ADSelfService Plus ナレッジベース

ManageEngine > サポート > ADSelfService Plus ナレッジベース > FAQ > アドミンガイド > Windowsマシンのセキュリティを強化する方法
戻る

Windowsマシンのセキュリティを強化する方法

  • 作成日:2025年9月29日 | 更新日:2025年10月15日

本ナレッジでは、ADSelfService Plusを用いてWindowsマシンに多要素認証(MFA)を義務付ける方法を解説します。
※本ページは、本社ページ(How to harden security for Windows endpoints)を参照しております。

概要

ADSelfService Plusでは、管理者がMFAを用いて、インタラクティブログオン、UAC、マシンのロック解除、およびRDP接続時にWindowsマシンのセキュリティを強化できます。

Windows接続時におけるMFAのメリット
  • システムへのアクセスと接続を保護
    MFAを強制することで、Windowsマシンと機密ユーザを保護できます。
  • 攻撃を受けた際のラテラルムーブメントの抑止
    ログオン、UAC、RDPに対してMFAを強制することで、マシンが侵害された際の攻撃者の移動を制限し、侵害されたマシンから行われるすべての接続を保護します。
  • セキュリティ体制の強化
    マシンから行われる接続を保護することで、攻撃対象領域を減少させ組織のセキュリティを強化します。

必要なセキュリティレベルに基づいて、WindowsマシンへのログインおよびWindowsマシンからの接続を2種類の方法で保護できます。

  • ユーザーベースのMFA
  • マシンベースのMFA

 

ユーザーベースのMFA マシンベースのMFA
ユーザーベースのMFAは、ユーザーに対して設定されたポリシーに基づいてユーザーへ適用されます。 マシンベースのMFAは、機密性の高いマシンをMFAで保護し、
ポリシーベース(ユーザーベース)のMFAよりも優先されます。
ユーザーベースのMFAは、ドメイン内のマシンにアクセスするユーザーに適用されます。 マシンベースのMFAは、該当のマシンにアクセスする
すべてのユーザーにMFAが強制されます。
未登録のユーザーがマシンにログインする際や、マシン内からの
他の接続時に、MFAをスキップするよう設定できます。		 この設定を使用すると、ユーザーのポリシー
(ユーザーベースのMFA)によって、
MFAをスキップできる場合でも、マシンのログイン時やマシン内からの他の接続時にMFAを強制できます。
本設定は以下のどちらかに適用できます。
・登録済みユーザーのみ
・登録済みおよび未登録ユーザー		 本設定は、ユーザーの登録状態に関わらず、設定が
適用されたマシンにアクセスする際に強制されます。

 
上記の設定を個別または、組み合わせて使用することで、組織が必要とする最適なセキュリティレベルを実現できます。ユーザーベースおよびマシンベースのMFAの両方で求められる認証方法は、ポリシーに基づいてユーザーに割り当てられた認証方法に依存します。

Windowsセキュリティの強化

Windows向けのマシンベースのMFAによるセキュリティ強化を使用するには、エンドポイントMFAオプションの購入が必要です。詳細は、こちらのページをご確認ください。
ユーザーベースのMFA
ユーザーベースのMFAを設定する手順は以下の通りです。
  1. ADSelfService Plusに管理者としてログインします。
  2. [設定]タブ→[セルフサービス]→[多要素認証]に移動します。
  3. 「ポリシーの選択」ドロップダウンメニューから、ユーザーのWindowsにマシンログインMFAを適用する任意のポリシーを選択します。
  4. [詳細設定]→[エンドポイントMFA]に移動します。

  5. [マシンログインMFA]配下の、MFAを用いて保護するWindowsリソースを選択します。それぞれのオプションの詳細は、ポリシーの詳細設定をご確認ください。
  6. [保存]をクリックし、設定を適用します。
マシンベースのMFA

ユーザーの登録状態に関係なく、重要なまたは、機密性の高いWindowsマシンをMFAで保護する手順は以下の通りです。

  1. 管理者としてADSelfService Plusにログインします。
  2. [設定]タブ→[管理ツール]→[GINA/Mac/Linux (Ctrl+Alt+Del)]→[GINA/Mac/Linux のインストール]→[インストールされたコンピューター]に移動します。

  3. [ドメインの選択]ドロップダウンメニューから、保護したいマシンが所属するドメインを選択します。
  4. 画面中央右の[高度なマシンMFA設定]をクリックします。

  5. [WindowsMFA設定]で、MFAで保護するWindowsリソースを選択します。それぞれのオプションの詳細は、「Machine-based MFA」※本社ページ(英語)をご確認ください。
  6. [設定]をクリックし、設定を適用します。

オフラインMFA

WindowsマシンにマシンベースのMFAを適用後、オフラインMFAを設定することで、Windowsマシンがオフラインの際やADSelfService Plusサーバーに到達できない場合でも、マシンへログインできるようMFAを設定できます。詳細は、「オフラインMFA」をご確認ください。

このナレッジの総閲覧回数: 107

関連ナレッジ:

  1. カスタムスクリプトを使用している場合に実施する手順
  2. GINA/CPでできるwindowsログイン画面カスタマイズ機能
  3. BitLockerが設定されているクライアントPCでGINA/CPエージェントは利用できますか?
  4. AMSライセンスの有効期限切れの表示について

タグ: