ドメインに参加しているデバイスの公開キー認証
Windows Server 2012 および Windows 8 以降、Kerberos は、ドメイン参加デバイスが証明書を使用してサインインすることをサポートするようになりました。 この変更により、サードパーティ ベンダーは、ドメイン参加デバイスがドメイン認証に使用する証明書をプロビジョニングおよび初期化するソリューションを作成できます。
公開キーの自動プロビジョニング
Windows 10 バージョン 1507 および Windows Server 2016 以降、ドメイン参加デバイスは、バインドされた公開キーを Windows Server 2016 ドメイン コントローラー (DC) に自動的にプロビジョニングします。 キーがプロビジョニングされた後、Windows がドメインに対してに公開キー認証を使用できます。
キーの生成
デバイスで Credential Guard が実行されている場合は、Credential Guard によって公開キーとプライベート キーのペアが作成されて保護されます。
Credential Guard が使用できなくとも、TPM が使用できる場合は、TPM によって公開キーとプライベート キーのペアが作成されて保護されます。
どちらも使用できない場合、キー ペアは生成されません。デバイスはパスワードのみを使用して認証できます。
コンピューター アカウントの公開キーのプロビジョニング
Windows は起動時に、コンピューター アカウントに対して公開キーがプロビジョニングされたかどうかをチェックします。 プロビジョニングされていない場合は、バインドされた公開キーを生成し、Windows Server 2016 以上の DC を使用して、それを AD のアカウント用に構成します。 すべての PC がダウンレベルの場合、キーはプロビジョニングされません。
公開キーのみを使用するようにデバイスを構成する
グループ ポリシーの設定 [Support for device authentication using certificate] (証明書を使用したデバイス認証のサポート) が [強制] に設定されている場合、デバイスは認証のために Windows Server 2016 以降を実行する DC を見つける必要があります。 この設定は、[管理用テンプレート] > [システム] > [Kerberos] に表示されます。
パスワードのみを使用するようにデバイスを構成する
[Support for device authentication using certificate] (証明書を使用したデバイス認証のサポート) 設定が無効になっている場合は、常にパスワードが使用されます。 この設定は、[管理用テンプレート] > [システム] > [Kerberos] に表示されます。
公開キーを使用したドメイン参加デバイスの認証
Windows にドメイン参加デバイスの証明書がある場合、Kerberos は最初に証明書を使用して認証を行い、失敗した場合はパスワードを使用して再試行します。 これにより、ダウンレベルの DC に対するデバイスの認証が可能になります。
自動的にプロビジョニングされた公開キーには自己署名証明書が含まれているので、キー信頼アカウント マッピングをサポートしていないドメイン コントローラーでは証明書の検証が失敗します。 既定では、Windowsのドメイン パスワードを使用して認証を再試行します。