資格情報の移動を使用すると、アプリケーションの状態や構成情報とは別に、証明書と秘密キーを Active Directory ドメイン サービス (AD DS) に保存できます。
資格情報の移動のしくみ
資格情報の移動では、既存のログオンと自動登録メカニズムを使用して、ユーザーがログオンするたびに、証明書とキーがローカル コンピューターに安全にダウンロードされます。また、必要に応じて、これらの資格情報はユーザーがログオフするときに削除されます。さらに、証明書を更新した場合や、ユーザーが複数のコンピューターに一度にログオンした場合など、どのような状況でもこれらの資格情報の整合性が維持されます。
次の手順は、デジタル資格情報の移動のしくみを示しています。
-
Active Directory ドメインに接続されたクライアント コンピューターにユーザーがログオンします。
-
ログオン プロセスの一部として、資格情報の移動のグループ ポリシーがユーザーのコンピューターに適用されます。
-
資格情報の移動を初めて使用する場合は、クライアント コンピューター上のユーザーのストアに保存されている証明書が AD DS にコピーされます。
-
ユーザー証明書が既に AD DS に存在する場合は、クライアント コンピューター上のユーザーの証明書ストアに保存されている証明書と、AD DS に保存されているそのユーザーの証明書が比較されます。
-
ユーザー証明書ストアにある証明書が最新のものである場合、それ以上の処理は行われません。ただし、より新しいユーザー証明書が AD DS に保存されている場合は、それらの資格情報がクライアント コンピューターにコピーされます。より新しいユーザー証明書がクライアント コンピューターに保存されている場合は、それらの資格情報が AD DS にコピーされます。
-
追加の証明書がクライアント コンピューターで必要な場合、未解決の証明書自動登録要求が処理されます。
注 新しく発行された証明書はクライアント コンピューターの証明書ストアに保存され、AD DS にレプリケートされます。
-
ユーザーが、同じドメインに接続されている別のクライアント コンピューターにログオンすると、同じグループ ポリシー設定が適用され、資格情報が再度 AD DS からレプリケートされます。資格情報の移動時には、AD DS に加え、ユーザーがログオンしているすべてのクライアント コンピューター間で証明書と秘密キーが同期され、競合が解決されます。
重要 複数ドメイン環境、および複数のドメイン コントローラーが接続されたドメインでは、あるドメイン コントローラーに対してユーザー ID を確認する証明書をコンピューター上で発行し、その直後に、ユーザーが、それ以外のドメイン コントローラーを使ってネットワークにログオンした場合、資格情報をすぐに利用できないことがあります。2 つのドメインまたはドメイン コントローラー間でレプリケーションが完了しないと、資格情報を利用できるようになりません。
-
ユーザー証明書の有効期限が切れると、その古い証明書は、コンピューター上のユーザーのプロファイルと AD DS に自動的にアーカイブされます。
資格情報の移動が行われるのは、ユーザーのローカル証明書ストアにある秘密キーまたは証明書が変更されたとき、ユーザーが自分のコンピューターをロックまたはロック解除したとき、およびグループ ポリシーが更新されたときです。
ローカル コンピューター上のコンポーネント間、およびローカル コンピューターと AD DS 間で行われる証明書関連のすべての通信は、署名され、暗号化されます。