ADサーバーのグループポリシーを構成する

注:

販売終了のお知らせ

2026年5月1日をもってOktaはAdvanced Server Accessの販売・更新を終了します。既存のお客様はサービスを維持するために、次回の更新予定日から1年以内にOkta Privileged Accessに移行していただく必要があります。

Okta Privileged Accessについて詳しくは、よくある質問をご覧ください。

証明書をActive Directory（AD）にインポートした後に、サーバーリソースをAdvanced Server Accessで利用できるように構成する必要があります。OktaAdvanced Server Accessによって保護されるすべてのサーバーを、ドメインのその他のリソースから切り離された組織単位（OU）に配置することをお勧めします。これにより、OU内のドメインコントローラーとリソースを、グループポリシーオブジェクト（GPO）を使って一元的に管理できます。

注:

警告：パスワードレス認証を十分にテストするまでは、スマートカード認証をドメインコントローラーに適用しないでください。適用によってチームがドメインからロックアウトされる可能性があります。

開始する前に

タスクの開始

GPOを使って証明書を配布します。
1. ドメインコントローラーオブジェクトを右クリックし、このドメインにGPOを作成してここにリンクを作成...（Create a GPO in this domain, and Link it here...）を選択します。
2. 新規GPOウィンドウでGPO名をAdvanced Server Access - Certificate」と入力します。
3. OKをクリックします。
4. コンソールツリーでComputer Configuration\Policies\Windows Settings\Security Settings\Public Key Policiesに移動します。
5. 信頼された認証局（Trusted Root Certification Authorities）を右クリックし、インポート（Import）をクリックします。
6. 証明書インポートウィザードへようこそ（Welcome to the Certificate Import Wizard）の次へ（Next）をクリックします。
7. 事前に作成した証明書ファイルへのパスを指定し、次へ（Next）をクリックします。
8. すべての証明書を次のストアに配置する（Place all certificates in the following store）をクリックし、次へ（Next）をクリックします。
9. 情報を確認し、終了（Finish）をクリックします。
ネットワークレベルの認証を無効化します。
1. グループポリシー管理画面でAdvanced Server Access - Certificate」というGPOを特定します。
2. GPOを右クリックし、編集（Edit）をクリックします。
3. コンソールツリーでComputer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Securityに移動します。
4. リモート接続にはネットワークレベル認証によるユーザー認証を必要とする（Require user authentication for remote connections by using Network Level Authentication）（Require user authentication for remove connections by using Network Level Authentication）をダブルクリックします。
5. プロパティウィンドウの無効化（Disabled）をクリックします。
6. 適用（Apply）をクリックしてからOKをクリックします。
GPOをAdvanced Server AccessOUに割り当てます。
1. グループポリシー管理（［Group Policy Management）］画面でAdvanced Server AccessOUを特定します。
2. ドメインコントローラーを右クリックし、既存のGPOをリンク（Link an Existing GPO）をクリックします。
3. GPOを選択（Select GPO）ウィンドウでAdvanced Server Access - Certificate」というGPOを選択します。
4. OKをクリックします。
アカウントのスマートカード認証を必須に設定します。
注:
- パスワードレスを十分にテストするまでは、このポリシーをドメインコントローラーに適用しないでください。適用によってドメインからロックアウトされる可能性があります。
- Okta orgがActive Directory委任認証を使用している場合、このポリシーをユーザーアカウントに適用すると、それらのアカウントはOkta Dashboardにアクセスできなくなります。
1. Advanced Server AccessOUを右クリックし、このドメインにGPOを作成してここにリンクを作成...（Create a GPO in this domain, and Link it here...）を選択します。
2. 新規GPOウィンドウでGPO名をAdvanced Server Access - Authentication」と入力します。
3. OKをクリックします。
4. コンソールツリーでComputer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Optionsに移動します。
5. インタラクティブログオン：ビジネスまたはスマートカードではWindows Helloを必須とする（Interactive logon: Require Windows Hello for Business or smart card）をダブルクリックします。注：Windowsの一部のバージョンでは、代わりにインタラクティブログオン：スマートカードを必須とする（Interactive logon: Require smart card）が使用されます。
6. プロパティウィンドウのこのポリシー設定を定義する（Define this policy setting）を選択します。
7. 有効（Enabled）を選択します。警告：パスワードレス認証を十分にテストするまでは、スマートカード認証をドメインコントローラーに適用しないでください。適用によってチームがドメインからロックアウトされる可能性があります。
8. 適用（Apply）をクリックしてからOKをクリックします。

次の手順

証明書をAD接続に追加する