この IT プロフェッショナル向けリファレンスのトピックでは、一般的な Windows ログオンとサインインのシナリオをまとめています。
Windows オペレーティング システムでは、すべてのユーザーがローカル リソースとネットワーク リソースにアクセスする場合、有効なアカウントを使用してコンピューターにログオンする必要があります。 Windows ベースのコンピューターは、ユーザーが認証されるログオン プロセスを実装することによって、リソースをセキュリティで保護します。 ユーザーが認証された後、承認とアクセス制御のテクノロジは、リソースを保護する 2 つのフェーズ、つまり、「認証されたユーザーがリソースへのアクセスを許可されているかどうかの確認」を行います。
このトピックの内容は、このトピックの冒頭にある「適用対象」の一覧に指定されている Windows のバージョンに適用されます。
また、アプリケーションとサービスでは、アプリケーションまたはサービスによって提供されるリソースにアクセスするために、ユーザーにサインインを要求することもできます。 サインイン プロセスは、有効なアカウントと正しい資格情報が必要であるという点でログオン プロセスと似ていますが、ログオン情報はローカル コンピューターのセキュリティ アカウント マネージャー (SAM) データベースと、Active Directory (該当する場合) に保存されます。 サインイン アカウントと資格情報は、アプリケーションまたはサービスによって管理され、必要に応じて資格情報保管ボックスにローカルに保存できます。
認証のしくみを理解するには、「Windows 認証の概念」を参照してください。
このトピックでは、次のシナリオについて説明します。
注意事項
ユーザーがローカル ログオンを実行すると、そのユーザーの資格情報は、ネットワーク経由で ID プロバイダーによって認証される前に、キャッシュされたコピーに対してローカルで検証されます。 キャッシュ検証が成功すると、デバイスがオフラインであってもユーザーはデスクトップにアクセスできるようになります。 ただし、ユーザーがクラウドでパスワードを変更しても、キャッシュされた資格情報は更新されません。つまり、古いパスワードを使用してローカル コンピューターに引き続きアクセスできることになります。
対話型ログオン
ログオン プロセスは、ユーザーが資格情報の入力ダイアログ ボックスに資格情報を入力したとき、ユーザーがスマート カードをスマート カード リーダーに挿入したとき、またはユーザーが生体認証デバイスを操作したときに開始されます。 ユーザーは、ローカル ユーザー アカウントまたはドメイン アカウントを使用してコンピューターにログオンすることで、対話型ログオンを実行できます。
次の図は、対話型のログオン要素とログオン プロセスを示しています。
Windows クライアント認証アーキテクチャ
ローカル ログオンとドメイン ログオン
ユーザーがドメイン ログオンに提示する資格情報には、アカウント名、パスワードまたは証明書、Active Directory ドメイン情報など、ローカル ログオンに必要なすべての要素が含まれています。 このプロセスでは、ユーザーのローカル コンピューターまたは Active Directory ドメインのセキュリティ データベースに対するユーザーのID を確認します。 この必須のログオン プロセスは、ドメイン内のユーザーに対してオフにすることはできません。
ユーザーは、次の2つの方法のいずれかでコンピューターへの対話型ログオンを実行できます。
ユーザーがコンピューターに直接物理的にアクセスできる場合、またはコンピューターがコンピューターのネットワークの一部である場合はローカルで実行します。
ローカル ログオンでは、ローカル コンピューター上の Windows リソースにアクセスするためのアクセス許可がユーザーに付与されます。 ローカル ログオンでは、ユーザーがローカル コンピューターのセキュリティ アカウント マネージャー (SAM) にユーザー アカウントを持っている必要があります。 SAM は、ローカル コンピューターのレジストリに格納されているセキュリティ アカウントの形式でユーザーとグループの情報を保護および管理します。 コンピューターはネットワークにアクセスできますが、必須ではありません。 ローカル ユーザー アカウントとグループ メンバーシップ情報は、ローカル リソースへのアクセスを管理するために使用されます。
ネットワーク ログオンでは、資格情報のアクセス トークンによって定義されているネットワーク コンピューター上のリソースに加えて、ローカル コンピューター上の Windows リソースにアクセスするためのアクセス許可がユーザーに付与されます。 ローカル ログオンとネットワーク ログオンの両方で、ユーザーはローカル コンピューターのセキュリティ アカウント マネージャー (SAM) にユーザー アカウントを持っている必要があります。 ローカル ユーザー アカウントとグループ メンバーシップ情報は、ローカル リソースへのアクセスを管理するために使用され、ユーザーのアクセス トークンによって、ネットワーク接続されたコンピューター上でアクセスできるリソースを定義します。
ローカル ログオンとネットワーク ログオンは、ドメイン リソースにアクセスして使用するためのアクセス許可をユーザーとコンピューターに付与するのに十分ではありません。
ターミナル サービスまたはリモート デスクトップ サービス (RDS) を使用してリモートで実行します。この場合のログオンはリモート対話型としてさらに限定されます。
対話型ログオンの後、Windows はユーザーに代わってアプリケーションを実行し、ユーザーはこれらのアプリケーションと対話できます。
ローカル ログオンでは、ローカル コンピューター上のリソースまたはネットワークに接続されたコンピューター上のリソースにアクセスするためのアクセス許可がユーザーに付与されます。 コンピューターがドメインに参加している場合、Winlogon 機能はそのドメインにログオンしようとします。
ドメイン ログオンでは、ローカルおよびドメインのリソースにアクセスするためのアクセス許可がユーザーに付与されます。 ドメイン ログオンの場合、ユーザーは Active Directory にユーザー アカウントを持っている必要があります。 コンピューターは、Active Directory ドメインにアカウントを持ち、ネットワークに物理的に接続されている必要があります。 ユーザーは、ローカル コンピューターまたはドメインにログオンするためのユーザー権限も持っている必要があります。 ドメイン ユーザー アカウント情報とグループ メンバーシップ情報は、ドメインおよびローカル リソースへのアクセスを管理するために使用されます。
リモート ログオン
Windows では、リモート ログオンを介して別のコンピューターにアクセスする場合、リモート デスクトップ プロトコル (RDP) に依存します。 ユーザーは、リモート接続を試行する前にクライアント コンピューターに正常にログオンしている必要があるため、対話型ログオン プロセスは正常に終了しています。
RDP は、ユーザーがリモート デスクトップ クライアントを使用して入力する資格情報を管理します。 これらの資格情報はターゲット コンピューターを対象とし、ユーザーはそのターゲット コンピューターのアカウントを持っている必要があります。 また、ターゲットコンピューターは、リモート接続を受け入れるように構成される必要があります。 ターゲット コンピューターの資格情報が送信され、認証プロセスの実行が試行されます。 認証が成功した場合、ユーザーは提供された資格情報を使用してアクセスできるローカルおよびネットワーク リソースに接続されます。
ネットワーク ログオン
ネットワーク ログオンは、ユーザー、サービス、またはコンピューターの認証が行われた後にのみ使用できます。 ネットワーク ログオン中、このプロセスは資格情報入力ダイアログ ボックスを使用してデータを収集しません。 代わりに、以前に確立された資格情報または資格情報を収集する別の方法が使用されます。 このプロセスでは、ユーザーがアクセスしようとしているネットワーク サービスに対するユーザーの ID を確認します。 このプロセスは、別の資格情報を指定する必要がない限り、通常はユーザーに表示されません。
このタイプの認証を提供するために、セキュリティ システムには次の認証メカニズムが含まれています。
Kerberos version 5 プロトコル
公開キー証明書
Secure Sockets Layer/トランスポート層セキュリティ (SSL/TLS)
ダイジェスト
NTLM (Microsoft Windows NT 4.0 ベースのシステムとの互換性のため)
要素とプロセスの詳細については、上の対話型ログオン図を参照してください。
スマート カード ログオン
スマート カードは、ドメイン アカウントへのログオンにのみ使用でき、ローカル アカウントには使用できません。 スマート カード認証では、Kerberos 認証プロトコルを使用する必要があります。 Windows 2000 サーバーで導入された Windows ベースのオペレーティング システムでは、Kerberos プロトコルの初期認証要求に対する公開キーの拡張機能が実装されています。 共有秘密キーの暗号化とは異なり、公開キーの暗号化は非対称です。つまり、暗号化するキーと復号化するキーの 2 つの異なるキーが必要です。 また、両方の操作を実行するために必要なキーによって、秘密キーと公開キーのペアが構成されます。
一般的なログオン セッションを開始するには、ユーザーがユーザーおよび基盤となる Kerberos プロトコル インフラストラクチャにのみ知られている情報を提供することによって、ユーザーの ID を証明する必要があります。 秘密情報は、ユーザーのパスワードから派生した暗号化共有キーです。 共有秘密キーは対称であり、同じキーが暗号化と復号化の両方に使用されることを意味します。
次の図は、スマート カード ログオンに必要な要素とプロセスを示しています。
スマート カード資格情報プロバイダーのアーキテクチャ
パスワードの代わりにスマート カードを使用すると、ユーザーのスマート カードに格納されている秘密キーと公開キーのペアが、ユーザーのパスワードから派生した共有秘密キーに置き換えられます。 秘密キーはスマート カードにのみ保存されます。 公開キーは、所有者が機密情報の交換を希望するすべてのユーザーが利用できるようにすることができます。
Windows でのスマート カード ログオン プロセスの詳細については、「Windows でのスマート カード サインインのしくみ」を参照してください。
生体認証ログオン
デバイスは、指紋などの成果物のデジタル特性をキャプチャして構築するために使用されます。 このデジタル表現は、同じ成果物のサンプルと比較され、2 つが正常に比較されると、認証が行われます。 このトピックの冒頭にある適用対象一覧で指定されているオペレーティング システムのいずれかを実行しているコンピューターは、この形式のログオンを受け入れるように構成できます。 ただし、生体認証ログオンがローカル ログオンのみに構成されている場合、ユーザーは Active Directory ドメインにアクセスするときにドメイン資格情報を提示する必要があります。
その他の技術情報
ログオン プロセス中に送信された資格情報を Windows で管理する方法の詳細については、「Windows 認証での資格情報の管理」を参照してください。