2026年4月に予定されているWindows 11のセキュリティアップデートにより、一部のPCでログインや認証が失敗する可能性があることが明らかになりました。
原因は、Microsoftがネットワーク認証プロトコル「Kerberos」のセキュリティを強化するために、暗号化方式の扱いを変更するためです
AES‑SHA1のみを使用するよう強制
このアップデートでは、Kerberosのデフォルト動作が変更され、ドメインコントローラーは暗号化方式が明示されていないアカウントに対して、AES‑SHA1のみを使用するようになります。
これまでfallbackとして使われていたRC4などの旧式暗号は利用できなくなるため、古い設定のまま運用している環境では認証エラーが発生する可能性があります。
特に影響が出やすいのは、以下のようなケースです。
- FSLogixを利用しており、ユーザープロファイルをSMB共有上に保存している
- Active Directoryの暗号化設定がnullまたはRC4のみになっている
- SMBアクセスにKerberos認証を使っている
この変更の影響を受けるのは、企業ネットワークや仮想デスクトップ環境(AVDなど)が大部分で、一般ユーザーが家庭で使うPCにはほぼ影響しません。もし該当する環境であっても、通常はIT管理者が事前に対応することで問題を回避できます。
Microsoftが示すタイムライン
Microsoftのスケジュールは次の通りです。
-
2026年4月: 強制モードがデフォルトに
AES‑SHA1のみが使用され、必要に応じて「Auditモード」へ手動で戻すことが可能(7月まで)。 -
2026年7月: Auditモード廃止
完全に強制モードのみとなり、旧方式への後戻りは不可。
MicrosoftはIT管理者に対し、SMBアクセスに関係するADオブジェクトがRC4を使用していないかをチェックし、必要に応じてAES‑SHA1へ更新し、認証が正常に行われるか事前に検証することを要請しています。
まとめ
今回のKerberos強化は、Windowsのセキュリティ向上を目的としたものですが、古い設定のまま運用している企業環境では認証トラブルを引き起こす可能性があります。一般ユーザーは気にする必要はありませんが、企業のIT管理者は早めの確認と準備が求められます。
