ADサーバーのグループポリシーを構成する

証明書をActive Directory(AD)にインポートした後に、サーバーリソースをAdvanced Server Accessで利用できるように構成する必要があります。Advanced Server Accessによって保護されるすべてのサーバーを、ドメインのその他のリソースから切り離された組織単位(OU)に配置することをお勧めします。これにより、OU内のドメインコントローラーとリソースを、グループポリシーオブジェクト(GPO)を使って一元的に管理できます。

警告:パスワードなし認証を十分にテストするまでは、スマートカード認証をドメインコントローラーに適用しないでください。適用によってチームがドメインからロックアウトされる可能性があります。

タスクの開始

  1. GPOを使って証明書を配布します。
    1. ドメインコントローラーオブジェクトを右クリックし、[Create a GPO in this domain, and Link it here...(このドメインにGPOを作成してここにリンクを作成...)]を選択します。
    2. [New GPO(新規GPO)]ウィンドウでGPO名を「Advanced Server Access - Certificate」と入力します。
    3. [OK]をクリックします。
    4. コンソールツリーでComputer Configuration(コンピューター構成)\Policies(ポリシー)\Windows Settings(Windows設定)\Security Settings(セキュリティ設定)\Public Key Policies(公開鍵ポリシー)に移動します。
    5. Trusted Root Certification Authorities(信頼された認証局)]を右クリックし、[Import(インポート)]をクリックします。
    6. Welcome to the Certificate Import Wizard(証明書インポートウィザードへようこそ)]の[Next(次へ)]をクリックします。
    7. 事前に作成した証明書ファイルへのパスを指定し、[Next(次へ)]をクリックします。
    8. Place all certificates in the following store(すべての証明書を次のストアに配置する)]をクリックし、[Next(次へ)]をクリックします。
    9. 情報を確認し、[Finish(終了)]をクリックします。
  2. ネットワークレベルの認証を無効化します。
    1. [Group Policy Management(グループポリシー管理)]画面で「Advanced Server Access - Certificate」というGPOを特定します。
    2. GPOを右クリックし、[Edit(編集)]をクリックします。
    3. コンソールツリーでComputer Configuration(コンピューター構成)\Policies(ポリシー)\Administrative Templates(管理テンプレート)\Windows Components(Windowsコンポーネント)\Remote Desktop Services(リモートデスクトップサービス)\Remote Desktop Session Host(リモートデスクトップセッションホスト)\Security(セキュリティ)に移動します。
    4. Require user authentication for remote connections by using Network Level Authentication(リモート接続にはネットワークレベル認証によるユーザー認証を必要とする)]をダブルクリックします。
    5. プロパティウィンドウの[Disabled(無効化)]をクリックします。
    6. Apply(適用)]をクリックしてから[OK]をクリックします。
  3. GPOをAdvanced Server AccessOUに割り当てます。
    1. [Group Policy Management(グループポリシー管理)]画面でAdvanced Server AccessOUを特定します。
    2. ドメインコントローラーを右クリックし、[Link an Existing GPO(既存のGPOをリンク)]をクリックします。
    3. Select GPO(GPOを選択)]ウィンドウで「Advanced Server Access - Certificate」というGPOを選択します。
    4. [OK]をクリックします。
  4. アカウントのスマートカード認証を必須に設定します。
    • パスワードなし認証を十分にテストするまでは、このポリシーをドメインコントローラーに適用しないでください。適用によってドメインからロックアウトされる可能性があります。
    • Okta orgがActive Directory委任認証を使用している場合、このポリシーをユーザーアカウントに適用すると、それらのアカウントはOkta Dashboardにアクセスできなくなります。
    1. Advanced Server AccessOUを右クリックし、[Create a GPO in this domain, and Link it here...(このドメインにGPOを作成してここにリンクを作成...)]を選択します。
    2. [New GPO(新規GPO)]ウィンドウでGPO名を「Advanced Server Access - 認証」と入力します。
    3. [OK]をクリックします。
    4. コンソールツリーでComputer Configuration(コンピューター構成)\Policies(ポリシー)\Windows Settings(Windows設定)\Security Settings(セキュリティ設定)\Local Policies(ローカルポリシー)\Security Options(セキュリティオプション)に移動します。
    5. Interactive logon: Require Windows Hello for Business or smart card(インタラクティブログオン:ビジネスまたはスマートカードではWindows Helloを必須とする)]をダブルクリックします。
      注:Windowsの一部のバージョンでは、代わりに[Interactive logon: Require smart card(インタラクティブログオン:スマートカードを必須とする)]が使用されます。
    6. プロパティウィンドウの[Define this policy setting(このポリシー設定を定義する)]を選択します。
    7. Enabled(有効)]を選択します。
      警告:パスワードなし認証を十分にテストするまでは、スマートカード認証をドメインコントローラーに適用しないでください。適用によってチームがドメインからロックアウトされる可能性があります。
    8. Apply(適用)]をクリックしてから[OK]をクリックします。

次の手順

証明書をActive Directory接続に追加する