ボリュームライセンス認証方式 MAK と KMS 攻略ガイド

【Contents】

ボリュームライセンス認証方法

ボリュームライセンス認証方法

ボリュームライセンス契約で Windows Pro や Windows Server など OS ライセンスを購入した際は、特別な認証方法が展開できます。
　
法人契約の利便性を確認しましょう。

OEM 製品

法人専用の仕組みを説明する前に、OEM キー管理にも触れておきます。
一般的なパソコンを買うと入っている Windows ライセンスは、OEM ライセンスとして提供。
　
製品製造メーカーで Windows ライセンスと端末を完全にセットにして販売しているため、別のパソコンに Windows ライセンスを移動したり出来ません。
　
そんな OEM の Windows ライセンスの認証は、製品製造メーカー側で認証キーを添付して出荷します。
　
端末ごとに別々のキーが提供されていますんで、世界中を探しても同じ認証キーが存在しない設計になっているはずですよ。
　

　

MAK 認証

https://learn.microsoft.com/ja-jp/windows/deployment/volume-activation/plan-for-volume-activation-client#multiple-activation-key
　
法人契約でのみ提供されるプロダクトキー。
Windows を 100 ライセンスで購入したとしても、1 種類のキーで 100 台が認証可能な仕組み。
　
現在 [CSP] 契約では、この MAK 用のプロダクトキーしか提供されないようでした。
　
　

KMS 認証

KMS 認証は、Microsoft 認証サーバー役割を社内で代行させるイメージの仕組み。
ホストになる親端末と、クライアントになる子端末で構成される親子関係で認証がクリアされますね。
　
KMS ホストが、Microsoft 認証サーバーから許可をもらってホストデビュー🍾
そのホストに通うクライアント端末が、自動的にライセンス認証完了する動きです。
　
　

KMS 認証の利用要件

KMS ホストになるためには、サポートされている Windows Server OS が一般的に必要ですけれども、Server ではない Windows OS であっても KMS ホストにすることが出来ます。
　
クライアント台数に最小値があり、Windows OS は 25 台以上の KMS クライアントが無いと機能しません。　
Windows Server の場合は 5 台以上のクライアント数が利用条件でございます。
https://learn.microsoft.com/ja-jp/windows/deployment/volume-activation/plan-for-volume-activation-client#key-management-service
　
親になるホストにはホストキー、子になるクライアントはクライアントキーが必要ではありますが、このクライアントキーは誰でも見られるように完全公開されちゃってるんですよね ⇩

キー管理サービス (KMS) クライアントのライセンス認証とプロダクトキー

キー管理サービス (KMS) ホストを使用して Windows および Windows Server エディションをアクティブ化するために必要な汎用ボリュームライセンスキー (GVLK) を見つけます。

クライアントキーを入れた所で、ホストが無いと認証完了しないからって理由かもしれません。
　
このクライアントキーはボリュームライセンス契約で取得した .iso イメージには最初から入ってますので、基本的にわざわざ入力するケースは殆ど無いでしょう。
　
一回 MAK に切り替えて認証したけど、社内システムが大きくなったんで KMS で管理していこう！
みたいな組織向けに公開された KMS クライアントキーだと感じました。
　

認証の保持期間

https://learn.microsoft.com/ja-jp/windows-server/get-started/kms-activation-planning?tabs=server25#operational-requirements
　
クライアントがホストに認証されてから 180 日間は、ホストとの接続が無くても認証を保持。
認証後にホスト端末が故障したとしても復旧までに猶予がありますよ。
　
しかしながらクライアントからホストへの認証は、１週間に１回行われます。　
猶予期間を 180 日に戻すリセット依頼を、毎週かけているという考え方も出来ます。
　

KMS クライアントは、毎週ホスト通いをします🍾
ここでホストに会えると 180 日間の認証期間がリセットされます。
　

キーグループの概念

ホストによって認証できるクライアント範囲が決まっておりますが、新しい年代のホストは古い年代のクライアントも認証できる と思って頂ければ充分です。
　
Windows Server をホストにした場合に、Windows Server と Windows OS 両方の KMS クライアントを認証できますけれども逆は不可能🚫
　
Windows OS をホストにした場合、認証できるクライアントは Windows OS のみ。
（Server を Windows OS で管理するって構成がありえないですしね。）
　
　
https://learn.microsoft.com/ja-jp/windows-server/get-started/kms-activation-planning?tabs=server25#activation-versions
　
上記サイト内から確認すると「グループ Windows Server 2025 ホストキー」を Windows Server 2019 に入れても、対象 KMS ホスト機能が使えるという謎機能が提供されてました🧐
　
　
最新版ホストキーでも、2 つ前のバージョン OS まではインストールできる 謎設計。　
ホスト Server OS よりも、新しい年代のクライアントを認証するために利用できる機能です。

対応した Windows Update を必要としますから、うまく出来ない場合は必要な更新プログラムをインストールしましょう。
　

Windows 11 は？

KMS ホストキーのサイトを確認してもらうと、少々気になる部分がございましたね？
記載が無いことから「 Windows 11 をホストに出来るのか？」こんな疑問が出てきます。
　
ここから勝手な想像になりますが、KMS クライアントキーは Windows 10 と 11 で同じ物 なんですよ。
そうなるとホストキーも Windows 10 と 11 で同じじゃない？（どなたか検証求む）
　
Windows 11 は OSバージョンというより内部的に Windows 10 更新チャネルとして展開されたって聞きましたから、ビルド的な観点で Windows 10 という可能性が大いにある🧐
　

KMS が真の姿を現した

ここまで KMS 機能を紹介しましたけれども、本当の実力はここからでやんす。
　
KMS ホストが親、クライアントは子端末。
「親子関係」という単語から思い浮かぶ、一つの Windows Server サービスがイメージ出来ますね？
　
そう、みんなのアイドル Active Directory ♥
この KMS 認証スキームを、AD Server でもやる事が出来ます。

Active Directory 認証

Active Directory ベースのライセンス認証によるライセンス認証

Active Directory Domain Services (ADDS) に依存してアクティブ化オブジェクトを格納するロールサービスとして、Active Directory ベースのアクティブ化がどのように実装されるかについて説明し...

KMS 認証と設計の大半は同じで、ホストキーを利用する仕組みも一緒です。
　
　
最初にホストキーで認証をした AD Server がホストになり、ドメインに接続されているクライアントが親子関係でライセンス認証されますよ。　
　
しかしながら、クライアント側に Windows OS 25 台 / Server 5 台の最小閾値が必要無い様子。
この台数未満の環境で AD 組むのか？って気もしますが、念の為お伝えしました。

180 日のライセンス認証保持と、毎週のホスト通いがやめられないのは KMS と同じです🍾

Active Directory ベースのアクティブ化でアクティブ化されたクライアントは、ドメインとの最後の接触から最大 180 日間、アクティブ化された状態を維持します。 180 日の期間の前と終了時に、定期的に再アクティブ化を試みます。既定では、この再認証イベントが 7 日ごとに発生します。再アクティブ化イベントが発生すると、クライアントはアクティブ化オブジェクトに対して ADDS を照会します。

AD 認証が失敗した場合やドメイン傘下から外れた場合は、クライアント端末が KMS 方式（TCP 通信 Port：1688）経由で認証を試みます。予備 KMS ホストがある場合に備えた挙動じゃないでしょうか。

クライアントコンピューターはライセンス認証オブジェクトを調べ、GVLK で定義されているとおりに、ローカルのエディションと比較します。オブジェクトと GVLK が一致する場合は、再アクティブ化が発生します。 ADDS オブジェクトを取得できない場合、クライアントコンピューターは KMS ライセンス認証を使用します。コンピューターがドメインから削除され、コンピューターまたはソフトウェア保護サービスが再起動された場合、Windows は状態を [アクティブ化されていません] に変更し、コンピューターは KMS でアクティブ化しようとします。

注意点

とにかく便利な KMS ホストキーと MAK キーなのですが注意点がございます。
「認証で使うごとに残り回数が減る」
　
つまりプロダクトキー回数が 0 になった場合、正しいキー文字列の入力をしてもエラーで認証出来なくなります！
（その際は認証窓口に電話するしか無いでしょう☎）
　
昔は VLSC の Web サイトからキー回数引き上げフォームがありましたけれども、2024/12 現在で跡形も無いんですよね。https://www.microsoft.com/ja-jp/licensing/existing-customer/vlsc-training-and-resources?oneroute=true
　
VLSC 機能が 365 管理センターに移行したからなのかもしれませんが、2024/12 現在ですと以下の記事リンク先からキー認証回数引き上げ要求を送信するみたいです⇩

https://learn.microsoft.com/ja-jp/microsoft-365/commerce/licenses/product-keys-for-vl?view=o365-worldwide&context=%2Flicensing%2Fcontext%2Fcontext#request-more-kms-host-keys
　
MAK ライセンス認証の制限の引き上げを要求する
MAK アクティブ化数量への増加は例外によって付与されます。 MAK ライセンス認証の制限を要求するには、管理者、キー管理者、またはキービューアーのボリュームライセンスロールが必要です。要求を送信するには、 この Web フォーム で次の情報を指定する必要があります。

インターネットが無い環境の認証

電話で認証をするしかございません☎
　
しかしながら KMS ホストキー認証を電話で通してもらえれば、クライアントは内部ネットワーク経由でホストに接続すれば良いだけです。 AD 認証であっても KMS ホストだけを電話認証で突破すればクライアントの電話認証は要りませんから、KMS を利用する場合はホスト台数分の電話で大丈夫ですよ。
　
MAK の場合は、１台ずつ全端末数の電話認証をやりなさい👼
　

総括

MAK認証、KMS ＆ Active Directory 認証はボリュームライセンス特有ながら避けては通れない物です。
組織の運用に合わせて使い分けましょう。
　
もしかすると、今後は [CSP] ライセンスを買って KMS ホストキーが出るかもしれません ( 出ない
　