ポリシー CSP - ADMX_kdc
ヒント
この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML でデータ型を <Format>chr</Format>として指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。
SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。
CbacAndArmor
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/CbacAndArmor
このポリシー設定を使用すると、Kerberos 認証を使用した動的アクセス制御と Kerberos 防御の要求と複合認証をサポートするようにドメイン コントローラーを構成できます。
このポリシー設定を有効にした場合、動的アクセス制御の要求と複合認証をサポートし、Kerberos アーマー対応のクライアント コンピューターは、Kerberos 認証メッセージにこの機能を使用します。 このポリシーをすべてのドメイン コントローラーに適用して、ドメイン内でこのポリシーを一貫して適用する必要があります。
このポリシー設定を無効にするか、構成しない場合、ドメイン コントローラーは要求、複合認証、防御をサポートしません。
[サポートされていません] オプションを構成した場合、ドメイン コントローラーは、Windows Server 2008 R2 以前のオペレーティング システムを実行しているドメイン コントローラーの既定の動作である要求、複合認証、防御をサポートしていません。
注
この KDC ポリシーの次のオプションを有効にするには、サポートされているシステムで Kerberos グループ ポリシー "Kerberos クライアントによる要求のサポート、複合認証、Kerberos 防御" を有効にする必要があります。 Kerberos ポリシー設定が有効になっていない場合、Kerberos 認証メッセージはこれらの機能を使用しません。
"サポートされている" を構成する場合、ドメイン コントローラーは要求、複合認証、Kerberos 防御をサポートします。 ドメイン コントローラーは、ドメインが動的アクセス制御と Kerberos 防御の要求と複合認証が可能であることを Kerberos クライアント コンピューターにアドバタイズします。
ドメイン機能レベルの要件。
ドメイン機能レベルが Windows Server 2008 R2 以前に設定されている場合、[常に要求を提供する] と [未確認の認証要求に失敗する] オプションの場合、ドメイン コントローラーは "サポートされている" オプションが選択されているかのように動作します。
ドメイン機能レベルが Windows Server 2012 に設定されている場合、ドメイン コントローラーは、ドメインが動的アクセス制御と Kerberos 防御の要求と複合認証が可能であることを Kerberos クライアント コンピューターにアドバタイズします。
[常に要求を提供する] オプションを設定すると、常にアカウントの要求が返され、柔軟な認証セキュリティ トンネリング (FAST) をアドバタイズするための RFC 動作がサポートされます。
[未確認の認証要求に失敗する] オプションを設定すると、未確認の Kerberos メッセージが拒否されます。
Warning
"未確認の認証要求の失敗" が設定されている場合、Kerberos 防御をサポートしていないクライアント コンピューターはドメイン コントローラーに対する認証に失敗します。
この機能が効果的であることを確認するには、動的アクセス制御の要求と複合認証をサポートし、認証要求を処理するための Kerberos アーマー対応の十分なドメイン コントローラーをデプロイします。 このポリシーをサポートするドメイン コントローラーの数が不十分な場合、動的アクセス制御または Kerberos の防御が必要な場合 (つまり、[サポートされている] オプションが有効になっている) たびに認証エラーが発生します。
このポリシー設定が有効になっている場合のドメイン コントローラーのパフォーマンスへの影響:
セキュリティで保護された Kerberos ドメイン機能の検出が必要になり、メッセージ交換が追加されます。
動的アクセス制御の要求と複合認証により、メッセージ内のデータのサイズと複雑さが増し、処理時間が長くなり、Kerberos サービス チケットのサイズが大きくなります。
Kerberos 防御は Kerberos メッセージを完全に暗号化し、Kerberos エラーに署名します。これにより処理時間が長くなりますが、サービス チケットのサイズは変更されません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | CbacAndArmor |
| フレンドリ名 | 要求、複合認証、Kerberos 防御の KDC サポート |
| 場所 | [コンピューターの構成] |
| パス | システム > KDC |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| レジストリ値の名前 | EnableCbacAndArmor |
| ADMX ファイル名 | kdc.admx |
emitlili
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/emitlili
このポリシー設定は、ドメイン コントローラーがクライアント コンピューターへの以前のログオンに関する情報を提供するかどうかを制御します。
- このポリシー設定を有効にした場合、ドメイン コントローラーは以前のログオンに関する情報メッセージを提供します。
Windows ログオンでこの機能を利用するには、[Windows コンポーネント] の [Windows ログオン オプション] ノードにある [ユーザー ログオン中に以前のログオンに関する情報を表示する] ポリシー設定も有効にする必要があります。
- このポリシー設定を無効にした場合、または構成しなかった場合、ドメイン コントローラーは、"ユーザー ログオン中に以前のログオンに関する情報を表示する" ポリシー設定が有効になっていない限り、以前のログオンに関する情報を提供しません。
注
以前のログオンに関する情報は、ドメインの機能レベルが Windows Server 2008 の場合にのみ提供されます。 Windows Server 2003、Windows 2000 ネイティブ、または Windows 2000 のドメイン機能レベルが混在しているドメインでは、ドメイン コントローラーは以前のログオンに関する情報を提供できないため、このポリシー設定を有効にしても何も影響しません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | emitlili |
| フレンドリ名 | クライアント コンピューターへの以前のログオンに関する情報を提供する |
| 場所 | [コンピューターの構成] |
| パス | システム > KDC |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| レジストリ値の名前 | EmitLILI |
| ADMX ファイル名 | kdc.admx |
ForestSearch
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/ForestSearch
このポリシー設定は、キー配布センター (KDC) が 2 部構成のサービス プリンシパル名 (SPN) を解決しようとしたときに検索する信頼フォレストの一覧を定義します。
このポリシー設定を有効にすると、KDC は、ローカル フォレスト内の 2 部構成の SPN を解決できない場合に、この一覧のフォレストを検索します。 フォレスト検索は、グローバル カタログまたは名前サフィックス ヒントを使用して実行されます。 一致するものが見つかった場合、KDC は適切なドメインの紹介チケットをクライアントに返します。
このポリシー設定を無効にした場合、または構成しなかった場合、KDC は一覧表示されたフォレストを検索して SPN を解決しません。 名前が見つからないために KDC が SPN を解決できない場合は、NTLM 認証が使用される可能性があります。
一貫性のある動作を確保するには、このポリシー設定をサポートし、ドメイン内のすべてのドメイン コントローラーで同じように設定する必要があります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ForestSearch |
| フレンドリ名 | フォレストの検索順序を使用する |
| 場所 | [コンピューターの構成] |
| パス | システム > KDC |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| レジストリ値の名前 | UseForestSearch |
| ADMX ファイル名 | kdc.admx |
PKINITFreshness
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/PKINITFreshness
PKInit Freshness 拡張機能のサポートには、Windows Server 2016 ドメイン機能レベル (DFL) が必要です。 ドメイン コントローラーのドメインが Windows Server 2016 DFL 以降にない場合、このポリシーは適用されません。
このポリシー設定を使用すると、PKInit Freshness 拡張機能をサポートするようにドメイン コントローラー (DC) を構成できます。
- このポリシー設定を有効にすると、次のオプションがサポートされます。
サポート対象: PKInit Freshness 拡張機能は、要求に応じてサポートされます。 PKInit Freshness 拡張機能を使用して正常に認証された Kerberos クライアントは、新しい公開キー ID SID を取得します。
必須: 認証を成功させるには、PKInit Freshness 拡張機能が必要です。 公開キー資格情報を使用する場合、PKInit Freshness 拡張機能をサポートしていない Kerberos クライアントは常に失敗します。
- このポリシー設定を無効にするか、構成しない場合、DC は PKInit Freshness 拡張機能を提供せず、鮮度を確認せずに有効な認証要求を受け入れます。 ユーザーは、新しい公開キー ID SID を受け取ることはありません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | PKINITFreshness |
| フレンドリ名 | PKInit Freshness 拡張機能の KDC サポート |
| 場所 | [コンピューターの構成] |
| パス | システム > KDC |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| ADMX ファイル名 | kdc.admx |
RequestCompoundId
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/RequestCompoundId
このポリシー設定を使用すると、複合認証を要求するようにドメイン コントローラーを構成できます。
注
ドメイン コントローラーが複合認証を要求するには、ポリシー "要求、複合認証、Kerberos 防御の KDC サポート" を構成して有効にする必要があります。
このポリシー設定を有効にすると、ドメイン コントローラーは複合認証を要求します。 返されたサービス チケットには、アカウントが明示的に構成されている場合にのみ複合認証が含まれます。 このポリシーをすべてのドメイン コントローラーに適用して、ドメイン内でこのポリシーを一貫して適用する必要があります。
このポリシー設定を無効にした場合、または構成しなかった場合、ドメイン コントローラーは、アカウント構成に関係なく、クライアントが複合認証要求を送信するたびに、複合認証を含むサービス チケットを返します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | RequestCompoundId |
| フレンドリ名 | 複合認証を要求する |
| 場所 | [コンピューターの構成] |
| パス | システム > KDC |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| レジストリ値の名前 | RequestCompoundId |
| ADMX ファイル名 | kdc.admx |
TicketSizeThreshold
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降 ✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降 ✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降 ✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/TicketSizeThreshold
このポリシー設定を使用すると、Kerberos 認証中に発行された警告イベントをトリガーする Kerberos チケットのサイズを構成できます。 チケット サイズの警告はシステム ログに記録されます。
このポリシー設定を有効にすると、警告イベントをトリガーする Kerberos チケットのしきい値制限を設定できます。 設定が高すぎると、警告イベントがログに記録されていない場合でも、認証エラーが発生している可能性があります。 設定が低すぎると、ログにチケット警告が多すぎて分析に役立ちません。 この値は、Kerberos ポリシー "最大 Kerberos SSPI コンテキスト トークン バッファー サイズを設定する" と同じ値に設定するか、グループ ポリシーを使用して構成しない場合は、環境内で使用される最小の MaxTokenSize に設定する必要があります。
このポリシー設定を無効にした場合、または構成しない場合、しきい値の既定値は 12,000 バイトです。これは、Windows 7、Windows Server 2008 R2、および以前のバージョンの既定の Kerberos MaxTokenSize です。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | TicketSizeThreshold |
| フレンドリ名 | 大きな Kerberos チケットに関する警告 |
| 場所 | [コンピューターの構成] |
| パス | システム > KDC |
| レジストリ キー名 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| レジストリ値の名前 | EnableTicketSizeThreshold |
| ADMX ファイル名 | kdc.admx |