次の方法で共有


Credential Guard の構成

この記事では、Microsoft Intune、グループ ポリシー、またはレジストリを使用して Credential Guard を構成する方法について説明します。

既定の有効化

重要

Windows Server 2025 はプレビュー段階です。 この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに提供される情報に関して、明示または黙示を問わず一切の保証を行いません。

Windows 11、22H2、および Windows Server 2025 (プレビュー) 以降では、要件を 満たすデバイスで Credential Guard が既定で有効になります

システム管理者は、この記事で説明するいずれかの方法を使用して、Credential Guard を明示的に 有効 または 無効にすることができます 。 明示的に構成された値は、再起動後の既定の有効化状態を上書きします。

Credential Guard が既定で有効になっている新しいバージョンの Windows に更新する前に、デバイスで Credential Guard が明示的にオフになっている場合は、更新後も無効のままです。

重要

既定の有効化に関連する既知の問題については、「 Credential Guard: 既知の問題」を参照してください。

Credential Guard の有効化

Credential Guard は、デバイスがドメインに参加する前、またはドメイン ユーザーが初めてサインインする前に有効にする必要があります。 ドメイン参加後に Credential Guard が有効になっている場合、ユーザーとデバイスのシークレットが既に侵害されている可能性があります。

Credential Guard を有効にするには、次を使用できます。

  • Microsoft Intune/MDM
  • グループ ポリシー
  • レジストリ

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Intune で Credential Guard を構成する

Microsoft Intune でデバイスを構成するには、 設定カタログ ポリシーを作成 し、次の設定を使用します。

カテゴリ 設定名
Device Guard Credential Guard 次のいずれかのオプションを選択します。
 - UEFI ロックで有効
 - ロックなしで有効

重要

資格情報ガードをリモートでオフにしたい場合は、[ ロックなしで有効] オプションを選択します。

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

ヒント

エンドポイント セキュリティで アカウント保護 プロファイルを使用して Credential Guard を構成することもできます。 詳細については、「 Microsoft Intune のエンドポイント セキュリティのアカウント保護ポリシー設定」を参照してください。

または、DeviceGuard Policy CSPカスタム ポリシーを使用してデバイスを構成することもできます。

設定
設定名: 仮想化ベースのセキュリティを有効にする
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
データ型: int
: 1
設定名: Credential Guard の構成
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
データ型: int
:
UEFI ロックで有効:1
ロックなしで有効:2

ポリシーが適用されたら、デバイスを再起動します。

Credential Guard が有効になっているかどうかを確認する

LsaIso.exeが実行されているかどうかをタスク マネージャーで確認することは、Credential Guard が実行されているかどうかを判断するための推奨される方法ではありません。 代わりに、次のいずれかの方法を使用します。

  • システム情報
  • PowerShell
  • イベント ビューアー

システム情報

システム情報を使用して、Credential Guard がデバイスで実行されているかどうかを判断できます。

  1. [スタート] を選択し、「msinfo32.exe」と入力し、[システム情報] を選択します。
  2. [システムの概要] を選択する
  3. [実行中の仮想化ベースのセキュリティ サービス] の横に Credential Guard が表示されていることを確認します

PowerShell

PowerShell を使用して、Credential Guard がデバイス上で実行されているかどうかを判断できます。 管理者特権の PowerShell セッションから、次のコマンドを使用します。

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

コマンドは、次の出力を生成します。

  • 0: Credential Guard が無効になっている (実行されていません)
  • 1: Credential Guard が有効になっている (実行中)

イベント ビューアー

セキュリティ監査ポリシーまたは WMI クエリを使用して、Credential Guard が有効になっているデバイスの定期的なレビューを実行します。
イベント ビューアー (eventvwr.exe) を開き、[ Windows Logs\System ] に移動し、 WinInit のイベント ソースをフィルター処理します。

イベント ID

Description

13 (情報)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (情報)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
  • 最初の変数 0x1 または 0x2 は、Credential Guard が実行されるように構成されていることを意味します。 0x0 は、実行するように構成されていないことを意味します。
  • 2 番目の変数: 0 は、保護モードで実行するように構成されていることを意味します。 1 は、テスト モードで実行するように構成されていることを意味します。 この変数は常に 0 にする必要があります。

15 (警告)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (警告)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

次のイベントは、キー保護に TPM が使用されているかどうかを示します。 パス: Applications and Services logs > Microsoft > Windows > Kernel-Boot

イベント ID

Description

51 (情報)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

TPM を使用して実行している場合、TPM PCR マスク値は 0 以外です。

Credential Guard を無効にする

Credential Guard を無効にするさまざまなオプションがあります。 選択するオプションは、Credential Guard の構成方法によって異なります。

  • 仮想マシンで実行されている Credential Guard は、ホストによって無効にすることができます
  • UEFI ロックで Credential Guard が有効になっている場合は、「UEFI ロックで Credential Guard を無効にする」で説明されている手順に従います
  • Credential Guard が UEFI ロックなしで有効になっている場合、または 既定の有効化更新プログラムの一部として有効になっている場合は、次のいずれかのオプションを使用して無効にします。
    • Microsoft Intune/MDM
    • グループ ポリシー
    • レジストリ

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Intune で Credential Guard を無効にする

Intune 経由で UEFI ロックなしで Credential Guard が有効になっている場合、同じポリシー設定を無効にすると Credential Guard が無効になります。

Microsoft Intune でデバイスを構成するには、 設定カタログ ポリシーを作成 し、次の設定を使用します。

カテゴリ 設定名
Device Guard Credential Guard 無効

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

または、DeviceGuard Policy CSPカスタム ポリシーを使用してデバイスを構成することもできます。

設定
設定名: Credential Guard の構成
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
データ型: int
: 0

ポリシーが適用されたら、デバイスを再起動します。

仮想化ベースのセキュリティ (VBS) を無効にする方法については、「 仮想化ベースのセキュリティを無効にする」を参照してください。

UEFI ロックで Credential Guard を無効にする

UEFI ロックで Credential Guard が有効になっている場合は、設定が EFI (ファームウェア) 変数に保持されるため、この手順に従います。

このシナリオでは、変更を受け入れるためにファンクション キーを押すために、マシンに物理的なプレゼンスが必要です。

  1. 「Credential Guard を無効にする」の手順に従います

  2. bcdedit を使って Credential Guard の EFI 変数を削除します。 管理者特権のコマンド プロンプトで、次のコマンドを入力します。

    mountvol X: /s
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
    
  3. デバイスを再起動します。 OS が起動する前に、UEFI が変更されたことを通知し、確認を求めるプロンプトが表示されます。 変更を保持するには、プロンプトを確認する必要があります。

仮想マシンの Credential Guard を無効にする

ホストから、次のコマンドを使用して仮想マシンの Credential Guard を無効にすることができます。

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

仮想化ベースのセキュリティを無効にする

仮想化ベースのセキュリティ (VBS) を無効にすると、Credential Guard やその他の VBS に依存する機能が自動的に無効になります。

重要

Credential Guard 以外のその他のセキュリティ機能は、VBS に依存しています。 VBS を無効にすると、意図しない副作用が発生する可能性があります。

VBS を無効にするには、次のいずれかのオプションを使用します。

  • Microsoft Intune/MDM
  • グループ ポリシー
  • レジストリ

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Intune で VBS を無効にする

Intune 経由で UEFI ロックなしで VBS が有効になっている場合、同じポリシー設定を無効にすると VBS が無効になります。

Microsoft Intune でデバイスを構成するには、 設定カタログ ポリシーを作成 し、次の設定を使用します。

カテゴリ 設定名
Device Guard 仮想化ベースのセキュリティを有効にする 無効

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

または、DeviceGuard Policy CSPカスタム ポリシーを使用してデバイスを構成することもできます。

設定
設定名: 仮想化ベースのセキュリティを有効にする
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
データ型: int
: 0

ポリシーが適用されたら、デバイスを再起動します。

UEFI ロックで Credential Guard が有効になっている場合は、コマンド bcdedit.exeを使用してファームウェアに格納されている EFI 変数をクリアする必要があります。 管理者特権のコマンド プロンプトから、次のコマンドを実行します。

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

次のステップ