パスワードの構文ルール

パスワード」タイプのポリシーで、システムにログオンするためのパスワードのルールを定義します。この設定は BitLocker で暗号化されているエンドポイントのログオン用パスワードには適用されません。BitLocker のパスワードの詳細は、PIN およびパスワードを参照してください。

パスワードには、数字、文字、および特殊文字 (+、-、; など) を含めることができます。ただし、新しいパスワードを発行するときは、ALT + <文字> キーの組み合わせを使用する文字を使用しないでください。この入力モードは、SafeGuard Power-On Authentication では使用できません。システムへのログオンに使用するパスワードのルールは、「パスワード」タイプのポリシーで定義します。

注: 強力なパスワードポリシーを施行する詳細は、セキュリティの設定についておよび「SafeGuard Enterprise 認証取得のための操作マニュアル (英語)」を参照してください。

SGN 資格情報プロバイダを一貫して使用していない限り、パスワードのルールや履歴の施行は保障されません。パスワードのルールは、SafeGuard Management Center か Active Directory のいずれか 1つのみで定義してください。

ポリシー設定 説明
パスワード
パスワードの最小の長さ ユーザーがパスワードを変更するときに、パスワードを最小何文字で構成する必要があるかを指定します。必要な値を直接入力するか、矢印ボタンを使用して数字を増減します。
パスワードの最大の長さ ユーザーがパスワードを変更するときに、パスワードを最大何文字で構成できるかを指定します。必要な値を直接入力するか、矢印ボタンを使用して数字を増減します。
文字の最小数

数字の最小数

特殊文字の最小数

これらの設定は、パスワードが文字のみ、数字のみ、または特殊文字のみで構成されることは許可されず、少なくとも 2つの組み合わせで構成される必要があることを指定します (15flower など)。ここでの設定は、最小パスワード長を 2 より大きく定義した場合のみに有効です。
キーボード行を禁止する 「123」または「qwe」などキーボード上で行として行として連続するキーを指します。キーボード上に左右にある最大 2文字を入力できます。連続するキー シーケンスは、キーボードの英数字部分のみを指します。
キーボード列を禁止する 「xsw2」または「3edc」など、キーボード上で列として連続するキーを指します (「xdr5」や「cft6」は違います)。単一のキーボード列内の上下にある最大 2文字を入力できます。キーボード列を禁止すると、これらのような組み合わせはパスワードとして拒否されます。連続するキー シーケンスは、キーボードの英数字部分のみを指します。
3文字以上の連続する文字を禁止する このオプションを有効にすると、次のキー シーケンスが禁止されます。
  • 昇順または降順の連続した 3つ以上の ASCII 文字 (「abc」または「cba」など)

  • 3つ以上の同じ ASCII 文字 (「aaa」や「111」)

パスワードと同じユーザー名を禁止する ユーザー名をパスワードとして使用できるかどうかを指定します。

はい: Windows ユーザー名とパスワードは違うものにする必要があります。

いいえ: ユーザーは、パスワードとして Windows ユーザー名を使用することができます。

禁止パスワードの一覧を使用する パスワードとして特定の文字列を使用できないようにするかどうかを指定します。文字列は、禁止パスワードの一覧 (.txt ファイルなど) に保存されます。
禁止パスワードの一覧 パスワードで使用できないようにする文字列を定義します。ユーザーが禁止パスワードを使用すると、エラー メッセージが表示されます。

SafeGuard Management Center のポリシー ナビゲーション ペインの「テキスト」で、禁止するパスワードの一覧を登録する必要があります。詳細は、ポリシーで使用する禁止パスワード一覧を作成するを参照してください。一覧は登録後のみに使用できます。

最大ファイル サイズ: 50 KB

対応している形式: Unicode

禁止パスワードを定義する

一覧内で、禁止パスワードは、改行によって区切ります。ワイルドカード: ワイルドカード文字「*」は、パスワードで 1文字以上の任意の文字列を表します。したがって、*123* は、123 を含むすべての文字列がパスワードとして禁止されることを意味します。

注:

  • 一覧にワイルドカードのみが含まれる場合、パスワードの変更を強制された後にユーザーはシステムにログオンできなくなります。

  • ユーザーにこのファイルへのアクセスを許可しないでください。

  • 禁止パスワードの一覧を使用する」オプションを有効にする必要があります。

大文字と小文字を区別する この設定は「禁止パスワードの一覧を使用する」および「パスワードと同じユーザー名を禁止する」のみで有効です。

例 1: 禁止パスワードの一覧に「board」と入力しました。「大文字と小文字を区別する」オプションを「はい」に設定すると、大文字/小文字が異なる PIN (BOARD や BoaRD など) は承諾されず、ログオンが拒否されます。

例 2: ユーザー名として「EMaier」を入力しました。「大文字と小文字を区別する」オプションを「はい」に設定し、「パスワードと同じユーザー名を禁止する」オプションを「いいえ」に設定すると、ユーザー EMaier は大文字/小文字を変更したユーザー名 (「emaier」や「eMaiER」など) をパスワードとして使用できません。

変更
パスワードの変更を許可するまでの日数 パスワードを変更できない期間を指定します。この設定は、ユーザーが一定の期間内に頻繁にパスワードを変更することを防止します。ユーザーが Windows によってパスワードの変更を強制された場合や、数日後にパスワードの期限が切れることを知らせる警告メッセージが表示された後でユーザーがパスワードを変更した場合、この設定は評価されません。

例:

ユーザー Miller が新しいパスワード (たとえば「13jk56」) を定義します。このユーザー (またはこのユーザーが割り当てられたグループ) の最小変更間隔は 5日間に指定されています。2日後、このユーザーはパスワードを「3jk56」に変更しようとします。ユーザーは 5日間が経過するまで、新しいパスワードを定義できないため、このパスワードの変更は拒否されます。

パスワードが期限切れになるまでの日数 このオプションを設定すると、設定されている期間が経過した後に、ユーザーは新しいパスワードを定義する必要があります。
期限切れの通知日数 (日前) パスワードの有効期限が切れる「n」日前に警告メッセージが表示され、ユーザーに「n」日が経過する前にパスワードを変更するように促します。または、ユーザーは、パスワードをすぐに変更することもできます。
全般
POA でパスワードを隠す パスワードを入力する際、入力した文字を非表示にするかどうかを指定します。有効にすると、POA でパスワードを入力する際に入力した内容がまったく表示されなくなります。無効な場合は、入力したパスワードがアスタリスクで表示されます。
パスワード履歴の長さ 以前に使用したパスワードをいつ再び使用できるようになるかを指定します。履歴の長さは「パスワードが期限切れになるまでの日数」の設定と組み合わせて定義してください。

例:

ユーザー Miller に対して、パスワード履歴の長さを 4、ユーザーがパスワードを変更しなければならない日数として 30日後が指定されています。ユーザー Miller は、現在、パスワード「Informatics」を使用してログオンしています。期限の 30日が経過すると、ユーザー Miller に対してパスワードの変更が求められます。ユーザー Miller は、新しいパスワードとして「Informatics」と入力しますが、このパスワードはすでに使用されているので新しいパスワードを入力する必要があることを示すエラー メッセージが表示されます。ユーザー Miller は 4回目のパスワード変更要求後まで (つまり、パスワード履歴の長さが 4)、パスワード「Informatics」を使用することはできません。

注: パスワード履歴の長さを 0 に設定した場合、ユーザーは古いパスワードを新しいパスワードとして設定できます。セキュリティ上の理由から、この設定の使用は極力避けてください。
他の SGN クライアントへのユーザーのパスワード同期
このフィールドは、複数の SafeGuard Enterprise エンドポイントを操作し、それらのエンドポイントのユーザーとして定義されているユーザーがパスワードを変更した場合に、パスワードを同期させる手順を指定します。以下のオプションから選択できます。
  • 低速 (ユーザーのログオンを待機)

    ユーザーが SafeGuard Enterprise エンドポイントでパスワードを変更し、そのユーザーが登録されている別のエンドポイントにログオンしようとする場合、まず SafeGuard Power-on Authentication で古いパスワードを使用してログオンする必要があります。パスワードの同期は、まず古いパスワードを使用してログオンした後のみに実行されます。

  • 高速 (マシンの接続を待機)

    ユーザーが SafeGuard Enterprise エンドポイントでパスワードを変更する場合、そのユーザーが登録されている別のエンドポイントとのパスワードの同期は、別のエンドポイントがサーバーへの接続を確立するとただちに実行されます。たとえば、エンドポイントのユーザーとして登録されている別のユーザーが、その間にエンドポイントにログオンした場合などです。