資格情報の移動を使用すると、アプリケーションの状態や構成情報とは別に、証明書と秘密キーを Active Directory ドメイン サービス (AD DS) に保存できます。

資格情報の移動のしくみ

資格情報の移動では、既存のログオンと自動登録メカニズムを使用して、ユーザーがログオンするたびに、証明書とキーがローカル コンピューターに安全にダウンロードされます。また、必要に応じて、これらの資格情報はユーザーがログオフするときに削除されます。さらに、証明書を更新した場合や、ユーザーが複数のコンピューターに一度にログオンした場合など、どのような状況でもこれらの資格情報の整合性が維持されます。

次の手順は、デジタル資格情報の移動のしくみを示しています。

  1. Active Directory ドメインに接続されたクライアント コンピューターにユーザーがログオンします。

  2. ログオン プロセスの一部として、資格情報の移動のグループ ポリシーがユーザーのコンピューターに適用されます。

  3. 資格情報の移動を初めて使用する場合は、クライアント コンピューター上のユーザーのストアに保存されている証明書が AD DS にコピーされます。

  4. ユーザー証明書が既に AD DS に存在する場合は、クライアント コンピューター上のユーザーの証明書ストアに保存されている証明書と、AD DS に保存されているそのユーザーの証明書が比較されます。

  5. ユーザー証明書ストアにある証明書が最新のものである場合、それ以上の処理は行われません。ただし、より新しいユーザー証明書が AD DS に保存されている場合は、それらの資格情報がクライアント コンピューターにコピーされます。より新しいユーザー証明書がクライアント コンピューターに保存されている場合は、それらの資格情報が AD DS にコピーされます。

  6. 追加の証明書がクライアント コンピューターで必要な場合、未解決の証明書自動登録要求が処理されます。

    新しく発行された証明書はクライアント コンピューターの証明書ストアに保存され、AD DS にレプリケートされます。

  7. ユーザーが、同じドメインに接続されている別のクライアント コンピューターにログオンすると、同じグループ ポリシー設定が適用され、資格情報が再度 AD DS からレプリケートされます。資格情報の移動時には、AD DS に加え、ユーザーがログオンしているすべてのクライアント コンピューター間で証明書と秘密キーが同期され、競合が解決されます。

    重要

    複数ドメイン環境、および複数のドメイン コントローラーが接続されたドメインでは、あるドメイン コントローラーに対してユーザー ID を確認する証明書をコンピューター上で発行し、その直後に、ユーザーが、それ以外のドメイン コントローラーを使ってネットワークにログオンした場合、資格情報をすぐに利用できないことがあります。2 つのドメインまたはドメイン コントローラー間でレプリケーションが完了しないと、資格情報を利用できるようになりません。

  8. ユーザー証明書の有効期限が切れると、その古い証明書は、コンピューター上のユーザーのプロファイルと AD DS に自動的にアーカイブされます。

資格情報の移動が行われるのは、ユーザーのローカル証明書ストアにある秘密キーまたは証明書が変更されたとき、ユーザーが自分のコンピューターをロックまたはロック解除したとき、およびグループ ポリシーが更新されたときです。

ローカル コンピューター上のコンポーネント間、およびローカル コンピューターと AD DS 間で行われる証明書関連のすべての通信は、署名され、暗号化されます。


目次