【Windows】遠隔操作の資格情報が機能しませんという警告をグループポリシーで解消する手順

ビジネス環境でWindowsPCを遠隔操作する際、「遠隔操作の資格情報が機能しません」という警告に直面することがあります。

この警告は、Windowsの認証設定やネットワークセキュリティポリシーの不一致が原因で発生し、業務の進行を妨げる可能性があります。

この記事では、グループポリシーを適切に設定することで、この警告メッセージを解消する具体的な手順を詳しく解説します。

「遠隔操作の資格情報が機能しません」警告の根本原因

この警告メッセージは、リモートデスクトップ接続やその他の遠隔操作ツールを使用する際に多く発生します。

主な原因は、接続元のクライアントPCと接続先のサーバーの間で、認証プロトコルに互換性がないことです。

特に、NTLM認証のセキュリティレベル設定が、この問題に深く関わっています。

Windows 11やWindows 10では、システムのセキュリティ強化に伴い、デフォルトの認証設定が厳格化されています。

これにより、古いバージョンのWindowsシステムや、異なる認証ポリシーを持つ環境への接続時に、資格情報エラーが発生しやすくなっています。

NTLM認証レベルとセキュリティポリシーの関係

NTLM認証とは、Windows環境で主に利用される認証プロトコルの一種です。

グループポリシーには「ネットワークセキュリティ: LAN Manager認証レベル」という重要な設定項目があります。

この設定は、認証時に使用するプロトコルの種類や、セッションセキュリティの最小要件を定義します。

クライアントPCがサーバーへの接続を試みる際、クライアントとサーバーの認証レベルが合致しないと、認証に失敗します。

例えば、クライアントがNTLMv2認証のみを要求しているにもかかわらず、サーバーがNTLMv1しかサポートしていない場合に問題が発生します。

このポリシーを適切に調整することで、認証プロトコルの不一致を解消し、遠隔操作を可能にできます。

Windowsのバージョンが上がるにつれて、よりセキュアなNTLMv2認証が推奨されていますが、互換性のために古い認証プロトコルもサポートする必要があります。

グループポリシーを編集して警告を解消する手順

この手順はWindows 11を基準に説明します。

Windows 10でも同様の操作で対応できますが、一部メニューの表記が異なる場合があります。

グループポリシーの変更はシステム全体に影響を与えるため、慎重に実施してください。

ローカルグループポリシーエディターを開く

1. 「ファイル名を指定して実行」を開く
   WindowsキーとRキーを同時に押します。これにより「ファイル名を指定して実行」ダイアログボックスが表示されます。
2. グループポリシーエディターを起動する
   「名前」ボックスに gpedit.msc と入力し、Enterキーを押すか「OK」ボタンをクリックします。ローカルグループポリシーエディターが起動します。

ネットワークセキュリティポリシーを変更する

1. ポリシーのパスに移動する
   ローカルグループポリシーエディターの左側ペインで、「コンピューターの構成」を展開します。次に「Windowsの設定」を展開し、「セキュリティの設定」を展開します。さらに「ローカルポリシー」を展開し、「セキュリティオプション」をクリックします。
2. 対象のポリシーを探す
   右側ペインに表示されるポリシー項目の中から、「ネットワークセキュリティ: LAN Manager認証レベル」という項目を探し、ダブルクリックしてプロパティを開きます。
3. 認証レベルを設定する
   「ネットワークセキュリティ: LAN Manager認証レベルのプロパティ」ウィンドウが表示されます。「ローカルセキュリティの設定」タブを選択します。ドロップダウンリストから「LMとNTLM応答を送信する (NTLMv2セッションセキュリティを使う場合はネゴシエートする)」を選択します。この設定は、幅広い互換性を提供し、古いシステムや異なる認証設定を持つ環境への接続を可能にします。
4. 設定を適用する
   「適用」ボタンをクリックし、次に「OK」ボタンをクリックしてプロパティウィンドウを閉じます。

グループポリシーの更新とPCの再起動

1. グループポリシーを強制更新する
   WindowsキーとRキーを同時に押して、「ファイル名を指定して実行」ダイアログボックスを開きます。cmd と入力し、Enterキーを押してコマンドプロンプトを起動します。
2. ポリシー更新コマンドを実行する
   コマンドプロンプトで gpupdate /force と入力し、Enterキーを押します。これにより、変更したグループポリシーが即座にシステムに適用されます。
3. PCを再起動する
   グループポリシーの変更を完全に反映させるため、PCを再起動します。スタートメニューから「電源」アイコンをクリックし、「再起動」を選択します。

警告が解消しない場合の追加チェック項目

上記の手順を試しても「遠隔操作の資格情報が機能しません」という警告が解消されない場合、他の要因が影響している可能性があります。

以下の追加チェック項目を確認してください。

グループポリシーの適用がうまくいかない場合

PCがドメイン環境に属している場合、ローカルグループポリシーよりもドメイングループポリシーが優先されます。

ドメインコントローラーで設定されたポリシーが、ローカルPCの設定を上書きしている可能性があります。

この場合、システム管理者に確認し、ドメインポリシーの変更を依頼するか、ドメインポリシーで同様の設定を適用してもらう必要があります。

適用されているグループポリシーの結果は、コマンドプロンプトで gpresult /r コマンドを実行することで確認できます。

このコマンドは、ユーザーとコンピューターに適用されているすべてのグループポリシーの一覧を表示します。

別の認証プロトコルが問題を起こしている場合

稀に、NTLM認証以外のプロトコル設定が遠隔操作に影響を与えることがあります。

特にドメイン環境では、Kerberos認証が主要な認証プロトコルとして使用されます。

Kerberos認証が正しく機能しない場合も、同様の資格情報エラーにつながることがあります。

この場合、Active Directoryのサービスプリンシパル名 SPN 設定や、DNSの名前解決設定を確認する必要があります。

システム時刻のずれもKerberos認証の失敗原因となるため、クライアントとサーバーの時刻同期も確認してください。

接続先のサーバー側にも設定が必要な場合

クライアント側の設定だけでなく、接続先のサーバー側で同様の認証レベル設定が必要なことがあります。

サーバー側の「ネットワークセキュリティ: LAN Manager認証レベル」も確認し、クライアントと互換性のある設定に調整してください。

特に、古いWindows Server OSへの接続では、サーバー側の設定が非常に重要です。

また、サーバー側でファイアウォールがリモートデスクトップ接続に使用するポート 3389 をブロックしている可能性も考えられます。

Windows Defender Firewallなどの設定を確認し、必要なポートが開いていることを確認してください。

NTLM認証レベルの主要な設定と特徴

グループポリシーで選択できる主なNTLM認証レベルの設定について、その特徴とセキュリティレベルを比較します。

認証レベル	主な特徴	互換性	セキュリティ
LMとNTLM応答を送信する	LM認証とNTLM認証の両方を使用する	最も高い。古いOSや非Windowsシステムとの互換性がある	最も低い。認証情報が盗聴されるリスクがある
LMとNTLM応答を送信する (NTLMv2セッションセキュリティを使う場合はネゴシエートする)	LMとNTLMを送信するが、NTLMv2を優先する	高い。多くの環境で互換性を保ちつつセキュリティを向上させる	中程度。NTLMv2が利用できればセキュリティが高い
NTLMv2応答のみを送信する	NTLMv2認証のみを使用する	低い。NTLMv2をサポートしないシステムとは接続できない	高い。最新のセキュリティ要件を満たす
NTLMv2応答のみを送信する (LMとNTLMを拒否)	NTLMv2認証のみを使用し、古い認証を完全に拒否する	最も低い。NTLMv2非対応システムとの接続を完全にブロックする	最も高い。非常にセキュアな環境向け

まとめ

この記事では、「遠隔操作の資格情報が機能しません」という警告を解消するため、グループポリシーの「ネットワークセキュリティ: LAN Manager認証レベル」を変更する手順を解説しました。

適切なNTLM認証レベルを設定することで、遠隔操作時の互換性問題を解決し、スムーズな業務継続が可能になります。

警告が解消しない場合は、ドメインポリシーの適用状況、Kerberos認証の設定、接続先サーバー側の設定、ファイアウォール設定も確認してみてください。

これらの設定を理解し適用することで、Windows環境での遠隔操作が安定して実施できるようになります。