Remote Credential Guard

概要

Remote Credential Guard は、Kerberos 要求を接続を要求しているデバイスにリダイレクトすることで、リモート デスクトップ (RDP) 接続経由で資格情報を保護するのに役立ちます。 ターゲット デバイスが侵害された場合、資格情報と資格情報の派生物の両方がネットワーク経由でターゲット デバイスに渡されることがないため、資格情報は公開されません。 リモート資格情報ガードは、リモート デスクトップ セッションのシングル サインオン エクスペリエンスも提供します。

この記事では、リモート資格情報ガードを構成して使用する方法について説明します。

重要

ヘルプデスクのサポートに関連するリモート デスクトップ接続シナリオについては、この記事の 「リモート デスクトップ接続とヘルプデスク サポート シナリオ 」を参照してください。

リモート資格情報ガードと他の接続オプションを比較する

リモート 資格情報ガードなしでリモート デスクトップ セッションを使用すると、次のセキュリティに影響します。

• 資格情報がリモート ホストに送信され、リモート ホストに格納されます
• 資格情報はリモート ホスト上の攻撃者から保護されていません
• 攻撃者は切断後に資格情報を使用できます

リモート資格情報ガードのセキュリティ上の利点は次のとおりです。

• 資格情報がリモート ホストに送信されない
• リモート セッション中は、SSO を使用して他のシステムに接続できます
• 攻撃者は、セッションが進行中の場合にのみ、ユーザーに代わって行動できます

制限付き管理モードのセキュリティ上の利点は次のとおりです。

• 資格情報がリモート ホストに送信されない
• リモート デスクトップ セッションは、リモート ホストの ID として他のリソースに接続します
• 攻撃者はユーザーに代わって行動できません。また、攻撃はサーバーに対してローカルです

次の表を使用して、さまざまなリモート デスクトップ接続セキュリティ オプションを比較します。

機能	リモート デスクトップ	Remote Credential Guard	制限付き管理モード
サインインしているユーザーとして他のシステムへのシングル サインオン (SSO)	✅	✅	❌
マルチホップ RDP	✅	✅	❌
接続中にユーザーの ID を使用できないようにする	❌	❌	✅
切断後の資格情報の使用を禁止する	❌	✅	✅
Pass-the-Hash (PtH) を防止する	❌	✅	✅
サポートされている認証	交渉可能なプロトコル	Kerberos のみ	交渉可能なプロトコル
リモート デスクトップ クライアント デバイスからサポートされる資格情報	- サインオンした資格情報 - 指定された資格情報 - 保存された資格情報	- サインオンした資格情報 - 指定された資格情報	- サインオンした資格情報 - 指定された資格情報 - 保存された資格情報
で付与された RDP アクセス	リモート ホスト上の リモート デスクトップ ユーザー グループのメンバーシップ	リモート ホスト上の リモート デスクトップ ユーザー グループのメンバーシップ	リモート ホスト上の Administrators グループのメンバーシップ

リモート資格情報ガードの要件

リモート資格情報ガードを使用するには、リモート ホストとクライアントが次の要件を満たしている必要があります。

リモート ホスト:

• ユーザーがリモート デスクトップ接続経由でアクセスできるようにする必要があります
• クライアント デバイスへの nonexportable 資格情報の委任を許可する必要があります

クライアント デバイス:

• リモート デスクトップ Windows アプリケーションを実行している必要があります。 リモート デスクトップ ユニバーサル Windows プラットフォーム (UWP) アプリケーションは、リモート資格情報ガードをサポートしていません
• リモート ホストに接続するには、Kerberos 認証を使用する必要があります。 クライアントがドメイン コントローラーに接続できない場合、RDP は NTLM にフォールバックしようとします。 リモート資格情報ガードでは、資格情報がリスクにさらされるため、NTLM フォールバックは許可されません

Windows エディションとライセンスに関する要件

次の表は、リモート資格情報ガードをサポートする Windows エディションの一覧です。

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
はい	はい	はい	はい

リモート Credential Guard ライセンスエンタイトルメントは、次のライセンスによって付与されます。

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
はい	はい	はい	○	○

Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。

リモート ホストで nonexportable 資格情報の委任を有効にする

このポリシーは、リモート資格情報ガードと制限付き管理モードをサポートするためにリモート ホストで必要です。 これにより、リモート ホストは、nonexportable 資格情報をクライアント デバイスに委任できます。
この設定を無効にした場合、または構成しなかった場合、制限付き管理者モードとリモート資格情報保護モードはサポートされません。 ユーザーは、資格情報をホストに渡し、リモート ホスト上の攻撃者からの資格情報の盗難のリスクにさらす必要があります。

リモート ホストで nonexportable 資格情報の委任を有効にするには、次を使用できます。

• Microsoft Intune/MDM
• グループ ポリシー
• レジストリ

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Intune/CSP

Microsoft Intune でデバイスを構成するには、 設定カタログ ポリシーを作成 し、次の設定を使用します。

カテゴリ	設定名	値
システム >資格情報の委任>管理用テンプレート	リモート ホストでは、nonexportable 資格情報の委任が許可されます	有効

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

または、ポリシー CSP でカスタム ポリシーを使用してデバイスを構成することもできます。

設定
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials - データ型: string - 価値：<enabled/>

GPO

グループ ポリシーを使用してデバイスを構成するには、 ローカル グループ ポリシー エディターを使用します。 Active Directory に参加している複数のデバイスを構成するには、グループ ポリシー オブジェクト (GPO) を 作成または編集 し、次の設定を使用します。

グループ ポリシー パス	グループ ポリシー設定	値
コンピューターの構成\管理用テンプレート\System\Credentials 委任	リモート ホストでは、nonexportable 資格情報の委任が許可されます	有効

グループ ポリシーは、ドメインまたは組織単位に リンク したり、 セキュリティ グループを使用してフィルター処理したり、 WMI フィルターを使用してフィルター処理したりできます。

レジストリ

レジストリを使用してデバイスを構成するには、次の設定を使用します。

設定
- キー パス:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa - キー名:DisableRestrictedAdmin - 種類：REG_DWORD - 価値：0

これを追加するには、管理者特権のコマンド プロンプトから次のコマンドを実行します。

reg.exe add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

クライアントでの資格情報の委任を構成する

クライアントでリモート資格情報ガードを有効にするには、リモート ホストへの資格情報の委任を禁止するポリシーを構成できます。

ヒント

リモート資格情報ガードを適用するようにクライアントを構成しない場合は、次のコマンドを使用して、特定の RDP セッションにリモート資格情報ガードを使用できます。

mstsc.exe /remoteGuard

サーバーが RDS ホスト ロールをホストしている場合、コマンドは、ユーザーがリモート ホストの管理者である場合にのみ機能します。

ポリシーには、適用するセキュリティのレベルに応じて、異なる値を指定できます。

• 無効: 制限付き管理者 モードと リモート資格情報ガード モードは適用されず、リモート デスクトップ クライアントはリモート デバイスに資格情報を委任できます

• 制限付き管理者が必要: リモート デスクトップ クライアントは、制限付き管理者を使用してリモート ホストに接続する必要があります

• リモート資格情報ガードが必要: リモート デスクトップ クライアントはリモート 資格情報ガードを使用してリモート ホストに接続する必要があります

• 資格情報の委任を制限する: リモート デスクトップ クライアントは、制限付き管理者またはリモート資格情報ガードを使用してリモート ホストに接続する必要があります。 この構成では、リモート資格情報ガードを使用することをお勧めしますが、リモート資格情報ガードを使用できない場合は制限付き管理モード (サポートされている場合) を使用します

  注

  [資格情報の委任の制限] が有効になっている場合、/restrictedAdminスイッチは無視されます。 Windows では、代わりにポリシー構成が適用され、リモート資格情報ガードが使用されます。

クライアントを構成するには、次を使用できます。

• Microsoft Intune/MDM
• グループ ポリシー

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Intune/CSP

Microsoft Intune でデバイスを構成するには、 設定カタログ ポリシーを作成 し、次の設定を使用します。

カテゴリ	設定名	値
システム >資格情報の委任>管理用テンプレート	リモート サーバーへの資格情報の委任を制限する	[ 有効] を 選択し、ドロップダウンでオプションのいずれかを選択します。 - 資格情報の委任を制限する - リモート資格情報ガードが必要

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

または、ポリシー CSP でカスタム ポリシーを使用してデバイスを構成することもできます。

設定
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration - データ型: string - 価値：<enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/> RestrictedRemoteAdministrationDropに使用できる値は次のとおりです。 - 0：無効 - 1: 制限付き管理者が必要 - 2: リモート資格情報ガードが必要 - 3: 資格情報の委任を制限する

GPO

グループ ポリシーを使用してデバイスを構成するには、 ローカル グループ ポリシー エディターを使用します。 Active Directory に参加している複数のデバイスを構成するには、グループ ポリシー オブジェクト (GPO) を 作成または編集 し、次の設定を使用します。

グループ ポリシー パス	グループ ポリシー設定	値
コンピューターの構成\管理用テンプレート\System\Credentials 委任	リモート サーバーへの資格情報の委任を制限する	[有効] を選択 し、ドロップダウンで次のいずれかのオプションを選択します。 - 資格情報の委任を制限する - リモート資格情報ガードが必要

グループ ポリシーは、ドメインまたは組織単位に リンク したり、 セキュリティ グループを使用してフィルター処理したり、 WMI フィルターを使用してフィルター処理したりできます。

レジストリ

文書化されていません。

ユーザー エクスペリエンス

クライアントがポリシーを受け取ったら、リモート デスクトップ クライアント (mstsc.exe) を開いてリモート資格情報ガードを使用してリモート ホストに接続できます。 ユーザーは、リモート ホストに対して自動的に認証されます。

注

ユーザーは、リモート ホスト上のリモート デスクトップ ユーザー ローカル グループのメンバーであるなど、リモート デスクトップ プロトコルを使用してリモート サーバーに接続する権限を持っている必要があります。

リモート デスクトップ接続とヘルプデスク サポート シナリオ

リモート デスクトップ セッションを介して担当者が管理アクセスを必要とするヘルプデスク サポート シナリオでは、リモート資格情報ガードの使用はお勧めしません。 既に侵害されたクライアントに対して RDP セッションが開始された場合、攻撃者はそのオープン チャネルを使用して、ユーザーの代わりにセッションを作成する可能性があります。 攻撃者は、セッションの切断後に限られた時間、ユーザーのリソースにアクセスできます。

代わりに、制限付き管理モード オプションを使用することをお勧めします。 ヘルプデスク サポート シナリオの場合、RDP 接続は /RestrictedAdmin スイッチを使用してのみ開始する必要があります。 これにより、資格情報やその他のユーザー リソースが侵害されたリモート ホストに公開されないようにすることができます。 詳細については、「 Pass-the-Hash とその他の資格情報の盗難 v2 の軽減」を参照してください。

セキュリティをさらに強化するために、ローカル管理者パスワード管理を自動化する Windows ローカル管理者パスワード ソリューション (LAPS) を実装することもお勧めします。 LAPS は、顧客がすべてのコンピューターで同じ管理ローカル アカウントとパスワードの組み合わせを使用する場合に、横エスカレーションやその他のサイバー攻撃のリスクを軽減します。

LAPS の詳細については、「 Windows LAPS とは」を参照してください。

考慮事項

リモート資格情報ガードの考慮事項を次に示します。

• リモート Credential Guard では、複合認証はサポートされていません。 たとえば、デバイス要求を必要とするリモート ホストからファイル サーバーにアクセスしようとしている場合、アクセスは拒否されます
• リモート資格情報ガードは、Active Directory ドメインに参加しているデバイスに接続する場合にのみ使用できます。 Microsoft Entra ID に参加しているリモート デバイスに接続する場合は使用できません
• リモート資格情報ガードは、クライアントが Kerberos を使用して認証できる限り、Microsoft Entra 参加済みクライアントから Active Directory 参加済みリモート ホストに接続するために使用できます
• リモート資格情報ガードは RDP プロトコルでのみ機能します
• ターゲット デバイスに資格情報は送信されませんが、ターゲット デバイスは引き続き Kerberos サービス チケットを独自に取得します
• サーバーとクライアントは Kerberos を使用して認証する必要があります
• リモート資格情報ガードは、ターゲット マシンへの直接接続でのみサポートされます。 リモート デスクトップ接続ブローカーとリモート デスクトップ ゲートウェイ経由の接続はサポートされていません