Credential Guard の構成

• 適用対象:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

この記事では、Microsoft Intune、グループ ポリシー、またはレジストリを使用して Credential Guard を構成する方法について説明します。

既定の有効化

重要

Windows Server 2025 はプレビュー段階です。 この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに提供される情報に関して、明示または黙示を問わず一切の保証を行いません。

Windows 11、22H2、および Windows Server 2025 (プレビュー) 以降では、要件を 満たすデバイスで Credential Guard が既定で有効になります。

システム管理者は、この記事で説明するいずれかの方法を使用して、Credential Guard を明示的に 有効 または 無効にすることができます 。 明示的に構成された値は、再起動後の既定の有効化状態を上書きします。

Credential Guard が既定で有効になっている新しいバージョンの Windows に更新する前に、デバイスで Credential Guard が明示的にオフになっている場合は、更新後も無効のままです。

重要

既定の有効化に関連する既知の問題については、「 Credential Guard: 既知の問題」を参照してください。

Credential Guard の有効化

Credential Guard は、デバイスがドメインに参加する前、またはドメイン ユーザーが初めてサインインする前に有効にする必要があります。 ドメイン参加後に Credential Guard が有効になっている場合、ユーザーとデバイスのシークレットが既に侵害されている可能性があります。

Credential Guard を有効にするには、次を使用できます。

• Microsoft Intune/MDM
• グループ ポリシー
• レジストリ

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Intune/CSP

Intune で Credential Guard を構成する

Microsoft Intune でデバイスを構成するには、 設定カタログ ポリシーを作成 し、次の設定を使用します。

カテゴリ	設定名	値
Device Guard	Credential Guard	次のいずれかのオプションを選択します。  - UEFI ロックで有効  - ロックなしで有効

重要

資格情報ガードをリモートでオフにしたい場合は、[ ロックなしで有効] オプションを選択します。

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

ヒント

エンドポイント セキュリティで アカウント保護 プロファイルを使用して Credential Guard を構成することもできます。 詳細については、「 Microsoft Intune のエンドポイント セキュリティのアカウント保護ポリシー設定」を参照してください。

または、DeviceGuard Policy CSP でカスタム ポリシーを使用してデバイスを構成することもできます。

設定
設定名: 仮想化ベースのセキュリティを有効にする OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity データ型: int 値: 1
設定名: Credential Guard の構成 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags データ型: int 値:  UEFI ロックで有効:1  ロックなしで有効:2

ポリシーが適用されたら、デバイスを再起動します。

GPO

グループ ポリシーを使用して Credential Guard を構成する

グループ ポリシーを使用してデバイスを構成するには、 ローカル グループ ポリシー エディターを使用します。 Active Directory に参加している複数のデバイスを構成するには、グループ ポリシー オブジェクト (GPO) を 作成または編集 し、次の設定を使用します。

グループ ポリシー パス	グループ ポリシー設定	値
コンピューターの構成\管理用テンプレート\System\Device Guard	仮想化ベースのセキュリティを有効にする	[Credential Guard Configuration]\( 資格情報ガードの構成 \) ドロップダウンの下に表示されているオプションのいずれかを有効にして選択します。  - UEFI ロックで有効  - ロックなしで有効

重要

資格情報ガードをリモートでオフにしたい場合は、[ ロックなしで有効] オプションを選択します。

グループ ポリシーは、ドメインまたは組織単位に リンク したり、 セキュリティ グループを使用してフィルター処理したり、 WMI フィルターを使用してフィルター処理したりできます。

ポリシーが適用されたら、デバイスを再起動します。

レジストリ

レジストリ設定を使用して Credential Guard を構成する

レジストリを使用してデバイスを構成するには、次の設定を使用します。

設定
キー パス: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard キー名: EnableVirtualizationBasedSecurity 型: REG_DWORD 値: 1 (仮想化ベースのセキュリティを有効にする)
キー パス: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard キー名: RequirePlatformSecurityFeatures 型: REG_DWORD 値:  1 (セキュア ブートを使用する場合)  3 (セキュア ブートと DMA 保護を使用する場合)
キー パス: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa キー名: LsaCfgFlags 型: REG_DWORD 値:  1 (UEFI ロックで Credential Guard を有効にするには)  2 (ロックなしで Credential Guard を有効にするには)

デバイスを再起動して変更を適用します。

ヒント

Credential Guard を有効にするには、 FirstLogonCommands の無人セットアップ設定でレジストリ エントリを設定します。

Credential Guard が有効になっているかどうかを確認する

LsaIso.exeが実行されているかどうかをタスク マネージャーで確認することは、Credential Guard が実行されているかどうかを判断するための推奨される方法ではありません。 代わりに、次のいずれかの方法を使用します。

• システム情報
• PowerShell
• イベント ビューアー

システム情報

システム情報を使用して、Credential Guard がデバイスで実行されているかどうかを判断できます。

1. [スタート] を選択し、「msinfo32.exe」と入力し、[システム情報] を選択します。
2. [システムの概要] を選択する
3. [実行中の仮想化ベースのセキュリティ サービス] の横に Credential Guard が表示されていることを確認します

PowerShell

PowerShell を使用して、Credential Guard がデバイス上で実行されているかどうかを判断できます。 管理者特権の PowerShell セッションから、次のコマンドを使用します。

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

コマンドは、次の出力を生成します。

• 0: Credential Guard が無効になっている (実行されていません)
• 1: Credential Guard が有効になっている (実行中)

イベント ビューアー

セキュリティ監査ポリシーまたは WMI クエリを使用して、Credential Guard が有効になっているデバイスの定期的なレビューを実行します。
イベント ビューアー (eventvwr.exe) を開き、[ Windows Logs\System ] に移動し、 WinInit のイベント ソースをフィルター処理します。

イベント ID

Description

13 (情報)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (情報)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**

• 最初の変数 0x1 または 0x2 は、Credential Guard が実行されるように構成されていることを意味します。 0x0 は、実行するように構成されていないことを意味します。
• 2 番目の変数: 0 は、保護モードで実行するように構成されていることを意味します。 1 は、テスト モードで実行するように構成されていることを意味します。 この変数は常に 0 にする必要があります。

15 (警告)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (警告)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

次のイベントは、キー保護に TPM が使用されているかどうかを示します。 パス： Applications and Services logs > Microsoft > Windows > Kernel-Boot

イベント ID

Description

51 (情報)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

TPM を使用して実行している場合、TPM PCR マスク値は 0 以外です。

Credential Guard を無効にする

Credential Guard を無効にするさまざまなオプションがあります。 選択するオプションは、Credential Guard の構成方法によって異なります。

• 仮想マシンで実行されている Credential Guard は、ホストによって無効にすることができます
• UEFI ロックで Credential Guard が有効になっている場合は、「UEFI ロックで Credential Guard を無効にする」で説明されている手順に従います
• Credential Guard が UEFI ロックなしで有効になっている場合、または 既定の有効化更新プログラムの一部として有効になっている場合は、次のいずれかのオプションを使用して無効にします。
  • Microsoft Intune/MDM
  • グループ ポリシー
  • レジストリ

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Intune/CSP

Intune で Credential Guard を無効にする

Intune 経由で UEFI ロックなしで Credential Guard が有効になっている場合、同じポリシー設定を無効にすると Credential Guard が無効になります。

Microsoft Intune でデバイスを構成するには、 設定カタログ ポリシーを作成 し、次の設定を使用します。

カテゴリ	設定名	値
Device Guard	Credential Guard	無効

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

または、DeviceGuard Policy CSP でカスタム ポリシーを使用してデバイスを構成することもできます。

設定
設定名: Credential Guard の構成 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags データ型: int 値: 0

ポリシーが適用されたら、デバイスを再起動します。

GPO

グループ ポリシーを使用して Credential Guard を無効にする

グループ ポリシーを使用して UEFI ロックなしで Credential Guard が有効になっている場合、同じグループ ポリシー設定を無効にすると Credential Guard が無効になります。

グループ ポリシーを使用してデバイスを構成するには、 ローカル グループ ポリシー エディターを使用します。 Active Directory に参加している複数のデバイスを構成するには、グループ ポリシー オブジェクト (GPO) を 作成または編集 し、次の設定を使用します。

グループ ポリシー パス	グループ ポリシー設定	値
コンピューターの構成\管理用テンプレート\System\Device Guard	仮想化ベースのセキュリティを有効にする	無効

グループ ポリシーは、ドメインまたは組織単位に リンク したり、 セキュリティ グループを使用してフィルター処理したり、 WMI フィルターを使用してフィルター処理したりできます。

ポリシーが適用されたら、デバイスを再起動します。

レジストリ

レジストリ設定で Credential Guard を無効にする

Credential Guard が UEFI ロックなしで、グループ ポリシーなしで有効になっている場合は、レジストリ キーを編集して無効にするだけで十分です。

設定
キー パス: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa キー名: LsaCfgFlags 型: REG_DWORD 値: 0
キー パス: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard キー名: LsaCfgFlags 型: REG_DWORD 値: 0

注

これらのレジストリ設定を削除しても、Credential Guard が無効にならない場合があります。 値は 0 に設定する必要があります。

デバイスを再起動して変更を適用します。

仮想化ベースのセキュリティ (VBS) を無効にする方法については、「 仮想化ベースのセキュリティを無効にする」を参照してください。

UEFI ロックで Credential Guard を無効にする

UEFI ロックで Credential Guard が有効になっている場合は、設定が EFI (ファームウェア) 変数に保持されるため、この手順に従います。

注

このシナリオでは、変更を受け入れるためにファンクション キーを押すために、マシンに物理的なプレゼンスが必要です。

1. 「Credential Guard を無効にする」の手順に従います

2. bcdedit を使って Credential Guard の EFI 変数を削除します。 管理者特権のコマンド プロンプトで、次のコマンドを入力します。

   mountvol X: /s
   copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
   bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
   bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
   mountvol X: /d
   

3. デバイスを再起動します。 OS が起動する前に、UEFI が変更されたことを通知し、確認を求めるプロンプトが表示されます。 変更を保持するには、プロンプトを確認する必要があります。

仮想マシンの Credential Guard を無効にする

ホストから、次のコマンドを使用して仮想マシンの Credential Guard を無効にすることができます。

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

仮想化ベースのセキュリティを無効にする

仮想化ベースのセキュリティ (VBS) を無効にすると、Credential Guard やその他の VBS に依存する機能が自動的に無効になります。

重要

Credential Guard 以外のその他のセキュリティ機能は、VBS に依存しています。 VBS を無効にすると、意図しない副作用が発生する可能性があります。

VBS を無効にするには、次のいずれかのオプションを使用します。

• Microsoft Intune/MDM
• グループ ポリシー
• レジストリ

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Intune/CSP

Intune で VBS を無効にする

Intune 経由で UEFI ロックなしで VBS が有効になっている場合、同じポリシー設定を無効にすると VBS が無効になります。

Microsoft Intune でデバイスを構成するには、 設定カタログ ポリシーを作成 し、次の設定を使用します。

カテゴリ	設定名	値
Device Guard	仮想化ベースのセキュリティを有効にする	無効

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

または、DeviceGuard Policy CSP でカスタム ポリシーを使用してデバイスを構成することもできます。

設定
設定名: 仮想化ベースのセキュリティを有効にする OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity データ型: int 値: 0

ポリシーが適用されたら、デバイスを再起動します。

GPO

グループ ポリシーで VBS を無効にする

VBS を無効にするためのポリシーを構成 します。

グループ ポリシーを使用してデバイスを構成するには、 ローカル グループ ポリシー エディターを使用します。 Active Directory に参加している複数のデバイスを構成するには、グループ ポリシー オブジェクト (GPO) を 作成または編集 し、次の設定を使用します。

グループ ポリシー パス	グループ ポリシー設定	値
コンピューターの構成\管理用テンプレート\System\Device Guard\仮想化ベースのセキュリティを有効にする	仮想化ベースのセキュリティを有効にする	無効

グループ ポリシーは、ドメインまたは組織単位に リンク したり、 セキュリティ グループを使用してフィルター処理したり、 WMI フィルターを使用してフィルター処理したりできます。

ポリシーが適用されたら、デバイスを再起動します

レジストリ

レジストリ設定で VBS を無効にする

次のレジストリ キーを削除します。

設定
キー パス: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard キー名: EnableVirtualizationBasedSecurity
キー パス: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard キー名: RequirePlatformSecurityFeatures

重要

レジストリ設定を手動で削除する場合は、必ずすべて削除してください。そうしないと、デバイスが BitLocker 回復に入る可能性があります。

デバイスを再起動して変更を適用します。

UEFI ロックで Credential Guard が有効になっている場合は、コマンド bcdedit.exeを使用してファームウェアに格納されている EFI 変数をクリアする必要があります。 管理者特権のコマンド プロンプトから、次のコマンドを実行します。

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

次のステップ

• 追加の軽減策に関する記事の Credential Guard を使用して環境をより安全かつ堅牢にするためのアドバイスとサンプル コードを確認する
• Credential Guard を使用する際の考慮事項と既知の問題を確認する