安全でないゲストログオンを Intune で設定しようとするとムチャクチャ癖があって初心者には難解。Windows 10 Pro で試したことを順に書きます。
ローカル グループ ポリシー エディタ 上で初期状態の未構成の場合、レジストリ AllowInsecureGuestAuth の値を追加すると即座に反映される。
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters /v AllowInsecureGuestAuth /t REG_DWORD /d 1 /f
レジストリ AllowInsecureGuestAuth の値が1の状態で、Intune 上で無効にすると、ローカル グループ ポリシー エディタ 上では未構成のまま、レジストリ AllowInsecureGuestAuth の値は変化しないものの、無効になっている。つまりローカルコンピュータからは有効か未構成か無効か全くわからない。また、下記のコマンドの戻り値と推定される実態も一致しないことがあった。
Get-SmbClientConfiguration | Select EnableInsecureGuestLogons
Intune 上で未構成とした後、ローカル グループ ポリシー エディタ 上で有効にすると、レジストリ AllowInsecureGuestAuth の値が1のまま変化せず、有効になっている。ローカル グループ ポリシー エディタ 上で未構成にすると、有効になっている。レジストリ AllowInsecureGuestAuth を削除しても、有効になっている。レジストリ AllowInsecureGuestAuth を削除することで、初めて初期状態の未構成に戻ったと思われる。
というのは無効ではアクセスできないNASに関して、ローカル グループ ポリシー エディタ 上で初期状態の未構成の場合で、AllowInsecureGuestAuth の値を追加せずにアクセスできた機種と、AllowInsecureGuestAuth の値に1を追加しないとアクセスできない機種があったからだ。
グループ ポリシー エディタ 上で無効にしてしまうと、初期状態の未構成に戻すには、無効→有効→未構成に変えた上、AllowInsecureGuestAuth の値を削除ということになるので、グループ ポリシー エディタ側は初期状態の未構成のまま、AllowInsecureGuestAuth の値で管理したほうがわかりやすそうだ。
ただし、Enterprise と Pro・Home では挙動が違う可能性があるので注意が必要だ。
Microsoft:SMB2 と SMB3 のゲスト アクセスは、Windows では既定で無効になっています
Intune 上で安全でないゲストログオンを有効にしようとしてもメニューがないので、OMA-URIで指定することになる。
AllowInsecureGuestAuth(名前は任意)
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/EnableInsecureGuestLogons
整数
1
Microsoft:ポリシー CSP - LanmanWorkstation
ローカル グループ ポリシー エディタ 上で初期状態の未構成の場合、レジストリ AllowInsecureGuestAuth の値を追加すると即座に反映される。
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters /v AllowInsecureGuestAuth /t REG_DWORD /d 1 /f
レジストリ AllowInsecureGuestAuth の値が1の状態で、Intune 上で無効にすると、ローカル グループ ポリシー エディタ 上では未構成のまま、レジストリ AllowInsecureGuestAuth の値は変化しないものの、無効になっている。つまりローカルコンピュータからは有効か未構成か無効か全くわからない。また、下記のコマンドの戻り値と推定される実態も一致しないことがあった。
Get-SmbClientConfiguration | Select EnableInsecureGuestLogons
Intune 上で未構成とした後、ローカル グループ ポリシー エディタ 上で有効にすると、レジストリ AllowInsecureGuestAuth の値が1のまま変化せず、有効になっている。ローカル グループ ポリシー エディタ 上で未構成にすると、有効になっている。レジストリ AllowInsecureGuestAuth を削除しても、有効になっている。レジストリ AllowInsecureGuestAuth を削除することで、初めて初期状態の未構成に戻ったと思われる。
というのは無効ではアクセスできないNASに関して、ローカル グループ ポリシー エディタ 上で初期状態の未構成の場合で、AllowInsecureGuestAuth の値を追加せずにアクセスできた機種と、AllowInsecureGuestAuth の値に1を追加しないとアクセスできない機種があったからだ。
グループ ポリシー エディタ 上で無効にしてしまうと、初期状態の未構成に戻すには、無効→有効→未構成に変えた上、AllowInsecureGuestAuth の値を削除ということになるので、グループ ポリシー エディタ側は初期状態の未構成のまま、AllowInsecureGuestAuth の値で管理したほうがわかりやすそうだ。
ただし、Enterprise と Pro・Home では挙動が違う可能性があるので注意が必要だ。
Microsoft:SMB2 と SMB3 のゲスト アクセスは、Windows では既定で無効になっています
Intune 上で安全でないゲストログオンを有効にしようとしてもメニューがないので、OMA-URIで指定することになる。
AllowInsecureGuestAuth(名前は任意)
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/EnableInsecureGuestLogons
整数
1
Microsoft:ポリシー CSP - LanmanWorkstation
※コメント投稿者のブログIDはブログ作成者のみに通知されます