ポリシー CSP - 認証
重要
この CSP には、開発中であり、Windows Insider Preview ビルド にのみ適用される一部の設定が含まれています。 これらの設定は変更する可能性があり、プレビューで他の機能やサービスに依存する場合があります。
AllowAadPasswordReset
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1709 [10.0.16299] 以降 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
Microsoft Entra アカウントに対してパスワード リセットを有効にするかどうかを指定します。
このポリシーにより、Microsoft Entra テナント管理者は、Windows サインイン画面でセルフサービス パスワード リセット機能を有効にすることができます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 許可されていません。 |
| 1 | 許可されます。 |
AllowEAPCertSSO
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ❌ デバイス ✅ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1507 [10.0.10240] 以降 |
./User/Vendor/MSFT/Policy/Config/Authentication/AllowEAPCertSSO
シングル サインオン (SSO) で内部リソースにアクセスするための EAP 証明書ベースの認証を許可します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 許可されていません。 |
| 1 | 許可されます。 |
AllowFastReconnect
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1607 [10.0.14393] 以降 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowFastReconnect
EAP メソッド TLS に対して EAP 高速再接続の試行を許可します。 最も制限された値は 0 です。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | 許可されていません。 |
| 1 (既定値) | 許可されます。 |
AllowSecondaryAuthenticationDevice
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1607 [10.0.14393] 以降 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowSecondaryAuthenticationDevice
このポリシーを使用すると、ユーザーは、電話、フィットネス バンド、IoT デバイスなどのコンパニオン デバイスを使用して、Windows 10を実行しているデスクトップ コンピューターにサインオンできます。 コンパニオン デバイスは、Windows Helloによる認証の 2 番目の要素を提供します。
このポリシー設定を有効にするか、構成しない場合、ユーザーはコンパニオン デバイスを使用してWindows Helloに対して認証できます。
このポリシーを無効にした場合、ユーザーはコンパニオン デバイスを使用してWindows Helloで認証することはできません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 許可されていません。 |
| 1 | 許可されます。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice |
| フレンドリ名 | セカンダリ認証のコンパニオン デバイスを許可する |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > Microsoft セカンダリ認証要素 |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\SecondaryAuthenticationFactor |
| レジストリ値の名前 | AllowSecondaryAuthenticationDevice |
| ADMX ファイル名 | DeviceCredential.admx |
ConfigureWebcamAccessDomainNames
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebcamAccessDomainNames
Web サインイン ベースの認証シナリオで Web カメラにアクセスできるドメインの一覧を指定します。
注
Web サインインは、参加している PC Microsoft Entraでのみサポートされます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
| 許可される値 | リスト (区切り記号: ;) |
例:
organizationが "Contoso IDP" とフェデレーションされ、Web サインイン ポータルが web signinportal.contoso.com カメラにアクセスする必要があります。 次に、このポリシーの値は次のようになります。
contoso.com
ConfigureWebSignInAllowedUrls
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.2145] 以降 |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
Web サインイン ベースの認証シナリオでナビゲーション可能な URL の一覧を指定します。
このポリシーは、特定の認証シナリオでユーザーがアクセスできるドメインの一覧を指定します。 次に、例を示します。
- MICROSOFT ENTRA ID PIN リセット
- Active Directory フェデレーション サービス (AD FS) (AD FS) またはサード パーティのフェデレーション ID プロバイダーによって認証が処理される Web サインイン Windows デバイス シナリオ
注
このポリシーは、 CVE-2021-27092 で説明されている脆弱性の軽減策として、フェデレーション環境で必要です。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
| 許可される値 | リスト (区切り記号: ;) |
例:
organizationの PIN リセットまたは Web サインイン認証フローは、 と signin.contoso.comの 2 つのドメインaccounts.contoso.comに移動することが予想されます。 次に、このポリシーの値は次のようになります。
accounts.contoso.com;signin.contoso.com
EnableFastFirstSignIn
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 Version 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableFastFirstSignIn
新しい管理者以外のMicrosoft Entra アカウントが、事前に作成された候補のローカル アカウントに自動接続するかどうかを指定します。
このポリシーは、共有 PC で使用して、ユーザーに対して迅速な初回サインイン エクスペリエンスを有効にすることを目的としています。 これは、新しい管理者以外のMicrosoft Entra アカウントを事前に構成された候補のローカル アカウントに自動的に接続することによって機能します。
重要
事前構成済みの候補のローカル アカウントは、デバイスで事前に構成または追加されたローカル アカウントです。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | この機能の既定値は、既存の SKU とデバイスの機能です。 |
| 1 | 有効。 管理者以外の新しいMicrosoft Entraアカウントを事前構成済みの候補のローカル アカウントに自動接続します。 |
| 2 | 無効。 管理者以外の新しいMicrosoft Entraアカウントを事前に構成されたローカル アカウントに自動接続しないでください。 |
EnablePasswordlessExperience
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
参加済みデバイス上Microsoft Entra接続されているユーザーが Windows でパスワードレス エクスペリエンスを受け取るかどうかを指定します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | この機能の既定値は、既存のエディションとデバイスの機能です。 |
| 1 | 有効。 Windows では、パスワードレス エクスペリエンスが有効になります。 |
| 2 | 無効。 Windows では、パスワードレス エクスペリエンスは有効になりません。 |
EnableWebSignIn
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 Version 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn
Windows へのサインインに Web ベースのサインインを許可するかどうかを指定します。
Web サインインは、Windows デバイスで Web ベースのサインイン エクスペリエンスを有効にする資格情報プロバイダーです。 当初、一時アクセス パス (TAP) のみをサポートするWindows 10で導入された Web サインインでは、Windows 11 バージョン 22H2 以降の機能がKB5030310で拡張されました。 詳細については、「 Windows の Web サインイン」を参照してください。
注
Web サインインは、参加している PC Microsoft Entraでのみサポートされます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | この機能の既定値は、既存の SKU とデバイスの機能です。 |
| 1 | 有効。 Windows へのサインインに対して Web サインインが有効になります。 |
| 2 | 無効。 Web サインインは、Windows へのサインインに対して有効になりません。 |
PreferredAadTenantDomainName
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 Version 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/Policy/Config/Authentication/PreferredAadTenantDomainName
Microsoft Entra テナント内の使用可能なドメインのうち、優先ドメインを指定します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
例:
organizationはテナント ドメイン名を@contoso.com使用します。 次に、このポリシーの値は次のようになります。
contoso.com
ユーザーabby@constoso.comの場合、サインインは ではなくabby@contoso.com、ユーザー名フィールドで を使用してabby行われます。