Windows Server 2022 Azure Edition および Windows Server 2025 で SMB over QUIC クライアント アクセス制御を構成する
SMB over QUIC クライアント アクセス制御によって、SMB over QUIC サーバーにアクセスできるクライアントを制限できます。 クライアント アクセス制御では、デバイスがファイル サーバーに接続するための許可とブロックリストが作成されます。 クライアント アクセス制御により、SMB 接続の作成時に使用される認証を変更することなく、エンド ユーザー エクスペリエンスも変更されることなく、組織の保護が強化されます。
この記事では、PowerShell を使用して、Windows 11 および Windows Server 2022 Datacenter: Azure Edition で SMB over QUIC のクライアント アクセス制御を構成する方法について説明します。 手順に進むには、March Update KB5035853またはKB5035857がインストールされている必要があります。最新の Windows 11 バージョン 24H2、または Windows Server 2025 を実行している必要があります。
SMB over QUI の構成の詳細については、「SMB over QUIC」を参照してください。
クライアント アクセス制御のしくみ
クライアント アクセス制御では、サーバーに接続しているクライアントが既知のクライアント証明書を使用しているか、共有ルート証明書によって発行された証明書を所有しているかを確認します。 管理者はこの証明書をクライアントに発行し、サーバーが管理する許可リストにハッシュを追加します。 クライアントがサーバーに接続しようとすると、サーバーはクライアント証明書を許可リストと比較します。 証明書が有効な場合、サーバー証明書は UDP ポート 443 経由で TLS 1.3 で暗号化されたトンネルを作成し、共有へのアクセス権をクライアントに付与します。 クライアント アクセス制御では、サブジェクトの別名での証明書もサポートされています。
証明書を失効させたり、特定のデバイスのアクセスを明示的に拒否したりして、アクセスをブロックするように SMB over QUIC を構成することもできます。
Note
Active Directory ドメインでは SMB over QUIC を使うことをお勧めしますが、必須ではありません。 ローカル ユーザー資格情報と NTLM を使って、ワークグループ参加済みサーバーで SMB over QUIC を使うこともできます。
前提条件
クライアント アクセス制御を構成する前に、次の前提条件を満たす SMB サーバーが必要です。
- March 12, 2024—KB5035857 Update または Windows Server 2025 以降の Windows Server 2022 Datacenter: Azure Edition が実行されている SMB サーバー。 プレビュー機能のロックを解除するには、Windows Server 2022 KB5035857 240302_030531 機能プレビューもインストールする必要があります。
- SMB over QUIC が有効であり、サーバーで構成されている。 SMB over QUIC を構成する方法については、「SMB over QUIC」を参照してください。
- 別の証明機関 (CA) によって発行されたクライアント証明書を使用している場合は、CA がサーバーによって信頼されていることを確認する必要があります。
- 構成する SMB サーバーに対する管理者特権です。
重要
KB5035857 がインストールされたら、グループ ポリシーでこの機能を有効にする必要があります。
- [スタート] をクリックし、「gpedit」と入力して、[グループ ポリシーの編集] を選択します。
- Computer Configuration\Administrative Templates\KB5035857 240302_030531 Feature Preview\Windows Server 2022 に移動します。
- KB5035857 240302_030531 Feature Preview ポリシーを開き、[有効] を選択します。
次の前提条件を満たす SMB クライアントも必要です。
- 次のいずれかのオペレーティング システムで実行されている SMB クライアント:
- March 12, 2024—KB5035857 Update の Windows Server 2022 Datacenter: Azure Edition。 プレビュー機能のロックを解除するには、Windows Server 2022 KB5035857 240302_030531 機能プレビューもインストールする必要があります。
- March 12, 2024—KB5035853 Update の Windows 11。 プレビュー機能のロックを解除するには、Windows 11 (オリジナル リリース) KB5035854 240302_030535 機能プレビューもインストールする必要があります。
- Windows Server 2025 以降。
- Windows 11 バージョン 24H2 以降。
- 次のようなクライアント証明書。
- クライアント認証 (EKU 1.3.6.1.5.5.7.3.2) 用に発行。
- SMB サーバーによって信頼されている証明機関によって発行されている。
- クライアントの証明書ストアにインストールされている。
- 構成する SMB サーバーに対する管理者特権です。
重要
KB5035854 がインストールされたら、グループ ポリシーでこの機能を有効にする必要があります。
- [スタート] をクリックし、「gpedit」と入力して、[グループ ポリシーの編集] を選択します。
- Computer Configuration\Administrative Templates\KB5035854 240302_030535 Feature Preview\Windows 11 (original release) に移動します。
- KB5035854 240302_030535 Feature Preview ポリシーを開き、[有効] を選択します。
SMB クライアントを構成する
SMB クライアント証明書情報を収集する
PowerShell を使用してクライアント証明書ハッシュを収集するには、次の手順を実施します。
SMB クライアントで管理者特権の PowerShell プロンプトを開きます。
次のコマンドを実行して、クライアントの証明書ストア内の証明書を一覧表示します。
Get-ChildItem -Path Cert:\LocalMachine\My
次のコマンドを実行して、証明書を変数に保存します。
<subject name>
を、使用する証明書のサブジェクト名に置き換えます。$clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}
次のコマンドを実行して、クライアント証明書の SHA256 ハッシュを書き留めます。 この識別子は、クライアント アクセス制御を構成するときに必要です。
$clientCert.GetCertHashString("SHA256")
注
$clientCert
オブジェクトに格納されているサムプリントでは、SHA1 アルゴリズムを使用します。 これは、New-SmbClientCertificateMapping
のようなコマンドで使用されます。 クライアント アクセス制御を構成するには SHA256 サムプリントも必要です。これらのサムプリントは、同じ証明書に対して異なるアルゴリズムを使用して異なる派生になります。
クライアント証明書を SMB クライアントにマップする
クライアント証明書を SMB クライアントにマップするには、次の手順を実施します。
SMB クライアントで管理者特権の PowerShell プロンプトを開きます。
New-SmbClientCertificateMapping
コマンドを実行して、クライアント証明をマップします。<namespace>
を SMB サーバーの完全修飾ドメイン名 (FQDN) に置き換え、変数を使用して前のセクションで収集した SHA1 クライアント証明書のサムプリントを使用します。New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My
完了すると、証明書付きクライアントは、FQDN に一致する SMB サーバーに対して認証を行うために SMB クライアントによって使用されます。
クライアント アクセス制御の構成
個々のクライアントに付与する
クライアント アクセス制御を使用して、SMB サーバーへの特定のクライアント アクセスを許可する手順に従います。
SMB サーバーにサインインします。
SMB サーバーで管理者特権の PowerShell プロンプトを開きます。
Grant-SmbClientAccessToServer
を実行して、クライアント証明書へのアクセス許可を付与します。 「SMB クライアント証明書情報を収集する」セクションで収集した SHA256 クライアント証明書識別子を使用して、<name>
を SMB サーバーのホスト名と<hash>
に置き換えます。Grant-SmbClientAccessToServer -Name <name> -IdentifierType SHA256 -Identifier <hash>
これで、クライアント証明書へのアクセス権が付与されました。 Get-SmbClientAccessToServer
コマンドを実行すると、クライアント証明書へのアクセスを確認できます。
特定の証明機関に付与する
クライアント アクセス制御を使用して、特定の証明機関 (別名: 発行者) からクライアントに付与する手順に従います。
SMB サーバーにサインインします。
SMB サーバーで管理者特権の PowerShell プロンプトを開きます。
Grant-SmbClientAccessToServer
を実行して、クライアント証明書へのアクセス許可を付与します。 発行者の証明書の完全な X.500 識別名で、<name>
を SMB サーバーのホスト名と<subject name>
に置き換えます。 たとえば、CN=Contoso CA, DC=Contoso, DC=com
のようにします。Grant-SmbClientAccessToServer -Name <name> -IdentifierType ISSUER -Identifier "<subject name>"
SMB over QUIC を無効にする
Windows 11 バージョン 24H2 以降では、管理者は次のコマンドを実行して、クライアントの SMB over QUIC を無効にできるようになりました。
Set-SmbClientConfiguration -EnableSMBQUIC $false
同様に、次のパスで Enable SMB over QUIC ポリシーを無効にすることでグループ ポリシーでこの操作を実行できます。
- Computer Configuration\Administrative Templates\Network\Lanman Workstation
SMB サーバーに接続する
完了したら、次のいずれかのコマンドを実行して、サーバーに接続できるかどうかをテストします。
NET USE \\<server DNS name>\<share name> /TRANSPORT:QUIC
または
New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC
サーバーに接続できれば、クライアント アクセス制御を使用した SMB over QUIC の構成は正常に行われたということになります。