Credential Guard の構成
この記事では、Microsoft Intune、グループ ポリシー、またはレジストリを使用して Credential Guard を構成する方法について説明します。
既定の有効化
Windows 11、22H2、Windows Server 2025 以降では、要件を満たすデバイスで Credential Guard が既定で有効になっています。
システム管理者は、この記事で説明するいずれかの方法を使用して、Credential Guard を明示的に 有効 または 無効にすることができます 。 明示的に構成された値は、再起動後の既定の有効化状態を上書きします。
Credential Guard が既定で有効になっている新しいバージョンの Windows に更新する前に、デバイスで Credential Guard が明示的にオフになっている場合は、更新後も無効のままです。
重要
既定の有効化に関連する既知の問題については、「 Credential Guard: 既知の問題」を参照してください。
Credential Guard の有効化
Credential Guard は、デバイスがドメインに参加する前、またはドメイン ユーザーが初めてサインインする前に有効にする必要があります。 ドメイン参加後に Credential Guard が有効になっている場合、ユーザーとデバイスのシークレットが既に侵害されている可能性があります。
Credential Guard を有効にするには、次を使用できます。
- Microsoft Intune/MDM
- グループ ポリシー
- レジストリ
次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。
Intune/CSP
GPO
レジストリIntuneを使用して Credential Guard を構成する
Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。
| カテゴリ | 設定名 | 値 |
|---|---|---|
| Device Guard | Credential Guard | 次のいずれかのオプションを選択します。 - UEFI ロックで有効 - ロックなしで有効 |
重要
資格情報ガードをリモートでオフにしたい場合は、[ ロックなしで有効] オプションを選択します。
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
ヒント
エンドポイント セキュリティで アカウント保護 プロファイルを使用して Credential Guard を構成することもできます。 詳細については、「Microsoft Intuneのエンドポイント セキュリティのアカウント保護ポリシー設定」を参照してください。
または、DeviceGuard Policy CSP でカスタム ポリシーを使用してデバイスを構成することもできます。
| 設定 |
|---|
|
設定名: 仮想化ベースのセキュリティを有効にする OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityデータ型: int 値: 1 |
|
設定名: Credential Guard の構成 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsデータ型: int 値: UEFI ロックで有効: 1ロックなしで有効: 2 |
ポリシーが適用されたら、デバイスを再起動します。
Credential Guard が有効になっているかどうかを確認する
LsaIso.exeが実行されているかどうかをタスク マネージャーで確認することは、Credential Guard が実行されているかどうかを判断するための推奨される方法ではありません。 代わりに、次のいずれかの方法を使用します。
- システム情報
- PowerShell
- イベント ビューアー
システム情報
システム情報を使用して、Credential Guard がデバイスで実行されているかどうかを判断できます。
- [スタート] を選択し、「
msinfo32.exe」と入力し、[システム情報] を選択します。 - [システムの概要] を選択する
- [実行中の仮想化ベースのセキュリティ サービス] の横に Credential Guard が表示されていることを確認します
PowerShell
PowerShell を使用して、Credential Guard がデバイス上で実行されているかどうかを判断できます。 管理者特権の PowerShell セッションから、次のコマンドを使用します。
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
コマンドは、次の出力を生成します。
- 0: Credential Guard が無効になっている (実行されていません)
- 1: Credential Guard が有効になっている (実行中)
イベント ビューアー
セキュリティ監査ポリシーまたは WMI クエリを使用して、Credential Guard が有効になっているデバイスの定期的なレビューを実行します。
イベント ビューアー (eventvwr.exe) を開き、[Windows Logs\System] に移動し、WinInit のイベント ソースをフィルター処理します。
イベント ID
Description
13 (情報)
Credential Guard (LsaIso.exe) was started and will protect LSA credentials.
14 (情報)
Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
- 最初の変数 0x1 または 0x2 は、Credential Guard が実行されるように構成されていることを意味します。 0x0 は、実行するように構成されていないことを意味します。
- 2 番目の変数: 0 は、保護モードで実行するように構成されていることを意味します。 1 は、テスト モードで実行するように構成されていることを意味します。 この変数は常に 0 にする必要があります。
15 (警告)
Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.
16 (警告)
Credential Guard (LsaIso.exe) failed to launch: [error code]
17
Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]
次のイベントは、キー保護に TPM が使用されているかどうかを示します。 パス: Applications and Services logs > Microsoft > Windows > Kernel-Boot
イベント ID
Description
51 (情報)
VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.
TPM を使用して実行している場合、TPM PCR マスク値は 0 以外です。
Credential Guard を無効にする
Credential Guard を無効にするさまざまなオプションがあります。 選択するオプションは、Credential Guard の構成方法によって異なります。
- 仮想マシンで実行されている Credential Guard は、ホストによって無効にすることができます
- UEFI ロックで Credential Guard が有効になっている場合は、「UEFI ロックで Credential Guard を無効にする」で説明されている手順に従います
- Credential Guard が UEFI ロックなしで有効になっている場合、または 既定の有効化更新プログラムの一部として有効になっている場合は、次のいずれかのオプションを使用して無効にします。
- Microsoft Intune/MDM
- グループ ポリシー
- レジストリ
次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。
Intuneで Credential Guard を無効にする
Intune経由で UEFI ロックなしで Credential Guard が有効になっている場合、同じポリシー設定を無効にすると Credential Guard が無効になります。
Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。
| カテゴリ | 設定名 | 値 |
|---|---|---|
| Device Guard | Credential Guard | 無効 |
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
または、DeviceGuard Policy CSP でカスタム ポリシーを使用してデバイスを構成することもできます。
| 設定 |
|---|
|
設定名: Credential Guard の構成 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsデータ型: int 値: 0 |
ポリシーが適用されたら、デバイスを再起動します。
仮想化ベースのセキュリティ (VBS) を無効にする方法については、「 仮想化ベースのセキュリティを無効にする」を参照してください。
UEFI ロックで Credential Guard を無効にする
UEFI ロックで Credential Guard が有効になっている場合は、設定が EFI (ファームウェア) 変数に保持されるため、この手順に従います。
注
このシナリオでは、変更を受け入れるためにファンクション キーを押すために、マシンに物理的なプレゼンスが必要です。
「Credential Guard を無効にする」の手順に従います
bcdedit を使って Credential Guard の EFI 変数を削除します。 管理者特権のコマンド プロンプトで、次のコマンドを入力します。
mountvol X: /s copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /dデバイスを再起動します。 OS が起動する前に、UEFI が変更されたことを通知し、確認を求めるプロンプトが表示されます。 変更を保持するには、プロンプトを確認する必要があります。
仮想マシンの Credential Guard を無効にする
ホストから、次のコマンドを使用して仮想マシンの Credential Guard を無効にすることができます。
Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true
仮想化ベースのセキュリティを無効にする
仮想化ベースのセキュリティ (VBS) を無効にすると、Credential Guard やその他の VBS に依存する機能が自動的に無効になります。
重要
Credential Guard 以外のその他のセキュリティ機能は、VBS に依存しています。 VBS を無効にすると、意図しない副作用が発生する可能性があります。
VBS を無効にするには、次のいずれかのオプションを使用します。
- Microsoft Intune/MDM
- グループ ポリシー
- レジストリ
次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。
Intuneで VBS を無効にする
VBS が Intune 経由で有効になっていて、UEFI ロックがない場合、同じポリシー設定を無効にすると VBS が無効になります。
Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。
| カテゴリ | 設定名 | 値 |
|---|---|---|
| Device Guard | 仮想化ベースのセキュリティを有効にする | 無効 |
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
または、DeviceGuard Policy CSP でカスタム ポリシーを使用してデバイスを構成することもできます。
| 設定 |
|---|
|
設定名: 仮想化ベースのセキュリティを有効にする OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityデータ型: int 値: 0 |
ポリシーが適用されたら、デバイスを再起動します。
UEFI ロックで Credential Guard が有効になっている場合は、コマンド bcdedit.exeを使用してファームウェアに格納されている EFI 変数をクリアする必要があります。 管理者特権のコマンド プロンプトから、次のコマンドを実行します。
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off
次のステップ
- 追加の軽減策に関する記事の Credential Guard を使用して環境をより安全かつ堅牢にするためのアドバイスとサンプル コードを確認する
- Credential Guard を使用する際の考慮事項と既知の問題を確認する