ポリシー CSP - 認証
AllowAadPasswordReset
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 1709 [10.0.16299] 以降 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
Microsoft Entra アカウントに対してパスワード リセットを有効にするかどうかを指定します。
このポリシーにより、Microsoft Entra テナント管理者は、Windows サインイン画面でセルフサービス パスワード リセット機能を有効にすることができます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 許可されていません。 |
| 1 | 許可されます。 |
AllowEAPCertSSO
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
❌ デバイス ✅ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 1507 [10.0.10240] 以降 |
./User/Vendor/MSFT/Policy/Config/Authentication/AllowEAPCertSSO
シングル サインオン (SSO) で内部リソースにアクセスするための EAP 証明書ベースの認証を許可します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 許可されていません。 |
| 1 | 許可されます。 |
AllowFastReconnect
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 1607 [10.0.14393] 以降 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowFastReconnect
EAP メソッド TLS に対して EAP 高速再接続の試行を許可します。 最も制限された値は 0 です。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | 許可されていません。 |
| 1 (既定値) | 許可されます。 |
AllowSecondaryAuthenticationDevice
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 1607 [10.0.14393] 以降 |
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowSecondaryAuthenticationDevice
このポリシーを使用すると、ユーザーはスマートフォン、フィットネス バンド、IoT デバイスなどのコンパニオン デバイスを使用して、Windows 10 を実行しているデスクトップ コンピューターにサインオンできます。 コンパニオン デバイスは、Windows Hello での認証の 2 番目の要素を提供します。
このポリシー設定を有効にするか、構成しない場合、ユーザーはコンパニオン デバイスを使用して Windows Hello に対して認証できます。
このポリシーを無効にした場合、ユーザーはコンパニオン デバイスを使用して Windows Hello で認証することはできません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 許可されていません。 |
| 1 | 許可されます。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | MSSecondaryAuthFactor_AllowSecondaryAuthenticationDevice |
| フレンドリ名 | セカンダリ認証のコンパニオン デバイスを許可する |
| 場所 | [コンピューターの構成] |
| パス | Microsoft セカンダリ認証要素 > Windows コンポーネント |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\SecondaryAuthenticationFactor |
| レジストリ値の名前 | AllowSecondaryAuthenticationDevice |
| ADMX ファイル名 | DeviceCredential.admx |
ConfigureWebcamAccessDomainNames
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebcamAccessDomainNames
Web サインイン ベースの認証シナリオで Web カメラにアクセスできるドメインの一覧を指定します。
注
Web サインインは、Microsoft Entra 参加済み PC でのみサポートされます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | リスト (区切り記号: ;) |
例:
組織は "Contoso IDP" とフェデレーションし、 signinportal.contoso.com の Web サインイン ポータルには Web カメラ アクセスが必要です。 次に、このポリシーの値は次のようになります。
contoso.com
ConfigureWebSignInAllowedUrls
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 1803 と KB5001339 [10.0.17134.2145] 以降 |
./Device/Vendor/MSFT/Policy/Config/Authentication/ConfigureWebSignInAllowedUrls
Web サインイン ベースの認証シナリオでナビゲーション可能な URL の一覧を指定します。
このポリシーは、特定の認証シナリオでユーザーがアクセスできるドメインの一覧を指定します。 以下に例を示します。
- Microsoft Entra ID PIN のリセット
- 認証が Active Directory フェデレーション サービス (AD FS) またはサード パーティのフェデレーション ID プロバイダーによって処理される Web サインイン Windows デバイス シナリオ
注
このポリシーは、 CVE-2021-27092 で説明されている脆弱性の軽減策として、フェデレーション環境で必要です。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | リスト (区切り記号: ;) |
例:
組織の PIN リセットまたは Web サインイン認証フローは、 accounts.contoso.com と signin.contoso.comの 2 つのドメインに移動することが想定されています。 次に、このポリシーの値は次のようになります。
accounts.contoso.com;signin.contoso.com
EnableFastFirstSignIn
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableFastFirstSignIn
新しい管理者以外の Microsoft Entra アカウントが、事前に作成された候補のローカル アカウントに自動接続するかどうかを指定します。
このポリシーは、共有 PC で使用して、ユーザーに対して迅速な初回サインイン エクスペリエンスを有効にすることを目的としています。 これは、管理者以外の新しい Microsoft Entra アカウントを事前に構成された候補のローカル アカウントに自動的に接続することによって機能します。
重要
事前構成済みの候補のローカル アカウントは、デバイスで事前に構成または追加されたローカル アカウントです。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | この機能の既定値は、既存の SKU とデバイスの機能です。 |
| 1 | 有効。 管理者以外の新しい Microsoft Entra アカウントを、事前に構成された候補のローカル アカウントに自動接続します。 |
| 2 | 無効。 管理者以外の新しい Microsoft Entra アカウントを事前に構成されたローカル アカウントに自動接続しないでください。 |
EnablePasswordlessExperience
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 11 バージョン 23H2 と KB5031455 [10.0.22631.2506] 以降 |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience
Microsoft Entra 参加済みデバイスの接続ユーザーが Windows でパスワードレス エクスペリエンスを受け取るかどうかを指定します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | この機能の既定値は、既存のエディションとデバイスの機能です。 |
| 1 | 有効。 Windows では、パスワードレス エクスペリエンスが有効になります。 |
| 2 | 無効。 Windows では、パスワードレス エクスペリエンスは有効になりません。 |
EnableWebSignIn
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn
Windows へのサインインに Web ベースのサインインを許可するかどうかを指定します。
Web サインインは、Windows デバイスで Web ベースのサインイン エクスペリエンスを有効にする資格情報プロバイダーです。 最初に一時アクセス パス (TAP) のみをサポートする Windows 10 で導入された Web サインインでは、Windows 11 バージョン 22H2 以降の機能が拡張され、KB5030310。 詳細については、「 Windows の Web サインイン」を参照してください。
注
Web サインインは、Microsoft Entra 参加済み PC でのみサポートされます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | この機能の既定値は、既存の SKU とデバイスの機能です。 |
| 1 | 有効。 Windows へのサインインに対して Web サインインが有効になります。 |
| 2 | 無効。 Web サインインは、Windows へのサインインに対して有効になりません。 |
PreferredAadTenantDomainName
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10 バージョン 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/Policy/Config/Authentication/PreferredAadTenantDomainName
Microsoft Entra テナントで使用可能なドメインの中で優先ドメインを指定します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
例:
組織では、 @contoso.com テナント ドメイン名が使用されます。 次に、このポリシーの値は次のようになります。
contoso.com
ユーザー abby@constoso.comの場合、サインインは、abby@contoso.comではなくユーザー名フィールドの abby を使用して行われます。