Windows11で共有フォルダにアクセスすると、以下のように「組織のセキュリティポリシーによって非認証のゲストアクセスがブロックされているためこの共有フォルダーにアクセスできません」と表示された。

「組織のセキュリティポリシーによってブロック」と言われても、そんなポリシー入れた記憶ないんだけどな…。

このエラーメッセージについて調べてみたので、簡単に書く。

原因

Windows11バージョン24H2において、SMB*1の規定の動作が変更されたため。

SMBには、ゲストログオンというパスワード認証なしで共有フォルダにアクセスする機能がある。それについて、以下の公式サイトの記事に記載がある。

learn.microsoft.com

以下、リンク先本文より引用。

Windows 2000 以降、Windows では受信ゲスト アクセスが無効となっており、Windows 10 以降は SMB2 および SMB3 のクライアント ゲスト認証が禁止されています。 ただし、ユーザー名とパスワードをサポートしていないサードパーティ製のデバイスに接続する場合は、ゲスト資格情報が依然として要求される場合があります。 ゲスト認証のみをサポートするサードパーティ製のソフトウェアまたはデバイスをアップグレードするか、交換することをお勧めします。

Windows10や11上にある共有フォルダへアクセスする際、すでにゲストログオンは利用できなくなっている。そのため、今回のようなエラーメッセージが出るのはLinuxベースのOSを使用したNAS上にある共有フォルダが多いと思われる。

また、SMBの規定の動作について以下の記載がある。

Windows 11 バージョン 24H2、Windows Server 2025、およびそれ以降のビルドでは、SMB 署名が既定で必要です。このビルドでは、署名が成功しない場合にゲスト認証との互換性の問題が発生します。

バージョン24H2では規定でゲストログオンが無効化され、ユーザー名とパスワードによる認証が必須になった。今回のエラーメッセージは、この変更が原因と思われる。

対処方法

セキュリティレベルが下がるので推奨はしないが、以下の手順でゲストログオンを有効にする。なお、以下の手順はローカルグループポリシーエディターを使っているが、ActiveDirectoryのグループポリシー管理エディターを使う場合も同じような手順で変更できる。

この手順では、以下のポリシーを変更する。

• 安全でないゲスト ログオンを有効にする
• Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う

安全でないゲストログオンを有効にする

1.スタートボタンを右クリックして「ファイルを指定して実行」を選択し、「gpedit.msc」と入力しOKを押す。

2.ローカルグループポリシーエディターが開くので、「コンピューターの構成」→「管理用テンプレート」→「ネットワーク」→「Lanman ワークステーション」→「安全でないゲスト ログオンを有効にする」をダブルクリックする。

3.「有効」を選択し、「OK」を押す。

Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う

1.「コンピューターの構成」→「Windowsの設定」→「セキュリティの設定」→「ローカルポリシー」→「セキュリティ オプション」→「Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う」をダブルクリックする。

2.「無効」を選択し、「OK」を押す。

※ActiveDirectoryのグループポリシー管理エディターでは、「このポリシーの設定を定義する」にチェックを入れて「無効」を選択し「OK」を押す。

おわりに

セキュリティを考慮すると、そもそもゲストログオンを使用せずユーザー名とパスワードによる認証で共有フォルダにアクセスすることが望ましい。なので、今回紹介した方法は一時的な回避策として参考にしていただければ。