ポリシー CSP - Kerberos

ヒント

この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML のデータ型を として <Format>chr</Format>指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。

SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。

AllowForestSearchOrder

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1703 [10.0.15063] 以降
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder

このポリシー設定は、2 部構成のサービス プリンシパル名 (SPN) を解決しようとしたときに Kerberos クライアントが検索する信頼フォレストの一覧を定義します。

  • このポリシー設定を有効にすると、Kerberos クライアントは、2 部構成の SPN を解決できない場合に、この一覧のフォレストを検索します。 一致するものが見つかった場合、Kerberos クライアントは適切なドメインへの紹介チケットを要求します。

  • このポリシー設定を無効にした場合、または構成しなかった場合、Kerberos クライアントは、一覧表示されたフォレストを検索して SPN を解決しません。 名前が見つからないために Kerberos クライアントが SPN を解決できない場合は、NTLM 認証が使用される可能性があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 ForestSearch
フレンドリ名 フォレストの検索順序を使用する
場所 [コンピューターの構成]
パス System > Kerberos
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
レジストリ値の名前 UseForestSearch
ADMX ファイル名 Kerberos.admx

CloudKerberosTicketRetrievalEnabled

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled

このポリシー設定では、ログオン中にMicrosoft Entra Kerberos チケット許可チケットを取得できます。

  • このポリシー設定を無効にした場合、または構成しなかった場合、ログオン中に Kerberos チケット許可チケットMicrosoft Entraは取得されません。

  • このポリシー設定を有効にすると、ログオン中に Kerberos チケット許可チケットMicrosoft Entraが取得されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) 無効。
1 有効。

グループ ポリシー マッピング:

名前
名前 CloudKerberosTicketRetrievalEnabled
フレンドリ名 ログオン中に Azure AD Kerberos チケット許可チケットの取得を許可する
場所 [コンピューターの構成]
パス System > Kerberos
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
レジストリ値の名前 CloudKerberosTicketRetrievalEnabled
ADMX ファイル名 Kerberos.admx

KerberosClientSupportsClaimsCompoundArmor

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1703 [10.0.15063] 以降
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor

このポリシー設定は、これらの機能をサポートするドメインで Kerberos 認証を使用して、デバイスが動的Access Controlと Kerberos 防御の要求と複合認証を要求するかどうかを制御します。

  • このポリシー設定を有効にした場合、クライアント コンピューターは要求を要求し、動的Access Controlと Kerberos 防御の要求と複合認証をサポートするドメインで複合認証と防御 Kerberos メッセージを作成するために必要な情報を提供します。

  • このポリシー設定を無効にした場合、または構成しなかった場合、クライアント デバイスは要求を要求せず、複合認証と防御 Kerberos メッセージの作成に必要な情報を提供します。 デバイスでホストされているサービスは、Kerberos プロトコル遷移を使用してクライアントの要求を取得できません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 EnableCbacAndArmor
フレンドリ名 要求、複合認証、Kerberos 防御に対する Kerberos クライアントのサポート
場所 [コンピューターの構成]
パス System > Kerberos
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
レジストリ値の名前 EnableCbacAndArmor
ADMX ファイル名 Kerberos.admx

PKInitHashAlgorithmConfiguration

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11バージョン 22H2 [10.0.22621] 以降
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration

このポリシー設定は、証明書認証の実行時に Kerberos クライアントによって使用されるハッシュアルゴリズムまたはチェックサム アルゴリズムを制御します。

  • このポリシーを有効にすると、アルゴリズムごとに 4 つの状態のいずれかを構成できます。

  • "既定値" は、アルゴリズムを推奨状態に設定します。

  • "サポートされている" は、アルゴリズムの使用を可能にします。 既定で無効になっているアルゴリズムを有効にすると、セキュリティが低下する可能性があります。

  • "監査済み" では、アルゴリズムの使用が有効になり、使用されるたびにイベント (ID 206) が報告されます。 この状態は、アルゴリズムが使用されておらず、安全に無効にできることを確認するためのものです。

  • "サポートされていません" は、アルゴリズムの使用を無効にします。 この状態は、安全でないと見なされるアルゴリズムを対象としています。

  • このポリシーを無効にするか、構成しない場合、各アルゴリズムは "既定" の状態を前提とします。

この構成によって生成されるイベント: 205、206、207、208。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) 無効/未構成。
1 有効。

グループ ポリシー マッピング:

名前
名前 PKInitHashAlgorithmConfiguration
フレンドリ名 証明書ログオンのハッシュ アルゴリズムを構成する
場所 [コンピューターの構成]
パス System > Kerberos
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
レジストリ値の名前 PKInitHashAlgorithmConfigurationEnabled
ADMX ファイル名 Kerberos.admx

PKInitHashAlgorithmSHA1

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11バージョン 22H2 [10.0.22621] 以降
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1

このポリシー設定は、証明書認証の実行時に Kerberos クライアントによって使用される SHA1 アルゴリズムの構成を制御します。 このポリシーは、Kerberos/PKInitHashAlgorithmConfiguration が有効になっている場合にのみ適用されます。 このアルゴリズムには、次の 4 つの状態のいずれかを構成できます。

  • 0 - サポートされていません: この状態では、アルゴリズムの使用が無効になります。 この状態は、安全でないと見なされるアルゴリズムを対象としています。
  • 1 - 既定値: この状態は、アルゴリズムを推奨状態に設定します。
  • 2 - 監査済み: この状態により、アルゴリズムの使用が有効になり、使用されるたびにイベント (ID 206) が報告されます。 この状態は、アルゴリズムが使用されておらず、安全に無効にできることを確認するためのものです。
  • 3 - サポート: この状態により、アルゴリズムの使用が有効になります。 既定で無効になっているアルゴリズムを有効にすると、セキュリティが低下する可能性があります。

このポリシーを構成しない場合、SHA1 アルゴリズムは 既定 の状態を想定します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1
依存関係 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] 依存関係の種類: DependsOn
依存関係 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
依存関係の許可される値: [1]
依存関係の許可される値の種類: Range

指定可能な値

説明
0 サポートされていません。
1 (既定値) 既定。
2 監査。
3 サポートされています。

グループ ポリシー マッピング:

名前
名前 PKInitHashAlgorithmConfiguration
フレンドリ名 証明書ログオンのハッシュ アルゴリズムを構成する
場所 [コンピューターの構成]
パス System > Kerberos
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
レジストリ値の名前 PKInitHashAlgorithmConfigurationEnabled
ADMX ファイル名 Kerberos.admx

PKInitHashAlgorithmSHA256

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11バージョン 22H2 [10.0.22621] 以降
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256

このポリシー設定は、証明書認証の実行時に Kerberos クライアントによって使用される SHA256 アルゴリズムの構成を制御します。 このポリシーは、Kerberos/PKInitHashAlgorithmConfiguration が有効になっている場合にのみ適用されます。 このアルゴリズムには、次の 4 つの状態のいずれかを構成できます。

  • 0 - サポートされていません: この状態では、アルゴリズムの使用が無効になります。 この状態は、安全でないと見なされるアルゴリズムを対象としています。
  • 1 - 既定値: この状態は、アルゴリズムを推奨状態に設定します。
  • 2 - 監査済み: この状態により、アルゴリズムの使用が有効になり、使用されるたびにイベント (ID 206) が報告されます。 この状態は、アルゴリズムが使用されておらず、安全に無効にできることを確認するためのものです。
  • 3 - サポート: この状態により、アルゴリズムの使用が有効になります。 既定で無効になっているアルゴリズムを有効にすると、セキュリティが低下する可能性があります。

このポリシーを構成しない場合、SHA256 アルゴリズムは 既定 の状態を想定します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1
依存関係 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] 依存関係の種類: DependsOn
依存関係 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
依存関係の許可される値: [1]
依存関係の許可される値の種類: Range

指定可能な値

説明
0 サポートされていません。
1 (既定値) 既定。
2 監査。
3 サポートされています。

グループ ポリシー マッピング:

名前
名前 PKInitHashAlgorithmConfiguration
フレンドリ名 証明書ログオンのハッシュ アルゴリズムを構成する
場所 [コンピューターの構成]
パス System > Kerberos
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
レジストリ値の名前 PKInitHashAlgorithmConfigurationEnabled
ADMX ファイル名 Kerberos.admx

PKInitHashAlgorithmSHA384

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11バージョン 22H2 [10.0.22621] 以降
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384

このポリシー設定は、証明書認証の実行時に Kerberos クライアントによって使用される SHA384 アルゴリズムの構成を制御します。 このポリシーは、Kerberos/PKInitHashAlgorithmConfiguration が有効になっている場合にのみ適用されます。 このアルゴリズムには、次の 4 つの状態のいずれかを構成できます。

  • 0 - サポートされていません: この状態では、アルゴリズムの使用が無効になります。 この状態は、安全でないと見なされるアルゴリズムを対象としています。
  • 1 - 既定値: この状態は、アルゴリズムを推奨状態に設定します。
  • 2 - 監査済み: この状態により、アルゴリズムの使用が有効になり、使用されるたびにイベント (ID 206) が報告されます。 この状態は、アルゴリズムが使用されておらず、安全に無効にできることを確認するためのものです。
  • 3 - サポート: この状態により、アルゴリズムの使用が有効になります。 既定で無効になっているアルゴリズムを有効にすると、セキュリティが低下する可能性があります。

このポリシーを構成しない場合、SHA384 アルゴリズムは 既定 の状態を想定します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1
依存関係 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] 依存関係の種類: DependsOn
依存関係 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
依存関係の許可される値: [1]
依存関係の許可される値の種類: Range

指定可能な値

説明
0 サポートされていません。
1 (既定値) 既定。
2 監査。
3 サポートされています。

グループ ポリシー マッピング:

名前
名前 PKInitHashAlgorithmConfiguration
フレンドリ名 証明書ログオンのハッシュ アルゴリズムを構成する
場所 [コンピューターの構成]
パス System > Kerberos
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
レジストリ値の名前 PKInitHashAlgorithmConfigurationEnabled
ADMX ファイル名 Kerberos.admx

PKInitHashAlgorithmSHA512

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11バージョン 22H2 [10.0.22621] 以降
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512

このポリシー設定は、証明書認証の実行時に Kerberos クライアントによって使用される SHA512 アルゴリズムの構成を制御します。 このポリシーは、Kerberos/PKInitHashAlgorithmConfiguration が有効になっている場合にのみ適用されます。 このアルゴリズムには、次の 4 つの状態のいずれかを構成できます。

  • 0 - サポートされていません: この状態では、アルゴリズムの使用が無効になります。 この状態は、安全でないと見なされるアルゴリズムを対象としています。
  • 1 - 既定値: この状態は、アルゴリズムを推奨状態に設定します。
  • 2 - 監査済み: この状態により、アルゴリズムの使用が有効になり、使用されるたびにイベント (ID 206) が報告されます。 この状態は、アルゴリズムが使用されておらず、安全に無効にできることを確認するためのものです。
  • 3 - サポート: この状態により、アルゴリズムの使用が有効になります。 既定で無効になっているアルゴリズムを有効にすると、セキュリティが低下する可能性があります。

このポリシーを構成しない場合、SHA512 アルゴリズムは 既定 の状態を想定します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 1
依存関係 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] 依存関係の種類: DependsOn
依存関係 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
依存関係の許可される値: [1]
依存関係の許可される値の種類: Range

指定可能な値

説明
0 サポートされていません。
1 (既定値) 既定。
2 監査。
3 サポートされています。

グループ ポリシー マッピング:

名前
名前 PKInitHashAlgorithmConfiguration
フレンドリ名 証明書ログオンのハッシュ アルゴリズムを構成する
場所 [コンピューターの構成]
パス System > Kerberos
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
レジストリ値の名前 PKInitHashAlgorithmConfigurationEnabled
ADMX ファイル名 Kerberos.admx

RequireKerberosArmoring

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1703 [10.0.15063] 以降
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring

このポリシー設定は、ドメイン コントローラーと通信するときに、コンピューターで Kerberos メッセージ交換を防御する必要があるかどうかを制御します。

Warning

ドメインで [動的なAccess Controlと Kerberos の防御をサポートする] を有効にして Kerberos の防御をサポートしていない場合、このポリシー設定が有効になっているコンピューターからすべてのユーザーに対するすべての認証が失敗します。

  • このポリシー設定を有効にした場合、ドメイン内のクライアント コンピューターは、認証サービス (AS) とチケット付与サービス (TGS) メッセージ交換のみで、ドメイン コントローラーとの Kerberos 防御の使用を強制します。

Kerberos グループ ポリシー Kerberos の防御をサポートするには、"Kerberos クライアントによる要求のサポート、複合認証、Kerberos の防御" も有効にする必要があります。

  • このポリシー設定を無効にするか、構成しない場合、ドメイン内のクライアント コンピューターは、可能な限りターゲット ドメインでサポートされている Kerberos 防御の使用を強制します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 ClientRequireFast
フレンドリ名 Kerberos の防御が使用できない場合に認証要求を失敗させる
場所 [コンピューターの構成]
パス System > Kerberos
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
レジストリ値の名前 RequireFast
ADMX ファイル名 Kerberos.admx

RequireStrictKDCValidation

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1703 [10.0.15063] 以降
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation

このポリシー設定は、スマート カードとシステム証明書ログオンの KDC 証明書の検証における Kerberos クライアントの動作を制御します。

  • このポリシー設定を有効にした場合、Kerberos クライアントでは、KDC の X.509 証明書に拡張キー使用法 (EKU) 拡張機能に KDC キー目的オブジェクト識別子が含まれていること、および KDC の X.509 証明書にドメインの DNS 名と一致する dNSName subjectAltName (SAN) 拡張機能が含まれている必要があります。 コンピューターがドメインに参加している場合、Kerberos クライアントでは、NTAuth ストアの証明機関 (CA) によって KDC の X.509 証明書に署名する必要があります。 コンピューターがドメインに参加していない場合、Kerberos クライアントは、KDC の X.509 証明書のパス検証でスマート カードのルート CA 証明書を使用できるようにします。

  • このポリシー設定を無効にするか、構成しない場合、Kerberos クライアントでは、任意のサーバーに発行できる EKU 拡張機能のサーバー認証目的オブジェクト識別子が KDC 証明書に含まれている必要があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 ValidateKDC
フレンドリ名 厳密な KDC 検証が必要
場所 [コンピューターの構成]
パス System > Kerberos
レジストリ キー名 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
レジストリ値の名前 KdcValidation
ADMX ファイル名 Kerberos.admx

SetMaximumContextTokenSize

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1703 [10.0.15063] 以降
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize

このポリシー設定を使用すると、SSPI コンテキスト トークン バッファー サイズの最大サイズを要求するアプリケーションに返される値を設定できます。

コンテキスト トークン バッファーのサイズは、アプリケーションが予期して割り当てる SSPI コンテキスト トークンの最大サイズを決定します。 認証要求の処理とグループ メンバーシップによっては、バッファーが SSPI コンテキスト トークンの実際のサイズよりも小さい場合があります。

  • このポリシー設定を有効にした場合、Kerberos クライアントまたはサーバーは、構成された値またはローカルで許可される最大値のどちらか小さい方を使用します。

  • このポリシー設定を無効にするか、構成しない場合、Kerberos クライアントまたはサーバーはローカルで構成された値または既定値を使用します。

このポリシー設定では、Windows XP および Windows Server 2003 で追加された、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters の既存の MaxTokenSize レジストリ値を構成します。既定値は 12,000 バイトです。 Windows 8 以降の既定値は 48,000 バイトです。 認証コンテキスト トークンの HTTP の base64 エンコードのため、この値を 48,000 バイトを超える値を設定することはお勧めしません。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 MaxTokenSize
フレンドリ名 Kerberos SSPI コンテキスト トークンの最大バッファー サイズを設定する
場所 [コンピューターの構成]
パス System > Kerberos
レジストリ キー名 System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
レジストリ値の名前 EnableMaxTokenSize
ADMX ファイル名 Kerberos.admx

UPNNameHints

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 Version 1809 [10.0.17763] 以降
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints

ハイブリッド環境でMicrosoft Entra IDに参加しているデバイスは、Active Directory ドメイン コントローラーと対話する必要がありますが、ドメインに参加しているデバイスが持つドメイン コントローラーを見つけるための組み込みの機能がありません。 これにより、このようなデバイスが Microsoft Entra UPN を Active Directory プリンシパルに解決する必要がある場合にエラーが発生する可能性があります。 このパラメーターは、Microsoft Entra参加済みデバイスがプリンシパルに UPN を解決できない場合に接続を試みるドメインの一覧を追加します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: 0xF000)

ポリシー構成サービス プロバイダー