【Windows Defender Credential Guard】「保存された資格情報を使用できません」の原因と直し方｜windows defender credential guard 無効化（Windows 11）／リモートデスクトップで資格情報が保存されない・機能しない時の対策

毎回リモートデスクトップでパスワードを求められる、保存したはずの資格情報が使われない、

「お使いの資格情報は機能しませんでした」

と出て接続できない——。

これらはWindows Defender Credential Guard（以下、Credential Guard）や資格情報委任（Credential Delegation）、クライアント側ポリシーの設定が原因で起きることが多いエラーです。

本記事では、個人利用のWindows 11/10を想定し、

**最短で直すためのチェックリスト→根本理解→安全な無効化（必要な場合のみ）**の順で解説します。

少しでもご参考になれば幸いです！

---

まずは最短チェック：症状別の原因と対処（クイックリファレンス）

症状（代表例）	主な原因	手早い対処
「保存された資格情報を使用できません」	RDPクライアントのパスワード保存禁止ポリシー／Remote Credential Guardの強制／資格情報委任の設定不足	RDPクライアントの「パスワード保存を許可」を有効化、TERMSRV/* を資格情報委任に追加、RCGの「必須」を外す
「資格情報は機能しませんでした」	入力形式ミス（例：ローカルは .\ユーザー名、AD は ドメイン\ユーザー名）、時間ずれ、アカウントロック、NLA要件未満	ユーザー名の形式を適正化、時刻同期、資格情報の再保存、NLA設定確認
保存したのに毎回聞かれる	**Credential Manager（資格情報マネージャ）**無効／GPOで保存禁止／委任先未登録	資格情報マネージャ（VaultSvc）を自動起動、保存禁止ポリシーを無効、委任先に TERMSRV/** を追加
以前は使えたのに急に不可	Windows更新でVBS/RCG/委任ポリシーが強化、もしくは誤削除・期限切れ	委任ポリシーとRCG設定を再確認、資格情報を再登録
どうしても保存できない	企業ドメインやMDMの強制ポリシー／Credential Guard/RCG設計上の制限	個人端末ならローカルGPO調整、管理下端末なら管理者方針を確認

重要：Credential Guardそのものは「LSASSの機密値（ハッシュやTGT）を保護」する機能で、直接「RDPの保存パスワードを禁止」する仕組みではありません。

ただし、Remote Credential Guard（RCG）や委任ポリシーと組み合わさると、結果として保存済み資格情報が使えない挙動になります。

---

windows defender credential guard とは

• 役割：
  仮想化ベースのセキュリティ（VBS）でLSASSを分離し、NTLMハッシュやKerberosのTGTなど資格情報の“元”を隔離して盗難を防ぎます。
• 混同しやすい用語：
  • Remote Credential Guard（RCG） … RDP時にクライアント側資格情報を転送せず、クライアントで認証を完結させる設計。
    サーバーにパスワードを残さない一方、「保存された資格情報」を拒否する場合あり。
  • Credential Delegation（資格情報の委任） … どの宛先に、どんな条件で、どの種類の資格情報を委任できるかを決めるポリシー群。
    RDPの保存済み資格情報の可否にも関与します。
• 前提：
  Windows 11の多くのエディションでは、VBSやCredential Guardが既定で有効化される条件が広がりました。
  個人利用でも有効なケースが増えており、RDPの運用に影響が出ることがあります。

---

windows defender credential guard では保存された資格情報を使用できません —— の意味と全体像

この表示（または同趣旨のメッセージ）が出るとき、次のいずれか（複合）が多いです。

• RDPクライアント側の保存禁止：クライアントのローカルグループポリシーで「パスワード保存を許可しない」設定。
• RCGが“必須”：RCGを強制すると、「保存された資格情報」は設計上使わず、都度ユーザーの対話的認証を前提に動くことがあります。
• 委任先の不備：資格情報委任の対象（TERMSRV/**）が登録されておらず、保存自体はできても使用が拒否される。
• セキュリティオプション：ネットワーク認証用の資格情報保存を禁止するセキュリティオプションが有効。
• 資格情報マネージャ（VaultSvc）無効：サービス停止/無効化で保存自体が正しく機能しない。

---

windows11 リモートデスクトップ 資格情報 保存されない：正しく保存・使用できるようにする手順

1）RDPクライアントの「パスワード保存禁止」を無効（保存を許可）

• ローカルグループポリシーエディター（gpedit.msc）を開く
• コンピューターの構成 → 管理用テンプレート → Windows コンポーネント → Remote Desktop Services → Remote Desktop Connection Client
• 「パスワードの保存を許可しない」などの項目を 無効 に設定

2）資格情報委任（Credential Delegation）で TERMSRV/* を登録

• コンピューターの構成 → 管理用テンプレート → システム → 資格情報の委任
• 「既定の資格情報の委任を許可する」→ 有効 → サーバーの一覧に TERMSRV/* を追加
• 「NTLM のみのサーバー認証で保存済み資格情報の委任を許可する」→ 有効 → 一覧に TERMSRV/* を追加
• 反映後に再起動、または gpupdate /force を実施（管理者権限の必要がある場合あり）

3）セキュリティオプションの保存禁止を解除

• ローカルセキュリティポリシー（secpol.msc）→ ローカルポリシー → セキュリティ オプション
• 「ネットワーク セキュリティ：ネットワーク認証のためのパスワードおよび資格情報の保存を許可しない」を 無効 に

4）Credential Manager（資格情報マネージャ）サービスの確認

• サービス（services.msc）→ Credential Manager（VaultSvc） を 自動 に、状態が 実行中 であることを確認
• コントロール パネル → 資格情報マネージャー → Windows 資格情報 から、RDP先の資格情報が保存されるか確認

5）Remote Credential Guard（RCG）の強制を外す（必要な場合のみ）

• gpedit.msc → コンピューターの構成 → 管理用テンプレート → システム → 資格情報の委任
• 「リモート資格情報ガードを要求する」「保存済み資格情報を使用禁止にする」などRCG必須となる設定を 無効 または 未構成 に
• 既に作成済みの .rdp ファイルで「Always prompt for credentials」の扱いを見直す

ポイント：RCGは安全性を高める機能ですが、“保存された資格情報を使う”という要求とは相性が悪いことがあります。

安全と利便のバランスで判断してください。

---

リモートデスクトップ 資格情報は機能しませんでした：主な原因と直し方

ユーザー名表記の誤り

• ローカルアカウント： .\ユーザー名 または コンピューター名\ユーザー名
• ドメインアカウント： ドメイン\ユーザー名
• Microsoft アカウント： user@example.com（環境により MicrosoftAccount\… と表記を求められる場合あり）

時刻のずれ・NLAの要件

• クライアントとサーバーの時刻が大きくズレているとKerberos等で失敗。
  
  インターネット時刻同期を実施。
• NLA（ネットワーク レベル認証）有効時、資格情報の種別やユーザーの権限が要件を満たさないと拒否されるため、NLA設定とユーザーの所属グループを確認。

アカウントロック／パスワード期限切れ

• 何度も誤入力してロック、期限切れ、手動での無効化など。
  
  資格情報マネージャから古い保存情報を削除→再保存。

Remote Credential Guard／委任制約によるブロック

• 前章の手順で、RCGの必須化を外す、委任先に TERMSRV/** を登録済みか確認。

---

リモートデスクトップ 資格情報を保存できるようにする：再発防止の「設定型」チェック

• RDPクライアントの保存許可：Remote Desktop Connection Client の「保存禁止」を無効
• 委任の網羅：既定の/NTLMのみの両方で TERMSRV/* を登録
• セキュリティオプション：資格情報保存禁止を 無効 に
• RCGの整理：必須を外し、使う/使わないを接続用途で決める
• 資格情報マネージャの健全性：VaultSvc を自動、保存/削除の動作をテスト

---

windows defender credential guard 無効化（Windows 11）：やむを得ない場合の安全手順

先に結論：無効化は最終手段です。

RDPの保存資格情報を使えるようにする目的なら、多くのケースはRCG/委任/保存禁止ポリシーの見直しで解決できます。

どうしても検証のために無効化する場合のみ、以下の順に進めます。

1）グループポリシーからVBS/Credential Guardを停止

• gpedit.msc → コンピューターの構成 → 管理用テンプレート → システム → Device Guard（または「仮想化ベースのセキュリティ」）
• 「仮想化ベースのセキュリティを有効にする」を 無効、Credential Guard 構成を 無効 に設定
• 再起動

2）UEFIロックやハイパーバイザーの挙動

• 一部構成ではUEFIロックが有効で、GUI操作だけでは解除できないケースがあります。
  加えて、ハイパーバイザー（Hyper-V）停止は他の仮想化機能に影響します。
• 個人用途でここまで踏み込むよりも、RCG/委任/保存禁止の見直しで解決するかをまず確認するのが安全です。

注意：メモリ整合性（Core isolation）のトグルは**HVCI（仮想化ベースのコード整合性）**の設定であり、Credential Guardそのもののオン/オフとイコールではありません。

混同しないようにしてください。

---

お使いの資格情報は機能しませんでした windows defender：最後のリカバリー手順

• 保存済み資格情報を一度削除→再保存
  コントロール パネル → 資格情報マネージャー → Windows 資格情報 → 対象の TERMSRV/接続先を削除 → 再接続時に**「資格情報を保存する」にチェック**して再登録。
• 新しいプロファイル（.rdp）で検証
  mstsc（リモート デスクトップ接続）を起動 → 新規に接続先を入力 → オプションからユーザー名を設定 → 接続時に保存。
• 別アカウント／ローカル管理者での切り分け
  アカウント自体の問題（権限/期限/ロック）の切り分け。
• 時刻同期／ネットワーク健全性
  NTP同期、DNS逆引き不整合がないか、VPN越しの名前解決が妥当かを確認。

---

まとめ（要点とアドバイス）

• “保存された資格情報が使えない”の多くは、RDPクライアントの保存禁止ポリシー、RCGの必須化、委任先（TERMSRV/*）の未登録**、セキュリティオプションの保存禁止のいずれか。
• まず直すべき順序：
  ①RDP保存許可
  → ②TERMSRV/** 登録
  → ③保存禁止の無効
  → ④RCG必須を外す
  → ⑤VaultSvc確認。
• Credential Guardの無効化は最終手段。
  多くのケースは無効化せずに解決できます。
• ユーザー名の形式・時刻同期・NLA要件といった基本条件も忘れずに確認してください。

ひとことアドバイス：

安全と利便のバランスをとるには、RCGを“常に必須”にしない代わりに、保存する接続先を最小限に絞る、保存済み資格情報を定期的に見直す、という運用が現実的です。

---

よくある質問（FAQ）

RDPで保存が効かないのはCredential Guardのせい？

直接の犯人はRCGや委任/保存禁止ポリシーであることが大半です。

まずは本記事の「保存許可」「TERMSRV/**登録」「保存禁止解除」「RCG必須解除」を順に確認してください。

ローカルGPOがない（Homeエディション）場合は？

HomeではローカルGPOエディターが使えないため、資格情報マネージャでの再保存、RDPオプション見直し、必要ならレジストリでの相当設定（自己責任）か、Pro以上での運用を検討してください。

「毎回入力させたい」ポリシーはどれ？

RCGを必須にする、またはRDPクライアントの「パスワード保存を許可しない」を有効化します。

個人利用では利便性とのトレードオフを意識しましょう。

---

参考リンク

• Windows Defender Credential Guard の概要（Microsoft Learn）
• Credential Guard の展開・構成（Microsoft Learn）
• Remote Credential Guard の概要（Microsoft Learn）
• 資格情報の委任ポリシー（TERMSRV/* など）の設定（Microsoft Learn）
• RDP クライアントの「パスワード保存を許可しない」ポリシー（Microsoft Learn）