Windows 認証の概要
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016
IT 担当者向けのこのナビゲーション トピックでは、Windows 認証およびログオン テクノロジに関するドキュメント リソースを示します。これには、製品評価、ファースト ステップ ガイド、手順、設計と展開のガイド、テクニカル リファレンス、コマンド リファレンスなどが含まれます。
機能の説明
認証は、オブジェクト、サービス、または利用者の ID を検証するプロセスです。 オブジェクトを認証する目的は、そのオブジェクトが本物であることを確認することにあります。 サービスまたは利用者を認証する目的は、提示された資格情報が本物であることを確認することにあります。
ネットワーキングのコンテキストでの認証とは、ネットワーク アプリケーションまたはリソースに身元を証明する行為を表します。 通常、身元は、公開キーの暗号化と同様に、ユーザーのみが知っているキーか、または共有キーを使用する暗号操作によって証明されます。 認証交換のサーバー側は、署名されたデータを既知の暗号化キーと比較して、認証試行を検証します。
暗号化キーを安全な一元的な場所に保管すると、認証プロセスのスケーラビリティと保守性が向上します。 Active Directory Domain Services は、(ユーザーの資格情報の暗号化キーを含む) ID 情報を格納するための推奨されるテクノロジであり、かつ既定のテクノロジです。 既定の NTLM および Kerberos 実装には、Active Directory が必要です。
認証の手法は、ユーザーのみが知っている情報 (パスワードなど) に基づいてユーザーを識別する単純なログオンから、ユーザーが持っているもの (トークン、公開キー証明書、生体認証など) を使用するより強力なセキュリティ メカニズムまで、さまざまな種類があります。 ビジネス環境のサービスまたはユーザーは、1 つまたは複数の場所に配置された複数の種類のサーバー上の複数のアプリケーションやリソースにアクセスすることがあります。 これらの理由から、認証では、他のプラットフォームや他の Windows オペレーティング システムの環境をサポートする必要があります。
Windows オペレーティング システムには、拡張可能なアーキテクチャの一部として、Kerberos、NTLM、TLS/SSL (Transport Layer Security/Secure Sockets Layer)、ダイジェスト認証などの認証プロトコルとパッケージの既定のセットが実装されています。 加えて、いくつかのプロトコルは、Negotiate、Credential Security Support Provider などの認証パッケージに統合されています。 これらのプロトコルやパッケージによって、ユーザー、コンピューター、サービスの認証が可能になります。また、認証処理によって、承認されたユーザーとサービスが安全な方法でリソースにアクセスできるようになります。
Windows 認証の詳細には、次の内容も含まれます。
「Windows 認証の技術概要」を参照してください。
実際の適用例
Windows 認証は、情報が信頼できるソース (人や別のコンピューターなどのコンピューター オブジェクト) から送信されていることを確認するために使用します。 Windows には、この操作を行うためのさまざまな方法が用意されています。次の表に、これらの方法について説明します。
| 宛先... | 特徴量 | 説明 |
|---|---|---|
| Active Directory ドメイン内の認証 | Kerberos | Microsoft Windows Server オペレーティング システムには、公開キー認証に対応した Kerberos Version 5 認証プロトコルと拡張機能が実装されています。 Kerberos 認証クライアントはセキュリティ サポート プロバイダー (SSP) として実装され、セキュリティ サポート プロバイダー インターフェイス (SSPI) を使用してアクセスできます。 初回ユーザー認証は Winlogon シングル サインオン アーキテクチャと統合されます。 Kerberos キー配布センター (KDC) は、ドメイン コントローラーで実行されている他の Windows Server セキュリティ サービスと統合されます。 KDC では、そのセキュリティ アカウント データベースとして、ドメインの Active Directory ディレクトリ サービス データベースを使用します。 既定の Kerberos 実装には、Active Directory が必要です。 その他のリソースについては、「Kerberos 認証の概要」を参照してください。 |
| Web 上のセキュリティで保護された認証 | Schannel セキュリティ サポート プロバイダーに実装された TLS/SSL | トランスポート層セキュリティ (TLS) プロトコルの Version 1.0、1.1、1.2、Secure Sockets Layer (SSL) プロトコルの Version 2.0、3.0、データグラム トランスポート層セキュリティ プロトコルの Version 1.0、Private Communications Transport (PCT) プロトコルの Version 1.0 は、いずれも公開キーの暗号化に基づいています。 セキュリティで保護されたチャネル (Schannel) プロバイダー認証プロトコル スイートは、これらのプロトコルを備えています。 すべての Schannel プロトコルでは、クライアント/サーバー モデルが使用されています。 その他のリソースについては、「TLS - SSL (Schannel SSP) の概要」を参照してください。 |
| Web サービスまたはアプリケーションの認証 | 統合 Windows 認証 ダイジェスト認証 |
その他のリソースについては、「Integrated Windows Authentication (統合 Windows 認証)」、「Digest Authentication (ダイジェスト認証)」、および「Advanced Digest Authentication (高度なダイジェスト認証)」を参照してください。 |
| レガシ アプリケーションの認証 | NTLM | NTLM は、チャレンジ/応答型の認証プロトコルです。NTLM プロトコルは、認証に加え、オプションで、NTLM の署名機能およびシーリング機能によるメッセージの統合と機密保持を実現する、セッション セキュリティを提供します。 その他のリソースについては、「NTLM の概要」を参照してください。 |
| 多要素認証の利用 | スマート カードのサポート 生体認証のサポート |
スマート カードは、クライアント認証、ドメインへのログオン、コード署名、電子メールのセキュリティ保護などのタスクのためにセキュリティ ソリューションを提供する、改ざんされにくく、可搬性に優れた方法です。 生体認証は、一人一人異なる不変の身体的特徴を測定することによって個人を特定します。 生体認証に最も多く使われている身体的特徴の 1 つは指紋です。指紋を使って生体認証を行う数え切れないほどのデバイスが、パーソナル コンピューターや周辺機器に組み込まれています。 その他のリソースについては、「スマート カードのテクニカル リファレンス」を参照してください。 |
| 資格情報のローカル管理、保管、再利用 | 資格情報の管理 ローカル セキュリティ機関 パスワード |
Windows の資格情報管理を使うと、資格情報を安全に保管できます。 資格情報は、リソースにアクセスするたびに正しい資格情報が提示されるように、アプリまたは Web サイトを通じて、セキュリティで保護されたデスクトップ (ローカル アクセスまたはドメイン アクセス) に収集されます。 |
| 最新の認証保護によるレガシ システムの強化 | 認証の拡張保護 (Extended Protection for Authentication) | この機能は、統合 Windows 認証 (IWA) を使用してネットワーク接続を認証するときの資格情報の保護と操作を拡張します。 |
ソフトウェア要件
Windows 認証は、Windows オペレーティング システムの以前のバージョンとの互換性があるように設計されています。 ただし、各リリースでの改良が必ずしも以前のバージョンに適用されるとは限りません。 詳細については、特定の機能のドキュメントを参照してください。
サーバー マネージャー情報
グループ ポリシーを使用して、多くの認証機能を構成できます。グループ ポリシーは、サーバー マネージャーを使用してインストールできます。 Windows 生体認証フレームワーク機能をインストールするには、サーバー マネージャーを使用します。 認証方法に依存するその他のサーバー役割 (Web サーバー (IIS)、Active Directory ドメイン サービスなど) は、サーバー マネージャーを使用してインストールできます。
関連リソース
| 認証テクノロジ | リソース |
|---|---|
| [Windows 認証] | Windows 認証の技術概要 バージョン間の違い、一般的な認証の概念、ログオンのシナリオ、サポートされるバージョンのアーキテクチャ、適用可能な設定などのトピックが含まれます。 |
| Kerberos | Kerberos Authentication Overview Kerberos Authentication Technical Reference (Kerberos 認証のテクニカル リファレンス) (2003) |
| TLS/SSL および DTLS (Schannel セキュリティ サポート プロバイダー) | TLS/SSL (Schannel SSP) の概要 |
| ダイジェスト認証 | Digest Authentication Technical Reference (ダイジェスト認証テクニカル リファレンス) (2003) |
| NTLM | NTLM Overview 現在および過去のリソースへのリンクが含まれます |
| PKU2U | Windows の PKU2U の概要 |
| スマート カード | スマート カードのテクニカル リファレンス |
| 資格情報 | 資格情報の保護と管理 現在および過去のリソースへのリンクが含まれます パスワードの概要 |