22 件の質問
①を構成している GPO と、② を構成している GPO が別であれば、各クライアントで gpresult を実行するなどして、ポリシーが意図通り適用されているか確認するのがまず第一でしょう。
ネットワークアクセス:ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない というセキュリティオプションをGPOで設定したが、汎用資格情報に保存されてしまう
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
Anonymous
【環境】
AD:WindowsServer2016
クライアント:Windows10
【設定状況】
とある接続先へEdgeのIEモードで接続している。
接続した際はプロキシの認証ポップアップが出る(windowsセキュリティ ユーザーID,パスワード、資格情報を記憶するのチェックボックス)
①Edgeで開いた際に自動でEdgeIEモードへ遷移するようにGPO設定をしている
IEで開くサイトは、EdgeIEモードへ遷移するよう設定している。
コンピュータの構成>管理用テンプレート>MicrosoftEdge>Interne Explorer 統合を構成する→IEモード
コンピュータの構成>管理用テンプレート>MicrosoftEdge>エンタープライズモードサイトをリストを構成する→xmlファイルに接続先を記載
コンピュータの構成>管理用テンプレート>Windows コンポーネント/Interne Explorer>エンタープライズモードIEのWebサイト一覧を使用する→xmlファイルに接続先を記載
コンピュータの構成>管理用テンプレート>Windows コンポーネント/Interne Explorer>エンタープライズモードサイト一覧に含まれていない全てのサイトをMicrosoftEdgeに送信します
②資格情報を保存しないGPOを設定している
コンピュータの構成>ポリシー>Windowsの設定>セキュリティの設定>ローカルポリシー/セキュリティオプション>ネットワークアクセス ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない →有効
【動作状況】
いくつかのクライアントで、
接続先へアクセスした際にiexplore.exeのwindowsセキュリティ認証ポップアップが立ち上がってきて、資格情報を記憶するのチェックボックスにチェックをいれてアクセスをすると汎用情報に認証情報が登録されてしまい、
次回接続時にはその情報でアクセスするようになってしまうため、iexplore.exeのwindowsセキュリティ認証ポップアップがスルーされて立ち上がってこない状態。
しかしいくつかのクライアントでは、
汎用資格情報に認証情報が登録されていても
iexplore.exeのwindowsセキュリティ認証ポップアップが立ち上がってくる状態。
○知りたいこと
②を設定しているのになぜ汎用資格情報に登録されてしまうのか。
クライアントによって認証ポップアップの動作状況が異なる。どの設定の差異によるものなのかを見当つけたいが、わからない。
**モデレーター注**
この質問は Windows / Windows 10 / 設定 に投稿されましたが、内容から判断してこちらのカテゴリに移動いたしました。
適切なカテゴリに投稿すると、返信や回答が得られやすくなり、同じ質問を持つ他のユーザーの参考にもなります。
ロックされた質問。 この質問は、Microsoft サポート コミュニティから移行されました。 役に立つかどうかに投票することはできますが、コメントの追加、質問への返信やフォローはできません。 プライバシーを保護するために、移行された質問のユーザー プロファイルは匿名化されます。
{count} 件の投票
-
Anonymous
2023-11-13T05:24:51+00:00 -
Anonymous
2023-11-13T05:46:13+00:00 気になったので確認してみましたが、「ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない」ポリシーで保存が禁止されるのは Windows 資格情報と証明書に基づいた資格情報の2つで、汎用資格情報は無効にならない動作ですね。
プロキシに資格情報が送信される問題は、このポリシーとは別の話のようです。
-
Anonymous
2023-11-13T10:35:04+00:00 ②の
コンピュータの構成>ポリシー>Windowsの設定>セキュリティの設定>ローカルポリシー/セキュリティオプション>ネットワークアクセス ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない →有効
を設定しているグループポリシーAは、他にも色々な設定を入れています。
コンピュータの構成>ポリシー>管理用テンプレート>Windowsコンポーネント
配下で設定可能な、アプリからの各コンポーネントやデバイスへのアクセスを禁止する設定、windows updateの設定など、20項目ほどの設定をいれております。
いずれもコンピュータ構成の設定で、クライアント側でgpresultをした結果、
グループポリシーは適用されていることを確認しています。
他の設定項目では設定が反映された動作をしていることもあり、
ネットワークアクセス ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない →有効
が設定反映されていないのはGPOそのものが適用されていない、というわけではなさそうです。
-
Anonymous
2023-11-13T10:47:30+00:00 「ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない」ポリシーでは汎用資格情報は抑止不可ということですね。
ご確認いただきありがとうございます。
本件について確認を進める中で、「資格情報を記憶する」のチェックボックスを出ないようにすればよいという意見がありました。
>いくつかのクライアントで、
>接続先へアクセスした際にiexplore.exeのwindowsセキュリティ認証ポップアップが立ち上がってきて、資格情報を記憶するのチェックボックスにチェッ>クをいれてアクセスをすると汎用情報に認証情報が登録されてしまい、
>次回接続時にはその情報でアクセスするようになってしまうため、iexplore.exeのwindowsセキュリティ認証ポップアップがスルーされて立ち上がってこ>ない状態。
→「資格情報を記憶する」のチェックボックスを出ないようにすれば、チェックを入れて接続してしまうことはないので、汎用資格情報への登録を防ぐことが可能
>しかしいくつかのクライアントでは、
>汎用資格情報に認証情報が登録されていても
>iexplore.exeのwindowsセキュリティ認証ポップアップが立ち上がってくる状態。
→なぜこのような動作をするかはわからないが、認証ポップアップが立ち上がってきているため業務影響はない。
EdgeのIEモードにて特定サイトへ接続した際の、認証ポップアップは、
現在だと以下です。
資格情報を記憶するのチェックボックスが表示され、このままOKをしてしまうと、パスワード等が汎用資格情報に登録されてしまいます。
「ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない」ポリシーがきちんと有効化されている端末では、
以下のように資格情報を記憶するのチェックボックスが表示されないことを確認しました。
ですので
「ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない」ポリシーをきちんと有効化し、
チェックボックスが出ないようにしたいと思います。
やはり、②のGPOがクライアントに反映されない原因を調査することになりそうです。
-
Anonymous
2023-11-13T13:36:05+00:00 そこのチェックボックスはこちらの設定かな。
