウントの種類に応じて、呼び出し元のロールは次のいずれかになります。

  • User

    ユーザーは常に Protected Users セキュリティ グループのメンバーとなるようにしてください。このグループの既定では、NTLM による認証の試行は拒否されます。

    ポリシーを構成して、ユーザー アカウントの TGT 有効期間をより短い値に設定したり、ユーザー アカウントがサインインできるデバイスを制限したりすることができます。 認証ポリシーで豊富な式を構成して、ユーザーとそのデバイスが、サービスに対して認証されるために満たす必要のある基準を制御できます。

    詳細については、「Protected Users セキュリティ グループ」をご覧ください。

  • サービス

    スタンドアロンの管理されたサービス アカウントまたはグループの管理されたサービス アカウント、またはこの 2 種類のサービス アカウントから派生したカスタム アカウント オブジェクトが使用されます。 ポリシーでデバイスのアクセス制御条件を設定できます。これを使用して、管理されたサービス アカウントの資格情報を、Active Directory ID を持つ特定のデバイスに制限します。 サービスは、Protected Users セキュリティ グループのメンバーであってはなりません。メンバーになっている場合は、そのサービスに対する認証はすべて失敗となります。

  • コンピューター

    コンピューター アカウント オブジェクト、またはコンピューター アカウント オブジェクトから派生したカスタム アカウント オブジェクトが使用されます。 ポリシーの中でアクセス制御条件を設定しておくと、そのアカウントに対する認証をユーザーおよびデバイスのプロパティに基づいて許可することができます。 コンピューターは、Protected Users セキュリティ グループのメンバーであってはなりません。メンバーになっている場合は、そのコンピューターに対する認証はすべて失敗となります。 既定では、NTLM 認証を使用しようとしても拒否されます。 コンピューター アカウントに対しては TGT 有効期間を設定しないでください。

注意

アカウントの集合に対する認証ポリシーを設定することは、ポリシーを認証ポリシー サイロに関連付けなくても可能です。 この方法を使用できるのは、保護対象のアカウントが 1 つだけの場合です。

認証ポリシーに対応する Active Directory スキーマ

ユーザー、コンピューター、サービスに対応する Active Directory オブジェクトのポリシーは、次の表に示すスキーマで定義されます。

Type 表示名 説明
ポリシー Authentication Policy このクラスのインスタンスは、割り当てられたプリンシパルの認証ポリシー動作を定義します。
ポリシー Authentication Policies このクラスのコンテナーに、認証ポリシー オブジェクトを入れることができます。
ポリシー Authentication Policy Enforced 認証ポリシーを強制適用するかどうかを指定します。

強制適用されないときは、ポリシーは既定で監査モードとなり、成功や失敗の可能性を示すイベントが生成されますが、システムは保護されません。

ポリシー Assigned Authentication Policy Backlink この属性は、msDS-AssignedAuthNPolicy の後方リンクです。
ポリシー Assigned Authentication Policy AuthNPolicy をこのプリンシパルに適用するかどうかを指定します。
User User Authentication Policy このサイロ オブジェクトに割り当てられたユーザーに、どの AuthNPolicy を適用するかを指定します。
User User Authentication Policy Backlink この属性は、msDS-UserAuthNPolicy の後方リンクです。
User ms-DS-User-Allowed-To-Authenticate-To この属性は、そのユーザー アカウントの下で実行されるサービスに対する認証を受けることのできるプリンシパルを指定するのに使用されます。
User ms-DS-User-Allowed-To-Authenticate-From この属性は、ユーザー アカウントがどのデバイスへのサインインを許可されているかを指定するのに使用されます。
User User TGT Lifetime ユーザーに対して発行される Kerberos TGT の最長有効期間を指定します (秒単位)。 作成された TGT は更新不可能です。
Computer Computer Authentication Policy このサイロ オブジェクトに割り当てられたコンピューターに、どの AuthNPolicy を適用するかを指定します。
Computer Computer Authentication Policy Backlink この属性は、msDS-ComputerAuthNPolicy の後方リンクです。
Computer ms-DS-Computer-Allowed-To-Authenticate-To この属性は、そのコンピューター アカウントの下で実行されるサービスに対する認証を受けることのできるプリンシパルを指定するのに使用されます。
Computer Computer TGT Lifetime コンピューターに対して発行される Kerberos TGT の最大有効期間を指定します (秒単位)。 この設定を変更することはお勧めしません。
サービス Service Authentication Policy このサイロ オブジェクトに割り当てられたサービスに、どの AuthNPolicy を適用するかを指定します。
サービス Service Authentication Policy Backlink この属性は、msDS-ServiceAuthNPolicy の後方リンクです。
サービス ms-DS-Service-Allowed-To-Authenticate-To この属性は、そのサービス アカウントの下で実行されるサービスに対する認証を受けることのできるプリンシパルを指定するのに使用されます。
サービス ms-DS-Service-Allowed-To-Authenticate-From この属性は、サービス アカウントがどのデバイスに対してサインインを許可されているかを指定するのに使用されます。
サービス Service TGT Lifetime サービスに対して発行される Kerberos TGT の最大有効期間を指定します (秒単位)。

認証ポリシーをサイロごとに構成するには、Active Directory 管理コンソールまたは Windows PowerShell を使用します。 詳細については、「保護されるアカウントの構成方法」をご覧ください。

しくみ

ここでは、認証ポリシー サイロと認証ポリシーがどのように、Protected Users セキュリティ グループおよび Windows での Kerberos プロトコル実装と連携するかについて説明します。

保護されたアカウント

Protected Users セキュリティ グループは、Windows Server 2012 R2 および Windows 8.1 を実行しているデバイスやホスト コンピューター、および Windows Server 2012 R2 を実行しているプライマリ ドメイン コントローラーを持つドメイン内のドメイン コントローラーで、構成不可能な保護をトリガーします。 アカウントのドメイン機能レベルによっては、Windows でサポートされる認証方法が変更されるため、Protected Users セキュリティ グループのメンバーがさらに保護されます。

  • Protected Users セキュリティ グループのメンバーの認証には、NTLM、ダイジェスト認証、および CredSSP 既定資格情報委任は使用できません。 Windows 8.1 を実行しているデバイスで、前述のセキュリティ サポート プロバイダー (SSP) のいずれかが使用されているときに、アカウントが Protected Users セキュリティ グループのメンバーである場合は、ドメインに対する認証が失敗します。

  • Kerberos プロトコルは、事前認証プロセスで強度の低い DES または RC4 暗号化タイプを使用しません。 つまり、ドメインがサポートする暗号化タイプは AES 以上であることが必要です。

  • Kerberos の制約付き委任または制約なしの委任で、ユーザーのアカウントを委任することはできません。 つまり、Protected Users セキュリティ グループのメンバーとなったユーザーは、それまでできていた他システムへの接続ができなくなることがあります。

  • Kerberos TGT の有効期間の既定値は 4 時間であり、この値は認証ポリシーとサイロを使用して設定可能です (設定するには Active Directory 管理センターを使用します)。 つまり、4 時間が経過すると、ユーザーは再認証する必要があります。

このセキュリティ グループの詳細については、「Protected Users グループのしくみ」をご覧ください。

サイロと認証ポリシー

認証ポリシー サイロと認証ポリシーには、Windows の既存の認証インフラストラクチャが活用されています。 NTLM プロトコルの使用は拒否され、Kerberos プロトコルと新しい暗号化タイプが使用されます。 認証ポリシーは Protected Users セキュリティ グループを補完するものであり、構成可能な制限をアカウントに適用する手段となります。加えて、サービスやコンピューターに対応するアカウントに制限を適用することもできます。 認証ポリシーが強制的に適用されるのは、Kerberos プロトコル認証サービス (AS) またはチケット保証サービス (TGS) 交換のときです。 Windows で Kerberos プロトコルがどのように使用されるか、および認証ポリシー サイロと認証ポリシーのサポートのためにどのような変更が行われたかについては、次のドキュメントをご覧ください。

Kerberos プロトコルと認証ポリシー サイロおよびポリシーとの連携のしくみ

ドメイン アカウントが認証ポリシー サイロにリンクされている状態でユーザーがサインインすると、セキュリティ アカウント マネージャーによって "認証ポリシー サイロ" というタイプのクレームが追加され、サイロが値として指定されます。 アカウントにおけるこのクレームによって、対象のサイロへのアクセスが可能になります。

認証ポリシーが強制適用されているときに、ドメイン アカウントに対する認証サービス要求がドメイン コントローラー上で受信されると、ドメイン コントローラーは更新不可の TGT を返します。この TGT の有効期間は、あらかじめ設定されているとおりとなります (ドメイン TGT の有効期間がそれよりも短い場合を除く)。

注意

ドメイン アカウントの TGT 有効期間が設定されていることと、ドメイン アカウントがポリシーに直接リンクしているかサイロのメンバーとして間接的にリンクしていることが必要です。

認証ポリシーが監査モードのときに、ドメイン アカウントに対する認証サービス要求がドメイン コントローラー上で受信されると、ドメイン コントローラーは、そのデバイスに認証が許可されているかどうかを調べて、許可されていない場合は警告をログに記録します。 監査モードの認証ポリシーによってプロセスが変更されることはないので、認証要求がポリシーの要件を満たしていなくても、要求が失敗となることはありません。

注意

ドメイン アカウントは、ポリシーに直接リンクしているかサイロのメンバーとして間接的にリンクしている必要があります。

認証ポリシーが強制適用されており、認証サービスが防御されているときに、ドメイン アカウントに対する認証サービス要求がドメイン コントローラー上で受信されると、ドメイン コントローラーは、そのデバイスに認証が許可されているかどうかを調べます。 許可されていない場合は、ドメイン コントローラーからエラー メッセージが返されて、イベントがログに記録されます。

注意

ドメイン アカウントは、ポリシーに直接リンクしているかサイロのメンバーとして間接的にリンクしている必要があります。

認証ポリシーが監査モードのときに、ドメイン アカウントに対するチケット保証サービス要求がドメイン コントローラーで受信されると、ドメイン コントローラーでは、その要求のチケット特権属性証明 (PAC) データに基づいて、認証が許可されているかどうかを調べて、許可されていない場合は警告メッセージをログに記録します。 PAC の内容は、さまざまなタイプの認可データであり、たとえばそのユーザーがメンバーとなっているグループや、付与されている権利、適用されているポリシーがあります。 この情報は、そのユーザーのアクセス トークンを生成するために使用されます。 この認証ポリシーが強制適用されており、認証を特定のユーザー、デバイス、またはサービスに許可するようにポリシーが構成されている場合は、ドメイン コントローラーでは、要求のチケット PAC データに基づいて、認証が許可されているかどうかを調べます。 許可されていない場合は、ドメイン コントローラーからエラー メッセージが返されて、イベントがログに記録されます。

注意

ドメイン アカウントは、ユーザー、デバイス、またはサービスに認証を許可する監査モードの認証ポリシーに直接リンクしているか、サイロのメンバーとして間接的にリンクしている必要があります。

1 つの認証ポリシーを 1 つのサイロの全メンバーに使用することも、ユーザー、コンピューター、管理されるサービス アカウントのそれぞれに別のポリシーを使用することもできます。

認証ポリシーをサイロごとに構成するには、Active Directory 管理コンソールまたは Windows PowerShell を使用します。 詳細については、「保護されるアカウントの構成方法」をご覧ください。

ユーザー サインインの制限のしくみ

このような認証ポリシーは特定のアカウントに適用されるものであるため、サービスで使用されるアカウントにも適用されます。 あるサービスに対するパスワードの使用を特定のホストだけに制限する必要がある場合に、この設定が役立ちます。 たとえば、グループの管理されたサービス アカウントの構成の中で、ホストがパスワードを Active Directory Domain Services から取得することが許可されているとします。 しかし、そのパスワードはどのホストからでも初期認証に使用できます。 アクセス制御条件を適用すると、特定のホストだけがパスワードを取得できるように制限できるので、保護が強化されます。

サービスがシステム、ネットワーク サービス、またはその他のローカル サービス アイデンティティとして実行されている場合、そのサービスをネットワーク サービスに接続するときに、ホストのコンピューター アカウントが使用されます。 コンピューター アカウントに制限をかけることはできません。 したがって、サービスが使用しているコンピューター アカウントが Windows ホストのものではない場合でも、そのアカウントに制限をかけることはできません。

ユーザーのサインインを特定のホストに制限するには、ドメイン コントローラーでホストの ID を検証する必要があります。 Kerberos 認証と共に Kerberos 防御 ("ダイナミック アクセス制御" 機能の一部) を使用する場合は、ユーザーがホストから認証を行うときに、そのホストの TGT がキー配布センターに提示されます。 この防御された TGT の内容を使用してアクセス検査が行われ、そのホストを許可するかどうかが判断されます。

ユーザーが Windows にサインインするときや、アプリケーションの資格情報入力画面でドメイン資格情報を入力するときに、既定の設定では防御されていない AS-REQ がドメイン コントローラーに送信されます。 ユーザーの要求の送信元であるコンピューターが防御をサポートしていない場合、たとえば Windows 7 や Windows Vista を実行しているコンピューターの場合は、要求が失敗となります。

次のリストは、このプロセスの説明です。

  • Windows Server 2012 R2 を実行しているドメイン内のドメイン コントローラーによって、ユーザー アカウントが照会され、防御された要求を必要とする初期認証を制限する認証ポリシーで構成されているかどうかが確認されます。

  • ドメイン コントローラーはその要求の処理を中止します。

  • 防御が必要とされているため、ユーザーは Windows 8.1 または Windows 8 を実行しているコンピューターを使用してサインインを試行できます。このコンピューターでは、サインイン プロセスを再試行するための Kerberos 防御のサポートが有効化されています。

  • Windows はそのドメインが Kerberos 防御をサポートしていることを検出し、サインイン要求を再試行するために防御された AS-REQ を送信します。

  • ドメイン コントローラーでは、構成済みのアクセス制御条件と、要求の防御に使用された TGT 内のクライアント オペレーティング システムの ID 情報を使用して、アクセス検査が実行されます。

  • このアクセス検査に不合格となった場合は、ドメイン コントローラーは要求を拒否します。

オペレーティング システムが Kerberos 防御をサポートしているときでも、アクセス制御要件の適用は可能であり、要件を満たしていなければアクセス権は付与されません。 ユーザーは Windows にサインインするか、アプリケーションの資格情報入力画面で各自のドメイン資格情報を入力します。 既定の設定では、防御されていない AS-REQ がドメイン コントローラーに送信されます。 ユーザーが、防御をサポートするコンピューター (Windows 8.1 や Windows 8 など) から要求を送信している場合、認証ポリシーは次のように評価されます。

  1. Windows Server 2012 R2 を実行しているドメイン内のドメイン コントローラーによって、ユーザー アカウントが照会され、防御された要求を必要とする初期認証を制限する認証ポリシーで構成されているかどうかが確認されます。

  2. ドメイン コントローラーでは、構成済みのアクセス制御条件と、要求の防御に使用される TGT 内の ID 情報を使用して、アクセス検査が実行されます。 アクセス検査の結果は合格です。

    注意

    以前からのワークグループ制限が構成済みの場合は、その制限にも適合している必要があります。

  3. ドメイン コントローラーから、防御された応答が返され (AS-REP)、認証が続行されます。

サービス チケット発行の制限のしくみ

アカウントが許可されていない場合に、TGT を持つユーザーがサービスへの接続を試行すると (たとえば、サービスのサービス プリンシパル名 (SPN) で識別されるサービスへの認証を必要とするアプリケーションを開いた場合など)、次のシーケンスが実行されます。

  1. SPN から SPN1 への接続を試行するために、TGS-REQ がドメイン コントローラーに送信されます。これは、SPN1 に対するサービス チケットを要求するものです。

  2. Windows Server 2012 R2 を実行しているドメイン内のドメイン コントローラーでは、SPN1 を調べて、そのサービスの Active Directory Domain Services アカウントを見つけ出し、そのアカウントが、サービス チケット発行が制限されている認証ポリシーで構成されていることを確認します。

  3. ドメイン コントローラーでは、構成済みのアクセス制御条件と、TGT 内のユーザーの ID 情報を使用して、アクセス検査が実行されます。 アクセス検査の結果は不合格です。

  4. ドメイン コントローラーは要求を拒否します。

認証ポリシーで設定されているアクセス制御条件を満たしているという理由でアカウントが許可されている場合、TGT を持つユーザーがサービスへの接続を試行すると (たとえば、サービスの SPN で識別されるサービスへの認証を必要とするアプリケーションを開いた場合など)、次のシーケンスが実行されます。

  1. SPN1 への接続を試行するために、TGS-REQ がドメイン コントローラーに送信されます。これは、SPN1 に対するサービス チケットを要求するものです。

  2. Windows Server 2012 R2 を実行しているドメイン内のドメイン コントローラーでは、SPN1 を調べて、そのサービスの Active Directory Domain Services アカウントを見つけ出し、そのアカウントが、サービス チケット発行が制限されている認証ポリシーで構成されていることを確認します。

  3. ドメイン コントローラーでは、構成済みのアクセス制御条件と、TGT 内のユーザーの ID 情報を使用して、アクセス検査が実行されます。 アクセス検査の結果は合格です。

  4. ドメイン コントローラーは要求への応答として、チケット保証サービス応答 (TGS-REP) を返します。

関連するエラー/情報イベント メッセージ

次の表は、Protected Users セキュリティ グループや認証ポリシー サイロに適用される認証ポリシーに関連するイベントの説明です。

これらのイベントは、"アプリケーションとサービス ログ" (Microsoft\Windows\Authentication) に記録されます。

これらのイベントを使用するトラブルシューティング手順については、「認証ポリシーのトラブルシューティング」と「Protected Users 関連のイベントのトラブルシューティング」をご覧ください。

イベント ID とログ 説明
101

AuthenticationPolicyFailures-DomainController

理由: 認証ポリシーが構成済みのため、NTLM サインインの失敗が発生しました。

イベントがドメイン コントローラーのログに記録されます。これは、アクセス制御による制限が必要とされていたが、その制限を NTLM に適用できないことが理由で NTLM 認証に失敗したことを示すものです。

アカウント、デバイス、ポリシー、およびサイロの名前が表示されます。

105

AuthenticationPolicyFailures-DomainController

理由: そのデバイスからの認証が許可されていなかったため、Kerberos 制限の失敗が発生します。

イベントがドメイン コントローラーのログに記録されます。これは、強制適用されているアクセス制御制限にデバイスが適合していないことが理由で Kerberos TGT が拒否されたことを示すものです。

アカウント、デバイス、ポリシー、サイロの名前、および TGT 有効期間が表示されます。

305

AuthenticationPolicyFailures-DomainController

理由: そのデバイスからの認証が許可されていないことが理由で Kerberos 制限の失敗が発生する可能性があります。

監査モードでは、情報イベントがドメイン コントローラーのログに記録されます。これは、アクセス制御制限にデバイスが適合していないことが理由で Kerberos TGT が拒否されるかどうかを示すものです。

アカウント、デバイス、ポリシー、サイロの名前、および TGT 有効期間が表示されます。

106

AuthenticationPolicyFailures-DomainController

理由: サーバーに対する認証がそのユーザーまたはデバイスに許可されていないことが理由で Kerberos 制限の失敗が発生します。

イベントがドメイン コントローラーのログに記録されます。これは、強制適用されているアクセス制御制限にユーザーとデバイスの一方または両方が適合していないことが理由で Kerberos サービス チケットが拒否されたことを示すものです。

デバイス、ポリシー、およびサイロの名前が表示されます。

306

AuthenticationPolicyFailures-DomainController

理由: サーバーに対する認証がそのユーザーまたはデバイスに許可されていないことが理由で Kerberos 制限の失敗が発生する可能性があります。

監査モードでは、情報イベントがドメイン コントローラーのログに記録されます。これは、ユーザーとデバイスの一方または両方がアクセス制御制限に適合していないことが理由で Kerberos サービス チケットが拒否されることを示すものです。

デバイス、ポリシー、およびサイロの名前が表示されます。

その他の参照情報

保護されるアカウントの構成方法

資格情報の保護と管理

Protected Users セキュリティ グループ