これらの設定を使用して、ピア コンピューターの認証方法を指定します。1 番目の認証方法は、インターネット プロトコル セキュリティ (IPsec) ネゴシエーションのメイン モード フェーズで実行されます。

1 番目の認証で使用する方法を複数指定できます。方法は、指定した順序で試行されます。最初に成功した方法が使用されます。

このダイアログ ボックスで使用できる認証方法の詳細については、Windows でサポートされる IPsec のアルゴリズムと認証方法に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?linkid=129230) を参照してください。

このダイアログ ボックスを表示するには

  • システム全体の既定の設定を変更する場合は、次の操作を実行します。

    1. セキュリティが強化された Windows ファイアウォール MMC スナップインの [概要] で、[Windows ファイアウォールのプロパティ] をクリックします。

    2. [IPsec の設定] タブをクリックし、[IPsec 既定] の [カスタマイズ] をクリックします。

    3. [認証方法] で [詳細設定] をクリックし、[カスタマイズ] をクリックします。

    4. [1 番目の認証] で認証方法を選択し、[編集] または [追加] をクリックします。

  • 新しい接続セキュリティの規則を作成する場合は、次の操作を実行します。

    1. セキュリティが強化された Windows ファイアウォール MMC スナップインで、[接続セキュリティの規則] を右クリックし、[新しい規則] をクリックします。

    2. [規則の種類] ページで、[認証の除外] 以外の種類を選択します。

    3. [認証方法] ページで [詳細設定] を選択し、[カスタマイズ] をクリックします。

    4. [1 番目の認証] で認証方法を選択し、[編集] または [追加] をクリックします。

  • 既存の接続セキュリティの規則を変更する場合は、次の操作を実行します。

    1. セキュリティが強化された Windows ファイアウォール MMC スナップインで、[接続セキュリティの規則] をクリックします。

    2. 変更する接続セキュリティの規則をダブルクリックします。

    3. [認証] タブをクリックします。

    4. [方法] で [詳細設定] をクリックし、[カスタマイズ] をクリックします。

    5. [1 番目の認証] で認証方法を選択し、[編集] または [追加] をクリックします。

コンピューター (Kerberos V5)

この方法を使用して、同じドメイン内または信頼関係がある別のドメイン内にコンピューター アカウントを持つピア コンピューターを認証できます。

コンピューター (NTLMv2)

NTLMv2 は、同じドメイン内または信頼関係がある別のドメイン内にコンピューター アカウントを持つピア コンピューターを認証する、もう 1 つの方法です。

以下の証明機関 (CA) 発行のコンピューター証明書

外部ビジネス パートナーと通信したり、Kerberos Version 5 認証プロトコルを実行しないコンピューターを使用したりする状況では、公開キー証明書を使用する必要があります。こうした状況では、少なくとも 1 つの信頼されたルート CA がネットワーク上に構成されているか、ネットワークを介してこの CA にアクセスできる必要があります。また、クライアント コンピューターに、関連付けられたコンピューター証明書が存在する必要があります。

署名アルゴリズム

証明書を暗号で保護する場合に使用する署名アルゴリズムを指定します。

RSA (既定)

RSA パブリック キー暗号アルゴリズムを使用して証明書に署名する場合は、このオプションをオンにします。

ECDSA-P256

ECDSA (Elliptic Curve Digital Signature Algorithm) を 256 ビットのキー強度で使用して証明書に署名する場合は、このオプションをオンにします。

ECDSA-P384

ECDSA を 384 ビットのキー強度で使用して証明書に署名する場合は、このオプションをオンにします。

証明書ストアの種類

証明書を配置するストアを特定することによって、証明書の種類を指定します。

ルート CA (既定)

証明書がルート CA によって発行され、ローカル コンピューターの信頼されたルート証明機関証明書ストアに格納される場合は、このオプションをオンにします。

中間 CA

証明書が中間 CA によって発行され、ローカル コンピューターの中間証明機関証明書ストアに格納される場合は、このオプションをオンにします。

正規の証明書のみを受け入れる

このオプションは、コンピューター証明書の使用を、正常性証明書としてマークされたものだけに制限します。正常性証明書は、ネットワーク アクセス保護 (NAP) 展開のサポートのために、CA が発行します。NAP では、正常性ポリシーを定義および強制適用することができます。これにより、ウイルス対策ソフトウェアが使用されていないコンピューターや最新のソフトウェア更新プログラムが適用されていないコンピューターなど、ネットワーク ポリシーに準拠していないコンピューターがネットワークにアクセスする可能性が低くなります。NAP を実装するには、サーバー コンピューターとクライアント コンピューターの両方で NAP の設定を構成する必要があります。Microsoft 管理コンソール (MMC) スナップインである NAP クライアント管理を使うと、クライアント コンピューターの NAP の設定を簡単に構成できます。詳細については、NAP MMC スナップインのヘルプを参照してください。この方法を使用するには、ドメイン内に NAP サーバーをセットアップする必要があります。

アカウントのマッピングで証明書を有効にする

IPsec の証明書とアカウントのマッピングを有効にすると、インターネット キー交換 (IKE) プロトコルおよび認証済み IP (AuthIP) プロトコルは、コンピューター証明書を Active Directory ドメインまたはフォレスト内のコンピューター アカウントと関連付け (マッピングし)、コンピューター セキュリティ グループの一覧を含むアクセス トークンを取得します。この処理によって、IPsec ピアが提供する証明書がドメイン内のアクティブなコンピューター アカウントに対応するようになり、このコンピューターは証明書を使用できるようになります。

証明書とアカウントのマッピングは、そのマッピングを実行するコンピューターと同じフォレスト内にあるコンピューター アカウントにのみ使用できます。有効な証明書チェーンを受け付けるだけの認証よりも、より強力な認証方法を提供します。たとえば、この機能を使用して、同じフォレスト内のコンピューターへのアクセスを制限できます。ただし、証明書とアカウントのマッピングでは、特定の信頼されるコンピューターが必ず IPsec アクセスを許可されるとは限りません。

Active Directory ドメイン サービス (AD DS) 展開に統合されていない公開キー基盤 (PKI) から証明書を受け取っている場合には特に、証明書とアカウントのマッピングが便利です。たとえば、ビジネス パートナーが Microsoft 以外のプロバイダーから証明書を取得する場合などです。証明書を特定のルート CA のドメイン コンピューター アカウントにマップするように、IPsec ポリシー認証方法を構成することができます。また、1 つの CA から発行されたすべての証明書を 1 つのコンピューター アカウントにマップすることもできます。これにより、多くのフォレストが存在し、それぞれが単一の内部ルート CA に基づいて自動登録を実行する環境では、IKE 証明書認証を使用して、IPsec アクセスを許可されるフォレストを制限できます。証明書とアカウントのマッピングが適切に処理されていないと、認証に失敗し、IPsec で保護されている接続がブロックされます。

[事前共有キー (推奨されません)]

認証に事前共有キーを使用できます。これは、2 人のユーザーの間であらかじめ決められ、共有されている共通キーです。通信の両側では、この事前共有キーを使用できるように IPsec を手動で構成しなければなりません。セキュリティのネゴシエーション時に、情報は共有キーを使って暗号化してから転送され、受信側で同じキーを使って暗号化が解除されます。受信者が情報の暗号化を解除できた場合、ID は認証されたものと見なされます。

注意
  • 事前共有キーによる方法は相互運用を目的に提供され、IPsec 標準に準拠しています。事前共有キーはテスト用途のみに使用してください。認証キーが IPsec ポリシーに保護されない状態で格納されるため、事前共有キーの認証を常に使用することはお勧めできません。
  • メイン モード認証で事前共有キーを使用した場合は、2 番目の認証を使用できません。

関連項目

目次