IT プロフェッショナル向けのこのリファレンス記事では、一般的な Windows ログオンとサインインのシナリオをまとめたものです。
Windows オペレーティング システムでは、すべてのユーザーがローカル リソースとネットワーク リソースにアクセスするために、有効なアカウントを持つコンピューターにログオンする必要があります。 Windows ベースのコンピューターは、ユーザーが認証されるログオン プロセスを実装することによって、リソースをセキュリティで保護します。 ユーザーが認証された後、承認とアクセス制御のテクノロジは、リソースを保護する 2 つのフェーズ、つまり、「認証されたユーザーがリソースへのアクセスを許可されているかどうかの確認」を行います。
この記事の内容は、この記事の冒頭にある「適用対象」リストで指定されている Windows のバージョンに 適用されます 。
さらに、アプリケーションやサービスでは、ユーザーがサインインして、アプリケーションまたはサービスによって提供されるリソースにアクセスする必要があります。 サインイン プロセスは、有効なアカウントと正しい資格情報が必要であるという点でログオン プロセスと似ていますが、ログオン情報はローカル コンピューターのセキュリティ アカウント マネージャー (SAM) データベースと、Active Directory (該当する場合) に保存されます。 サインイン アカウントと資格情報は、アプリケーションまたはサービスによって管理され、必要に応じて資格情報保管ボックスにローカルに保存できます。
認証のしくみを理解するには、「Windows 認証の概念」を参照してください。
この記事では、次のシナリオについて説明します。
注意事項
ユーザーがローカル ログオンを実行すると、そのユーザーの資格情報は、ネットワーク経由で ID プロバイダーによって認証される前に、キャッシュされたコピーに対してローカルで検証されます。 キャッシュ検証が成功すると、デバイスがオフラインであってもユーザーはデスクトップにアクセスできるようになります。 ただし、ユーザーがクラウドでパスワードを変更した場合、キャッシュされた検証ツールは更新されません。つまり、古いパスワードを使用してローカル コンピューターに引き続きアクセスできます。
対話型ログオン
ログオン プロセスは、ユーザーが資格情報入力ダイアログで資格情報を入力したとき、ユーザーがスマート カード リーダーにスマート カードを挿入したとき、またはユーザーが生体認証デバイスと対話したときに開始されます。 ユーザーは、ローカル ユーザー アカウントまたはドメイン アカウントを使用してコンピューターにログオンすることで、対話型ログオンを実行できます。
次の図は、対話型のログオン要素とログオン プロセスを示しています。
ローカル ログオンとドメイン ログオン
ユーザーがドメイン ログオンに提示する資格情報には、アカウント名、パスワードまたは証明書、Active Directory ドメイン情報など、ローカル ログオンに必要なすべての要素が含まれています。 このプロセスでは、ユーザーのローカル コンピューターまたは Active Directory ドメインのセキュリティ データベースに対するユーザーのID を確認します。 ドメイン内のユーザーに対して、この必須のログオン プロセスを無効にすることはできません。
ユーザーは、次の 2 つの方法でコンピューターへの対話型ログオンを実行できます。
ユーザーがコンピューターに直接物理的にアクセスできる場合、またはコンピューターがコンピューターのネットワークの一部である場合はローカルで実行します。
ローカル ログオンでは、ローカル コンピューター上の Windows リソースにアクセスするためのアクセス許可がユーザーに付与されます。 ローカル ログオンでは、ユーザーがローカル コンピューターのセキュリティ アカウント マネージャー (SAM) にユーザー アカウントを持っている必要があります。 SAM は、ローカル コンピューター レジストリに格納されているセキュリティ アカウントの形式でユーザーとグループの情報を保護および管理します。 コンピューターはネットワーク にアクセスできますが、必須ではありません。 ローカル ユーザー アカウントとグループ メンバーシップ情報は、ローカル リソースへのアクセスを管理するために使用されます。
ネットワーク ログオンでは、資格情報のアクセス トークンによって定義されているネットワーク コンピューター上のリソースに加えて、ローカル コンピューター上の Windows リソースにアクセスするためのアクセス許可をユーザーに付与します。 ローカル ログオンとネットワーク ログオンの両方で、ユーザーがローカル コンピューターのセキュリティ アカウント マネージャー (SAM) にユーザー アカウントを持っている必要があります。 ローカル ユーザー アカウントとグループ メンバーシップ情報は、ローカル リソースへのアクセスを管理するために使用され、ユーザーのアクセス トークンによって、ネットワーク接続されたコンピューター上でアクセスできるリソースを定義します。
ローカル ログオンとネットワーク ログオンでは、ユーザーとコンピューターにドメイン リソースへのアクセスと使用のアクセス許可を付与するには十分ではありません。
ターミナル サービスまたはリモート デスクトップ サービス (RDS) を使用してリモートで実行します。この場合のログオンはリモート対話型としてさらに限定されます。
対話型ログオンの後、Windows はユーザーに代わってアプリケーションを実行し、ユーザーはこれらのアプリケーションと対話できます。
ローカル ログオンでは、ローカル コンピューター上のリソースまたはネットワークに接続されたコンピューター上のリソースにアクセスするためのアクセス許可がユーザーに付与されます。 コンピューターがドメインに参加している場合、Winlogon 機能はそのドメインへのログオンを試みます。
ドメイン ログオンでは、ローカルおよびドメインのリソースにアクセスするためのアクセス許可がユーザーに付与されます。 ドメイン ログオンの場合、ユーザーは Active Directory にユーザー アカウントを持っている必要があります。 コンピューターは、Active Directory ドメインにアカウントを持ち、ネットワークに物理的に接続されている必要があります。 ユーザーは、ローカル コンピューターまたはドメインにログオンするためのユーザー権限も持っている必要があります。 ドメイン ユーザー アカウント情報とグループ メンバーシップ情報は、ドメインおよびローカル リソースへのアクセスを管理するために使用されます。
リモート ログオン
Windows では、リモート ログオンを介して別のコンピューターにアクセスするには、リモート デスクトップ プロトコル (RDP) が必要です。 ユーザーは、リモート接続を試行する前にクライアント コンピューターに正常にログオンしている必要があるため、対話型ログオン プロセスは正常に終了しています。
RDP は、リモート デスクトップ クライアントを使用してユーザーが入力した資格情報を管理します。 これらの資格情報はターゲット コンピューターを対象とし、ユーザーはそのターゲット コンピューターのアカウントを持っている必要があります。 また、ターゲットコンピューターは、リモート接続を受け入れるように構成される必要があります。 ターゲット コンピューターの資格情報が送信され、認証プロセスの実行が試行されます。 認証が成功した場合、ユーザーは提供された資格情報を使用してアクセスできるローカルおよびネットワーク リソースに接続されます。
ネットワーク ログオン
ネットワーク ログオンは、ユーザー、サービス、またはコンピューターの認証が行われた後にのみ使用できます。 ネットワーク ログオン中、プロセスは資格情報入力ダイアログ ボックスを使用してデータを収集しません。 代わりに、以前に確立された資格情報または資格情報を収集する別の方法が使用されます。 このプロセスでは、ユーザーがアクセスしようとしているネットワーク サービスに対するユーザーの ID を確認します。 このプロセスは、通常、代替資格情報を指定する必要がない限り、ユーザーには表示されません。
このタイプの認証を提供するために、セキュリティ システムには次の認証メカニズムが含まれています。
Kerberos version 5 プロトコル
公開キー証明書
Secure Sockets Layer/トランスポート層セキュリティ (SSL/TLS)
ダイジェスト
NTLM (Microsoft Windows NT 4.0 ベースのシステムとの互換性のため)
要素とプロセスの詳細については、この記事の前半の対話型ログオン図を参照してください。
スマート カード ログオン
スマート カードは、ドメイン アカウントへのログオンにのみ使用でき、ローカル アカウントには使用できません。 スマート カード認証では、Kerberos 認証プロトコルを使用する必要があります。 Windows 2000 Server 以降、Windows ベースのオペレーティング システムでは、Kerberos プロトコルの初期認証要求の公開キー拡張機能が実装されます。 共有秘密キー暗号化とは対照的に、公開キー暗号化は非対称です。 つまり、2 つの異なるキー (1 つは暗号化、もう 1 つは暗号化解除) が必要です。 また、両方の操作を実行するために必要なキーによって、秘密キーと公開キーのペアが構成されます。
一般的なログオン セッションを開始するには、ユーザーと基になる Kerberos プロトコル インフラストラクチャにのみ既知の情報を提供することで、ユーザーが自分の ID を証明する必要があります。 秘密情報は、ユーザーのパスワードから派生した暗号化共有キーです。 共有秘密キーは対称であり、同じキーが暗号化と復号化の両方に使用されることを意味します。
次の図は、スマート カード ログオンに必要な要素とプロセスを示しています。
パスワードの代わりにスマート カードを使用すると、ユーザーのスマート カードに格納されている秘密キーと公開キーのペアが、ユーザーのパスワードから派生した共有秘密キーに置き換えられます。 秘密キーはスマート カードにのみ保存されます。 公開キーは、所有者が機密情報の交換を希望するすべてのユーザーが利用できるようにすることができます。
Windows でのスマート カード ログオン プロセスの詳細については、「Windows でのスマート カード ログオンのしくみ」を参照してください。
生体認証ログオン
デバイスは、指紋などの成果物のデジタル特性をキャプチャして構築するために使用されます。 このデジタル表現は、同じ成果物のサンプルと比較され、2 つが一致すると認証が行われる可能性があります。 この記事の冒頭にある「 適用 対象」リストで指定されているオペレーティング システムのいずれかを実行しているコンピューターは、この形式のログオンを受け入れるように構成できます。 ただし、生体認証ログオンがローカル ログオンのみに構成されている場合、ユーザーは Active Directory ドメインにアクセスするときにドメイン資格情報を提示する必要があります。
関連コンテンツ
ログオン プロセス中に送信された資格情報を Windows で管理する方法の詳細については、「Windows 認証での資格情報の管理」を参照してください。