Credential Guard の構成

この記事では、Microsoft Intune、グループ ポリシー、またはレジストリを使用して Credential Guard を構成する方法について説明します。

既定の有効化

バージョン 22H2 Windows 11以降、要件を満たすデバイスでは Credential Guard が既定でオンになります。 既定の有効化は UEFI ロックなしで行われます。これにより、管理者は必要に応じて資格情報ガードをリモートで無効にすることができます。

デバイスが Windows 11 バージョン 22H2 以降に更新される前に Credential Guard または VBS が無効になっている場合、既定の有効化は既存の設定を上書きしません。

Credential Guard の既定の状態が変更されましたが、システム管理者は、この記事で説明するいずれかの方法を使用して 有効 または 無効にすることができます

重要

既定の有効化に関連する既知の問題については、「 Credential Guard: 既知の問題」を参照してください。

Windows 11 Pro/Pro Edu 22H2 以降を実行しているデバイスでは、既定の有効化の他の要件を満たし、以前に Credential Guard を実行している場合、仮想化ベースのセキュリティ (VBS) または Credential Guard が自動的に有効になっている可能性があります。 たとえば、後で Pro にダウングレードした Enterprise デバイスで Credential Guard が有効になっている場合などです。

Pro デバイスがこの状態であるかどうかを判断するには、次のレジストリ キーが存在するかどうかをチェックします。 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret このシナリオでは、VBS と Credential Guard を無効にする場合は、手順に従って 仮想化ベースのセキュリティを無効にします。 VBS を無効にせずに Credential Guard のみを無効にする場合は、次の手順を使用して Credential Guard を無効にします

Credential Guard の有効化

Credential Guard は、デバイスがドメインに参加する前、またはドメイン ユーザーが初めてサインインする前に有効にする必要があります。 ドメイン参加後に Credential Guard が有効になっている場合、ユーザーとデバイスのシークレットが既に侵害されている可能性があります。

Credential Guard を有効にするには、次を使用できます。

  • Microsoft Intune/MDM
  • グループ ポリシー
  • レジストリ

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Intuneを使用して Credential Guard を構成する

Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。

カテゴリ 設定名
Device Guard Credential Guard 次のいずれかのオプションを選択します。
 - UEFI ロックで有効
 - ロックなしで有効

重要

資格情報ガードをリモートでオフにしたい場合は、[ ロックなしで有効] オプションを選択します。

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

ヒント

エンドポイント セキュリティで アカウント保護 プロファイルを使用して Credential Guard を構成することもできます。 詳細については、「Microsoft Intuneのエンドポイント セキュリティのアカウント保護ポリシー設定」を参照してください。

または、DeviceGuard Policy CSPカスタム ポリシーを使用してデバイスを構成することもできます。

設定
設定名: 仮想化ベースのセキュリティを有効にする
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
データ型: int
: 1
設定名: Credential Guard の構成
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
データ型: int
:
UEFI ロックで有効:1
ロックなしで有効:2

ポリシーが適用されたら、デバイスを再起動します。

Credential Guard が有効になっているかどうかを確認する

実行されているかどうかをタスク マネージャーで LsaIso.exe 確認することは、Credential Guard が実行されているかどうかを判断するための推奨される方法ではありません。 代わりに、次のいずれかの方法を使用します。

  • システム情報
  • PowerShell
  • イベント ビューアー

システム情報

システム情報を使用して、Credential Guard がデバイスで実行されているかどうかを判断できます。

  1. [スタート] を選択し、「」と入力msinfo32.exeし、[システム情報] を選択します。
  2. [システムの概要] を選択する
  3. [実行中の仮想化ベースのセキュリティ サービス] の横に Credential Guard が表示されていることを確認します

PowerShell

PowerShell を使用して、Credential Guard がデバイス上で実行されているかどうかを判断できます。 管理者特権の PowerShell セッションから、次のコマンドを使用します。

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

コマンドは、次の出力を生成します。

  • 0: Credential Guard が無効になっている (実行されていません)
  • 1: Credential Guard が有効になっている (実行中)

イベント ビューアー

セキュリティ監査ポリシーまたは WMI クエリを使用して、Credential Guard が有効になっているデバイスの定期的なレビューを実行します。
イベント ビューアー (eventvwr.exe) を開き、WinInit のイベント ソースにWindows Logs\System移動してフィルター処理します。

イベント ID

Description

13 (情報)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (情報)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
  • 最初の変数 0x1 または 0x2 は、Credential Guard が実行されるように構成されていることを意味します。 0x0 は、実行するように構成されていないことを意味します。
  • 2 番目の変数: 0 は、保護モードで実行するように構成されていることを意味します。 1 は、テスト モードで実行するように構成されていることを意味します。 この変数は常に 0 にする必要があります。

15 (警告)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (警告)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

次のイベントは、キー保護に TPM が使用されているかどうかを示します。 パス: Applications and Services logs > Microsoft > Windows > Kernel-Boot

イベント ID

Description

51 (情報)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

TPM を使用して実行している場合、TPM PCR マスク値は 0 以外です。

Credential Guard を無効にする

Credential Guard を無効にするさまざまなオプションがあります。 選択するオプションは、Credential Guard の構成方法によって異なります。

  • 仮想マシンで実行されている Credential Guard は、ホストによって無効にすることができます
  • UEFI ロックで Credential Guard が有効になっている場合は、「UEFI ロックで Credential Guard を無効にする」で説明されている手順に従います
  • Credential Guard が UEFI ロックなしで有効になっている場合、または Windows 11 バージョン 22H2 更新プログラムの自動有効化の一部として有効になっている場合は、次のいずれかのオプションを使用して無効にします。
    • Microsoft Intune/MDM
    • グループ ポリシー
    • レジストリ

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Intuneで Credential Guard を無効にする

Intune経由で UEFI ロックなしで Credential Guard が有効になっている場合、同じポリシー設定を無効にすると Credential Guard が無効になります。

Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。

カテゴリ 設定名
Device Guard Credential Guard 無効

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

または、DeviceGuard Policy CSPカスタム ポリシーを使用してデバイスを構成することもできます。

設定
設定名: Credential Guard の構成
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
データ型: int
: 0

ポリシーが適用されたら、デバイスを再起動します。

仮想化ベースのセキュリティ (VBS) を無効にする方法については、「 仮想化ベースのセキュリティを無効にする」を参照してください。

UEFI ロックで Credential Guard を無効にする

UEFI ロックで Credential Guard が有効になっている場合は、設定が EFI (ファームウェア) 変数に保持されるため、この手順に従います。

このシナリオでは、変更を受け入れるためにファンクション キーを押すために、マシンに物理的なプレゼンスが必要です。

  1. 「Credential Guard を無効にする」の手順に従います

  2. bcdedit を使って Credential Guard の EFI 変数を削除します。 管理者特権のコマンド プロンプトで、次のコマンドを入力します。

    mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

  3. デバイスを再起動します。 OS が起動する前に、UEFI が変更されたことを通知し、確認を求めるプロンプトが表示されます。 変更を保持するには、プロンプトを確認する必要があります。

仮想マシンの Credential Guard を無効にする

ホストから、次のコマンドを使用して仮想マシンの Credential Guard を無効にすることができます。

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

仮想化ベースのセキュリティを無効にする

仮想化ベースのセキュリティ (VBS) を無効にすると、Credential Guard やその他の VBS に依存する機能が自動的に無効になります。

重要

Credential Guard 以外のその他のセキュリティ機能は、VBS に依存しています。 VBS を無効にすると、意図しない副作用が発生する可能性があります。

VBS を無効にするには、次のいずれかのオプションを使用します。

  • Microsoft Intune/MDM
  • グループ ポリシー
  • レジストリ

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Intuneで VBS を無効にする

VBS が Intune 経由で有効になっていて、UEFI ロックがない場合、同じポリシー設定を無効にすると VBS が無効になります。

Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。

カテゴリ 設定名
Device Guard 仮想化ベースのセキュリティを有効にする 無効

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

または、DeviceGuard Policy CSPカスタム ポリシーを使用してデバイスを構成することもできます。

設定
設定名: 仮想化ベースのセキュリティを有効にする
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
データ型: int
: 0

ポリシーが適用されたら、デバイスを再起動します。

UEFI ロックで Credential Guard が有効になっている場合は、 コマンド bcdedit.exeを使用してファームウェアに格納されている EFI 変数をクリアする必要があります。 管理者特権のコマンド プロンプトから、次のコマンドを実行します。

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

次のステップ