MED-V のエンド ユーザーの認証
適用対象: Microsoft Enterprise Desktop Virtualization 2.0
Microsoft Enterprise Desktop Virtualization (MED-V) 2.0 エンド ユーザーの認証は、セキュリティに係わる重要事項です。ここでいう認証とは、MED-V のエンド ユーザーの身元を確認することを指します。
ここでは、MED-V でのエンド ユーザーの認証について詳しく説明します。
MED-V でのユーザーの認証
一般に、MED-V で行われる認証には、2 つのレベルがあります。1 つはユーザーが MED-V に初めてアクセスするとき、もう 1 つはユーザーがパスワードを変更するたびに行われる認証です。
MED-V の認証の設定をどのように構成したかによって、MED-V を初めて起動したときか、ユーザーが公開アプリケーションを初めて開こうとしたときに、パスワードを入力するようにというメッセージが表示されます。
エンド ユーザーの認証に関して、次のことを制御できます。
エンド ユーザーが入力した資格情報を資格情報マネージャーに保存するかどうか。
パスワードの入力と保存のオプションを、エンド ユーザーにどのような方法で表示するか。
会社が採用しているエンドユーザー認証の管理方法によっては、特定の MED-V ワークスペース用の資格情報をキャッシュするかどうかを指定できる場合があります。エンド ユーザーの資格情報をキャッシュするように指定すると、パスワードの入力メッセージが 1 回しか表示されないので、エンド ユーザーにとっては便利です。一方、エンド ユーザーがパスワードを保存できないように設定されている場合、またはエンド ユーザーがパスワードを保存しないことを選択した場合は、MED-V の新しいセッションを開始するたびに、パスワードを入力する必要があります。たとえば、エンド ユーザーがログオンすると MED-V が起動するように構成し、認証が無効にした場合は、エンド ユーザーはログオンするときにパスワードを 1 回入力するだけで済みます。この場合は、エンド ユーザーがホストからログオフするまで、資格情報が有効になります。
必要に応じて、資格情報マネージャーを使用して、エンド ユーザーの保存された資格情報を削除することもできます。
既定では、資格情報の保存は無効になっていますが、次のいずれかの方法で、この設定を変更することができます。
MED-V ワークスペース パッケージを作成するときに変更する。詳細については、「MED-V ワークスペース パッケージの作成」を参照してください。
MED-V ワークスペースを展開した後で変更する。ターミナル サービスのレジストリ キーを設定するには、MED-V の UxCredentialCacheEnabled というコマンドレット パラメーターを編集します。詳細については、Windows PowerShell ヘルプを参照してください。
MED-V ワークスペースを展開した後で、エンド ユーザー認証のオプションを設定するには、DisablePasswordSaving というターミナル サービス ポリシーを変更します。DisablePasswordSaving は、RDP クライアントのダイアログ ボックスに [パスワードの保存] チェック ボックスが表示されるようにするかどうかと、MED-V の資格情報の入力メッセージが表示されるかどうかを制御します。
ターミナル サービス ポリシー DisablePasswordSaving は、次の場所にあります。
Regedit:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Virtual Machine\Policies\DisablePasswordSaving
注意
DisablePasswordSaving に加えた変更は、仮想マシンで表示される RDP メッセージだけに影響します。
次の表に、資格情報の設定の各構成と、その構成による影響をまとめます。
値 | 構成 | 結果 | ||
---|---|---|---|---|
DisablePasswordSaving |
無効 |
MED-V の資格情報の入力メッセージと、オン/オフ切り替え可能な [パスワードの保存] チェック ボックスがオフの状態で表示されます。エンド ユーザーが、このチェック ボックスをオンにすると、資格情報がその後も使用されるようにキャッシュされます。また、その後パスワードの有効期限が切れたときだけメッセージが表示されるので、エンド ユーザーにとっては便利です。 |
||
エンド ユーザーが [パスワードの保存] チェック ボックスをオフのままにしてログオンした場合は、MED-V のメッセージの代わりに、リモート デスクトップ接続 (RDC) クライアントのメッセージが表示され、オフの状態の [パスワードの保存] チェック ボックスが表示されます。エンド ユーザーがこのチェック ボックスをオンにすると、RDC クライアントの資格情報が、その後も使用されるようにキャッシュされます。 重要 RDC では、エンド ユーザーが入力した資格情報が検証されません。そのため、RDC のメッセージで入力した資格情報をキャッシュする場合は、間違った資格情報が保存される可能性があります。このような場合は、Windows 資格情報マネージャーで間違った資格情報を削除する必要があります。 |
||||
DisablePasswordSaving |
有効 |
|
既定では、MED-V のインストール時に、ゲストのレジストリ キーで、パスワードの期限切れが近づいたことを知らせるメッセージが表示されないように設定されます。そのため、エンド ユーザーのパスワードの変更のメッセージは、ホストだけで表示されます。ホストで更新した資格情報は、ゲストに渡されます。
注意
グループ ポリシーを使用している場合は、レジストリ キーが上書きされ、ゲストでもパスワードの変更メッセージが表示されるようになることがあるので注意してください。
認証に関するセキュリティ上の注意
エンド ユーザーの資格情報をキャッシュした方がエンド ユーザーにとっては便利ですが、発生するリスクも考慮してください。
資格情報のキャッシュを有効にすると、エンド ユーザーのドメイン資格情報が、元に戻せる形式で Windows 資格情報マネージャーに保存されます。そのため、攻撃者が、システム レベルまたはエンド ユーザー レベルでプロセスを実行し、エンド ユーザーの資格情報を取得するツールを記述できる可能性があります。このリスクを抑えるには、DisablePasswordSaving を 有効 に設定する方法しかありません。
このリスクは、MED-V の認証を無効にし、ターミナル サービスのポリシーの設定を有効にした場合も発生します。
参照:
概念
この情報は役に立ちましたか?MED-V のドキュメントに関するご意見ご感想を次のアドレスに送信してください。 medvdocs@microsoft.com