これらの設定を使用して、ピア コンピューター上のユーザー アカウントの認証方法を指定します。コンピューターの正常性証明書がコンピューターに必要であることを指定することもできます。2 番目の認証方法は、インターネット プロトコル セキュリティ (IPsec) ネゴシエーションのメイン モード フェーズの拡張モードで、認証済み IP (AuthIP) によって実行されます。
この認証で使用する方法を複数指定できます。方法は、指定した順序で試行されます。最初に成功した方法が使用されます。
このダイアログ ボックスで使用できる認証方法の詳細については、
 | このダイアログ ボックスを表示するには |
システム全体の既定の設定を変更する場合は、次の操作を実行します。
- セキュリティが強化された Windows ファイアウォール MMC スナップインのナビゲーション ウィンドウで [セキュリティが強化された Windows ファイアウォール] をクリックし、[概要] の [Windows ファイアウォールのプロパティ] をクリックします。
- [IPsec の設定] タブをクリックし、[IPsec 既定] の [カスタマイズ] をクリックします。
- [認証方法] で [詳細設定] をクリックし、[カスタマイズ] をクリックします。
- [2 番目の認証] で認証方法を選択し、[編集] または [追加] をクリックします。
- セキュリティが強化された Windows ファイアウォール MMC スナップインのナビゲーション ウィンドウで [セキュリティが強化された Windows ファイアウォール] をクリックし、[概要] の [Windows ファイアウォールのプロパティ] をクリックします。
新しい接続セキュリティの規則を作成する場合は、次の操作を実行します。
- セキュリティが強化された Windows ファイアウォール MMC スナップインのナビゲーション ウィンドウで、[接続セキュリティの規則] を右クリックし、[新しい規則] をクリックします。
- [規則の種類] ページで、[認証の除外] 以外の種類を選択します。
- [認証方法] ページで [詳細設定] を選択し、[カスタマイズ] をクリックします。
- [2 番目の認証] で認証方法を選択し、[編集] または [追加] をクリックします。
- セキュリティが強化された Windows ファイアウォール MMC スナップインのナビゲーション ウィンドウで、[接続セキュリティの規則] を右クリックし、[新しい規則] をクリックします。
既存のセキュリティ規則を変更する場合、次の手順を実行します。
- セキュリティが強化された Windows ファイアウォール MMC スナップインのナビゲーション ウィンドウで、[接続セキュリティの規則] をクリックします。
- 変更する接続セキュリティの規則をダブルクリックします。
- [認証] タブをクリックします。
- [方法] で [詳細設定] をクリックし、[カスタマイズ] をクリックします。
- [2 番目の認証] で認証方法を選択し、[編集] または [追加] をクリックします。
- セキュリティが強化された Windows ファイアウォール MMC スナップインのナビゲーション ウィンドウで、[接続セキュリティの規則] をクリックします。
ユーザー (Kerberos V5)
この方法では、同じドメイン内または信頼関係がある別のドメイン内にあるリモート コンピューターにログオンしているユーザーを認証できます。ログオンしているユーザーにドメイン アカウントがあり、コンピューターが同じフォレスト内のドメインに属している必要があります。
ユーザー (NTLMv2)
NTLMv2 は、もう 1 つの認証方法で、同じドメインに属するリモート コンピューターにログオンしているユーザー、またはローカル コンピューターのドメインと信頼関係があるドメインに属するリモート コンピューターにログオンしているユーザーを認証するためのものです。ユーザー アカウントとコンピューターが、同じフォレストを構成するドメインに属している必要があります。
ユーザー証明書
外部ビジネス パートナーと通信したり、Kerberos Version 5 認証プロトコルを実行しないコンピューターを使用したりする状況では、公開キー証明書を使用する必要があります。こうした状況では、少なくとも 1 つの信頼されたルート証明機関 (CA) がネットワーク上に構成されているか、ネットワークを介してこの CA にアクセスできる必要があります。また、クライアント コンピューターに、関連付けられたコンピューター証明書が存在する必要があります。この方法は、ユーザーが同じドメインに属さないか、または双方向の信頼関係を持たない別個のドメインに属し、Kerberos Version 5 を使用できない場合に便利です。
署名アルゴリズム
証明書を暗号で保護する場合に使用する署名アルゴリズムを指定します。
RSA (既定)
RSA パブリック キー暗号アルゴリズムを使用して証明書に署名する場合は、このオプションをオンにします。
ECDSA-P256
ECDSA (Elliptic Curve Digital Signature Algorithm) を 256 ビットのキー強度で使用して証明書に署名する場合は、このオプションをオンにします。
ECDSA-P384
ECDSA を 256 ビットのキー強度で使用して証明書に署名する場合は、このオプションをオンにします。
証明書ストアの種類
証明書を配置するストアを特定することによって、証明書の種類を指定します。
ルート CA (既定)
証明書がルート CA によって発行され、ローカル コンピューターの信頼されたルート証明機関証明書ストアに格納される場合は、このオプションをオンにします。
中間 CA
証明書が中間 CA によって発行され、ローカル コンピューターの中間証明機関証明書ストアに格納される場合は、このオプションをオンにします。
アカウントのマッピングで証明書を有効にする
IPsec の証明書とアカウントのマッピングを有効にすると、インターネット キー交換 (IKE) プロトコルおよび AuthIP プロトコルは、ユーザー証明書を Active Directory ドメインまたはフォレスト内のユーザー アカウントと関連付け (マッピングし)、ユーザー セキュリティ グループの一覧を含むアクセス トークンを取得します。この処理によって、IPsec ピアが提供する証明書がドメイン内のアクティブなユーザー アカウントに対応するようになり、このユーザーは証明書を使用できるようになります。
証明書とアカウントのマッピングは、そのマッピングを実行するコンピューターと同じフォレスト内にあるユーザー アカウントにのみ使用できます。有効な証明書チェーンを受け付けるだけの認証よりも、より強力な認証方法を提供します。たとえば、この機能を使用して、同じフォレスト内のユーザーへのアクセスを制限できます。ただし、証明書とアカウントのマッピングでは、特定の信頼されるユーザーが必ず IPsec アクセスを許可されるとは限りません。
Active Directory ドメイン サービス (AD DS) 展開に統合されていない公開キー基盤 (PKI) から証明書を受け取っている場合には特に、証明書とアカウントのマッピングが便利です。たとえば、ビジネス パートナーが Microsoft 以外のプロバイダーから証明書を取得する場合などです。証明書を特定のルート CA のドメイン ユーザー アカウントにマップするように、IPsec ポリシー認証方法を構成することができます。また、1 つの CA から発行されたすべての証明書を 1 つのユーザー アカウントにマップすることもできます。これにより、多くのフォレストが存在し、それぞれが単一の内部ルート CA に基づいて自動登録を実行する環境では、証明書認証を使用して、IPsec アクセスを許可されるフォレストを制限できます。証明書とアカウントのマッピングが適切に処理されていないと、認証に失敗し、IPsec で保護されている接続がブロックされます。
コンピューターの正常性証明書
指定した CA から発行され、ネットワーク アクセス保護 (NAP) 正常性証明書としてマークされている証明書が存在するコンピューターだけが、この接続セキュリティ規則を使用して認証できることを指定するには、このオプションを使用します。NAP では、正常性ポリシーを定義および強制適用することができます。これにより、ウイルス対策ソフトウェアが使用されていないコンピューターや最新のソフトウェア更新プログラムが適用されていないコンピューターなど、ネットワーク ポリシーに準拠していないコンピューターがネットワークにアクセスする可能性が低くなります。NAP を実装するには、サーバー コンピューターとクライアント コンピューターの両方で NAP の設定を構成する必要があります。詳細については、NAP MMC スナップインのヘルプを参照してください。この方法を使用するには、ドメイン内に NAP サーバーをセットアップする必要があります。
署名アルゴリズム
証明書を暗号で保護する場合に使用する署名アルゴリズムを指定します。
RSA (既定)
RSA パブリック キー暗号アルゴリズムを使用して証明書に署名する場合は、このオプションをオンにします。
ECDSA-P256
ECDSA (Elliptic Curve Digital Signature Algorithm) を 256 ビットのキー強度で使用して証明書に署名する場合は、このオプションをオンにします。
ECDSA-P384
ECDSA を 384 ビットのキー強度で使用して証明書に署名する場合は、このオプションをオンにします。
証明書ストアの種類
証明書を配置するストアを特定することによって、証明書の種類を指定します。
ルート CA (既定)
証明書がルート CA によって発行され、ローカル コンピューターの信頼されたルート証明機関証明書ストアに格納される場合は、このオプションをオンにします。
中間 CA
証明書が中間 CA によって発行され、ローカル コンピューターの中間証明機関証明書ストアに格納される場合は、このオプションをオンにします。
アカウントのマッピングで証明書を有効にする
IPsec の証明書とアカウントのマッピングを有効にすると、IKE プロトコルおよび AuthIP プロトコルは、証明書を Active Directory ドメインまたはフォレスト内のユーザーやコンピューター アカウントと関連付け (マッピングし)、セキュリティ グループの一覧を含むアクセス トークンを取得します。この処理によって、IPsec ピアが提供する証明書がドメイン内のアクティブなコンピューターまたはユーザー アカウントに対応するようになり、このアカウントは証明書を使用できるようになります。
証明書とアカウントのマッピングは、そのマッピングを実行するコンピューターと同じフォレスト内にあるアカウントにのみ使用できます。有効な証明書チェーンを受け付けるだけの認証よりも、より強力な認証方法を提供します。たとえば、この機能を使用して、同じフォレスト内のアカウントへのアクセスを制限できます。ただし、証明書とアカウントのマッピングでは、特定の信頼されるアカウントが必ず IPsec アクセスを許可されるとは限りません。
AD DS 展開に統合されていない PKI から証明書を受け取っている場合には特に、証明書とアカウントのマッピングが便利です。たとえば、ビジネス パートナーが Microsoft 以外の証明書プロバイダーから証明書を取得する場合などです。証明書を特定のルート CA のドメイン アカウントにマップするように、IPsec ポリシー認証方法を構成することができます。また、1 つの CA から発行されたすべての証明書を 1 つのコンピューターまたはユーザー アカウントにマップすることもできます。これにより、多くのフォレストが存在し、それぞれが単一の内部ルート CA に基づいて自動登録を実行する環境では、IKE 証明書認証を使用して、IPsec アクセスを許可されるフォレストを制限できます。証明書とアカウントのマッピングが適切に処理されていないと、認証に失敗し、IPsec で保護されている接続がブロックされます。