Important
Starting with the April Windows security update (KB5055523), Credential Guard protected machine accounts is temporarily disabled in Windows Server 2025 and Windows 11, version 24H2. この機能は、Kerberos を使用したマシン パスワードのローテーションに関する問題が原因で無効になっています。 この機能は、永続的な修正プログラムが利用可能になるまで無効のままです。 コンピューターのパスワードローテーションの問題の詳細については、 Windows Server 2025 の既知の問題と通知に関する記事を 参照してください。
Kerberos Armoring とも呼ばれる Flexible Authentication Secure Tunneling (FAST) Kerberos 拡張機能など、最近の Windows 機能では、セキュリティを強化するためのマシン アカウントへの依存度が高まってきました。 マシン アカウントはクライアントの秘密キーにエントロピーを追加するために使用されています。gMSA と dMSA の両方のサービス アカウントは現在、マシン アカウントに依存しており、サービス アカウントへのアクセスを許可しています。 ただし、マシン アカウントへのこのような依存により、サービス アカウントのセキュリティに脆弱性が生じていました。マシン アカウントをレジストリから簡単に抽出し、高度に保護されたサービス アカウントへのアクセスに使用することが可能であるためです。
サービス アカウントのセキュリティを強化するために、Credential Guard が有効になっている Windows Server 2025 デバイスで、Credential Guard のマシン アカウントのオプトイン機能が利用できるようになりました。 この問題に対処するには、対策を講じすることが重要です。 この機能は、マシン アカウント資格情報の保存場所をレジストリから Credential Guard に再配置することで、マシン アカウント パスワード用に個別の高信頼実行環境を提供します。 次の点を確認することで、セキュリティの向上を図ることができます。
- 権限のないユーザー、管理者、またはドライバーからパスワードへのアクセスが不可能であること。
- マシン アカウントのセキュリティを強化することで、Active Directory (AD) のサービス アカウントの全体的なセキュリティを向上させること。
マシン ID の分離
マシン ID の分離を有効にすると、AD マシン アカウントの仮想化ベースの保護が可能になります。 有効にすると、デバイスのマシン アカウント資格情報は Credential Guard に再配置されます。 その結果、ドメインに参加しているデバイスへのログインなど、今後のすべてのマシン アカウント認証が Credential Guard 経由でルーティングされます。 ただし、デバイスの再起動後に Credential Guard の起動に失敗すると、ドメイン認証を完了できず、ローカル管理者アカウントからの介入が必要になることがあります。
マシン ID 分離の構成
[マシン ID 分離の構成] 設定を有効にするには、[グループ ポリシー] を開き、次のパスに移動して、[有効化] を選択します。
- コンピューターの構成\管理用テンプレート\システム\Device Guard\仮想化ベースのセキュリティを有効にする
![[仮想化ベースのセキュリティを有効にする] グループ ポリシー設定が [有効化] に設定されているスクリーンショット。](../media/delegated-managed-service-accounts/turn-on-virtualization-based-security-group-policy-setting.png)
この設定で使用可能なオプションは次のとおりです。
Disabled: Turns off Machine Identity Isolation. このポリシーがそれまでに [監査モードで有効] に設定されていた場合、それ以上の操作は必要ありません。 このポリシーがそれまでに [強制モードで有効化] に設定されていた場合、デバイスはドメインへの参加を解除してから再度参加する必要があります。そうしないと認証できません。
Note
この設定が無効になっているときにローカル キャッシュ ログオンが有効になっていると、キャッシュが新しい状態でもローカル ログオンは機能しますが、ドメイン認証は中断されます。
マシンの参加解除と再参加に使用できるのは、ローカル管理者アカウントのみです。
監査モードで有効化: このオプションでは、Credential Guard に新しいシークレットが作成され、それがローカル セキュリティ機関 (LSA) にコピーされます。 その後、古い LSA シークレットが削除されます。 監査時に、マシン ID の認証を試みると、まず Credential Guard でコピーの使用が試行されます。 これに失敗すると、認証は LSA からの元のマシン ID の使用にフォールバックします。
Note
ポリシーがそれまでに強制モードに設定されていた場合は、デバイスを手動で参加解除して再度参加させる必要があります。
強制モードで有効化: このオプションは、マシン アカウント シークレットを Credential Guard に移動し、LSA から削除します。 これにより、Credential Guard がマシン認証に使用する場合を除き、マシン アカウント シークレットにアクセスできなくなります。
Not Configured: Leaves the policy setting undefined. グループ ポリシーはポリシー設定をレジストリに書き込まないため、コンピューターやユーザーに影響を与えません。 レジストリに現在の設定があっても、変更されません。