翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Managed Microsoft AD ディレクトリのセキュリティ設定の編集
AWS Managed Microsoft AD の詳細なディレクトリ設定は、運用ワークロードを増やすことなく、コンプライアンスとセキュリティの要件を満たすように設定できます。ディレクトリ設定では、ディレクトリで使用されるプロトコルと暗号のセキュアチャネル設定を更新できます。たとえば、RC4 や DES などの個々のレガシー暗号、および SSL 2.0/3.0 や TLS 1.0/1.1 などのプロトコルを柔軟に無効にできます。 AWS マネージド Microsoft AD は、ディレクトリ内のすべてのドメインコントローラーに設定をデプロイし、ドメインコントローラーの再起動を管理し、追加の をスケールアウトまたはデプロイするときにこの設定を維持します AWS リージョン。使用できるすべての設定については、「[ディレクトリセキュリティ設定のリスト](#list-ds-settings)」を参照してください。
## ディレクトリセキュリティ設定の編集
任意のディレクトリ設定を構成および編集することができます。
**ディレクトリ設定を編集するには**
1. AWS マネジメントコンソールにサインインし、 で Directory Service コンソールを開きます[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。
1. **[Directories]** (ディレクトリ) ページで、ディレクトリ ID を選択します。
1. [**Networking & security**] (ネットワークとセキュリティ) で、[**Directory settings**] (ディレクトリ設定) を見つけ、[**Edit settings**] (設定の編集) を選択します。
1. [**Edit settings**] (設定の編集) で、編集したい設定の [**Value**] (値) を変更します。設定を編集すると、そのステータスは **[Default]** (デフォルト) から **[Ready to Update]** (更新準備完了) に変わります。以前に設定を編集したことがある場合、そのステータスは **[Updated]** (更新済み) から **[Ready to Update]** (更新準備完了) に変わります。次に、**[Review]** (確認) を選択します。
1. [**Review and update settings**] (設定の確認と更新) で、[**Directory settings**] (ディレクトリ設定) を調べ、新しい値がすべて正しいことを確認します。設定にその他の変更を加えたい場合は、[**Edit settings**] (設定の編集) を選択します。変更を加え、新しい値を実装する準備ができたら、**[設定を更新]** を選択します。次に、ディレクトリ ID ページに戻ります。
**注記**
**[Directory settings]** (ディレクトリ設定) で、更新された設定の **[Status]** (ステータス) を確認できます。設定が実装されている間、**[Status]** (ステータス) には **[Updating]** (更新中) と表示されます。設定で **[Status]** (ステータス) に **[Updating]** (更新中) と表示されている間は、他の設定を編集することができません。設定が編集内容で正常に更新された場合、**[Status]** (ステータス) に **[Updated]** (更新済み) と表示されます。設定が編集内容で更新されなかった場合、**[Status]** (ステータス) に **[Failed]** (失敗) と表示されます。
## ディレクトリセキュリティ設定が失敗した
設定の更新中にエラーが発生した場合、[**Status**] (ステータス) に [**Failed**] (失敗) と表示されます。失敗ステータスでは、設定は新しい値に更新されず、元の値が実装されたままになります。これらの設定の更新を再試行するか、以前の値に戻すことができます。
**更新が失敗した設定を解決するには**
+ **[Directory settings]** (ディレクトリ設定) で、**[Resolve failed settings]** (失敗した設定を解決する) を選択します。次に、以下のいずれかを行います。
+ 設定を失敗状態の前の値に戻すには、**[Revert failed settings]** (失敗した設定を元に戻す) を選択します。次に、ポップアップモーダルで **[Revert]** (元に戻す) を選択します。
+ ディレクトリ設定の更新を再試行するには、**[Retry failed settings]** (失敗した設定を再試行する) を選択します。失敗した更新を再試行する前に、ディレクトリ設定にさらに変更を加える場合は、**[Continue editing]** (編集を続行) を選択します。**[Review and retry failed updates]** (失敗した更新を確認して再試行する) で、**[Update settings]** (設定の更新) を選択します。
## ディレクトリセキュリティ設定のリスト
以下のリストは、使用可能なすべてのディレクトリセキュリティ設定のタイプ、設定名、API 名、可能性のある値、および設定の説明を示しています。
他のすべてのセキュリティ設定が無効な場合、TLS 1.2 と AAES 256/256 がデフォルトのディレクトリセキュリティ設定です。これらを無効にすることはできません。
****
- **認証プロトコル**
- **設定名:** NTLM V1 / **API 名:** NTLM\_V1 / **考えられる値:** Enable/Disable (有効/無効) / **設定の説明:** Active Directory ドメインコントローラーのクライアントに対して NTLM V1 認証を有効または無効にします。
- **設定名:** NTLM セキュリティサポートプロバイダー (SSP) セッションセキュリティ / **API 名:** NTLM\_SSP\_SESSION\_SECURITY / **考えられる値:** Enable/Disable (有効/無効) / **設定の説明:** NTLM SSP セッションセキュリティを有効または無効にして、Active Directory ドメインコントローラーで NTLM 認証セッションの暗号化と署名を適用します。
- **暗号化**
- **設定名:** FIPS アルゴリズムポリシー
- **API 名:** FIPS\_ALGORITHM\_POLICY
- **考えられる値:** Enable/Disable (有効/無効)
- **設定の説明:** FIPS アルゴリズムポリシーを有効または無効にして、Active Directory のデータ保護に FIPS 準拠の暗号化アルゴリズムを適用します。
- **ネットワーク強化パス**
- **設定名:** UNC 強化パス: Netlogon / **API 名:** UNC\_HARDENED\_PATHS\_NETLOGON / **考えられる値:** 最大セキュリティ、本人確認のみ、改ざん防止のみ、暗号化のみ、整合性のある認証、暗号化による認証、安全なデータ、保護なし / **設定の説明:** NETLOGON 共有への UNC 接続のセキュリティ要件を設定します。[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
- **設定名:** UNC で強化されたパス: SYSVOL / **API 名:** UNC\_HARDENED\_PATHS\_SYSVOL / **考えられる値:** 最大セキュリティ、本人確認のみ、改ざん防止のみ、暗号化のみ、整合性のある認証、暗号化による認証、安全なデータ、保護なし / **設定の説明:** SYSVOL 共有への UNC 接続のセキュリティ要件を設定します。[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
- **証明書ベースの認証**
- **設定名:** 証明書バックデート補正 / **API 名:** CERTIFICATE\_BACKDATING\_COMPENSATION / **考えられる値:** 年: 0〜50
月: 0〜11
日: 0〜30
時間: 0〜23
分: 0~59
秒: 0~59 / **設定の説明:** 証明書が Active Directory のユーザーよりも古いものであり、引き続き Active Directory での認証に使用できる期間を示す値を指定します。デフォルト値は 10 分です。この値は 1 秒から 50 年の間で設定できます。
この設定を構成するには、「**強力な証明書バインディングの強制**」の「**互換性**」タイプを選択する必要があります。
詳細については、Microsoft Support ドキュメントの「[KB5014754 - Windows ドメインコントローラーでの証明書ベースの認証の変更](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)」を参照してください。
- **設定名:** 証明書の強力な強制 / **API 名:** CERTIFICATE\_STRONG\_ENFORCEMENT / **考えられる値:** 互換性、完全適用 / **設定の説明:** 次のいずれかの強制タイプを指定します。[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
詳細については、Microsoft Support ドキュメントの「[KB5014754 - Windows ドメインコントローラーでの証明書ベースの認証の変更](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)」を参照してください。
- **セキュアチャネル: 暗号**
- **設定名:** AES 128/128 / **API 名:** AES\_128\_128 / **考えられる値:** Enable/Disable (有効/無効) / **設定の説明:** ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために AES 128/128 暗号による暗号化を有効または無効にします。
- **設定名:** DES 56/56 / **API 名:** DES\_56\_56 / **考えられる値:** Enable/Disable (有効/無効) / **設定の説明:** ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために DES 56/56 暗号による暗号化を有効または無効にします。
- **設定名:** RC2 40/128 / **API 名:** RC2\_40\_128 / **考えられる値:** Enable/Disable (有効/無効) / **設定の説明:** ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために RC2 40/128 暗号による暗号化を有効または無効にします。
- **設定名:** RC2 56/128 / **API 名:** RC2\_56\_128 / **考えられる値:** Enable/Disable (有効/無効) / **設定の説明:** ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために RC2 56/128 暗号による暗号化を有効または無効にします。
- **設定名:** RC2 128/128 / **API 名:** RC2\_128\_128 / **考えられる値:** Enable/Disable (有効/無効) / **設定の説明:** ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために RC2 128/128 暗号による暗号化を有効または無効にします。
- **設定名:** RC4 40/128 / **API 名:** RC4\_40\_128 / **考えられる値:** Enable/Disable (有効/無効) / **設定の説明:** ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために RC4 40/128 暗号による暗号化を有効または無効にします。
- **設定名:** RC4 56/128 / **API 名:** RC4\_56\_128 / **考えられる値:** Enable/Disable (有効/無効) / **設定の説明:** ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために RC4 56/128 暗号による暗号化を有効または無効にします。
- **設定名:** RC4 64/128 / **API 名:** RC4\_64\_128 / **考えられる値:** Enable/Disable (有効/無効) / **設定の説明:** ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために RC4 64/128 暗号による暗号化を有効または無効にします。
- **設定名:** RC4 128/128 / **API 名:** RC4\_128\_128 / **考えられる値:** Enable/Disable (有効/無効) / **設定の説明:** ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために RC4 128/128 暗号による暗号化を有効または無効にします。
- **設定名:** Triple DES 168/168 / **API 名:** 3DES\_168\_168 / **考えられる値:** Enable/Disable (有効/無効) / **設定の説明:** ディレクトリ内のドメインコントローラー間の安全なチャネル通信のために Triple DES 168/168 暗号による暗号化を有効または無効にします。
- **セキュアチャネル: プロトコル**
- **設定名:** PCT 1.0 / **API 名:** PCT\_1\_0 / **考えられる値:** Enable/Disable (有効/無効) / **設定の説明:** ディレクトリ内のドメインコントローラーでの安全なチャネル通信 (サーバーとクライアント) のために PCT 1.0 プロトコルを有効または無効にします。
- **設定名:** SSL 2.0 / **API 名:** SSL\_2\_0 / **考えられる値:** Enable/Disable (有効/無効) / **設定の説明:** ディレクトリ内のドメインコントローラーでの安全なチャネル通信 (サーバーとクライアント) のために SSL 2.0 プロトコルを有効または無効にします。
- **設定名:** SSL 3.0 / **API 名:** SSL\_3\_0 / **考えられる値:** Enable/Disable (有効/無効) / **設定の説明:** ディレクトリ内のドメインコントローラーでの安全なチャネル通信 (サーバーとクライアント) のために SSL 3.0 プロトコルを有効または無効にします。
- **設定名:** TLS 1.0 / **API 名:** TLS\_1\_0 / **考えられる値:** Enable/Disable (有効/無効) / **設定の説明:** ディレクトリ内のドメインコントローラーでの安全なチャネル通信 (サーバーとクライアント) のために TLS 1.0 プロトコルを有効または無効にします。
- **設定名:** TLS 1.1 / **API 名:** TLS\_1\_1 / **考えられる値:** Enable/Disable (有効/無効) / **設定の説明:** ディレクトリ内のドメインコントローラーでの安全なチャネル通信 (サーバーとクライアント) のために TLS 1.1 プロトコルを有効または無効にします。