Добавление пользователя в группу администраторов не дает доступа для чтения сертификата

У меня есть IdentityServer3, работающий в Windows 2019 + IIS. Пул приложений настроен для работы под учетной записью пользователя «dev@internal». Это учетная запись пользователя домена.

Я создал сертификат подписи, используя следующую команду:

      New-SelfSignedCertificate -CertStoreLocation "Cert:\LocalMachine\My" -Subject "IdentityServerDevTokenSign" -NotBefore (Get-Date) -NotAfter (Get-Date).AddYears(35) -HashAlgorithm "sha256" -KeySpec Signature -KeyLength 2048 -FriendlyName "IdentityServerDevTokenSign"

По умолчанию при создании сертификата группа «Администраторы» имеет полный доступ и доступ на чтение сертификата. Я добавил пользователя домена «dev@internal» в группу «Администраторы». Однако при запуске приложения я вижу ошибку:

Сертификат подписи не имеет закрытого ключа или закрытый ключ недоступен. Убедитесь, что учетная запись, на которой запущено ваше приложение, имеет доступ к закрытому ключу.

Затем я удалил «dev@internal» из группы «Администраторы» и напрямую настроил пользователя в сертификате только с доступом «для чтения», и теперь приложение работает.

Чтобы настроить пользователя непосредственно в сертификате,
выберите «Управление сертификатом компьютера» -> «Личные» -> «Сертификаты» -> «Выберите сертификат» -> щелкните правой кнопкой мыши -> «Все задачи» -> «Управление закрытыми ключами».

Мне любопытно узнать, почему первый подход, предполагавший добавление пользователя в группу «Администраторы», не сработал.