IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

トップ > MS365&Entra > 【リモートデスクトップ】Microsoft Entra認証による接続
最終更新日

【リモートデスクトップ】Microsoft Entra認証による接続

MS365&Entra インフラ

Microsoft Entra認証によるWindowsリモートデスクトップ接続

以前の記事において、WindowsPCでリモートデスクトップを使用するための許可設定を紹介しました。
その時は接続先PCの認証でローカルアカウントを使用しましたが、今回はMicrosoft Entra IDのユーザーを使用した場合の設定と挙動を紹介します。
  • 接続先(ホスト)PC:Windows11 Pro(Homeは使用不可、MS Entraに参加済)
  • 接続元PC:Windows11 Pro(デバイス登録しない場合はHomeでも可)

 

 

試した設定条件・接続可否の結果

最初に実際試した設定条件と接続可否の結果を示します(○:接続可、×:接続不可)。
Webアカウント使用時は接続元PCがMicrosoft Intuneのデバイス登録の済/未済にかかわらず接続できました。
一方、Webアカウント未使用時は接続元PCのデバイス登録の済/未済で結果が異なりました。

認証方法→
↓接続元PCデバイス登録		 Webアカウント使用
(MSEntra認証ありで接続)		 Webアカウント未使用
(MSEntra認証なしで接続)
デバイス登録済
デバイス登録未済 ○(項番4でブロック方法を紹介) ×(資格情報エラーが発生)
図表1-1 MS Entra IDユーザーによる接続可否の条件

 

Webアカウント未使用時の条件について公式記事を確認したところ、「ローカルデバイスとリモートデバイスの両方が同じMS Entraテナント内にある必要がある」となっていました。また、サポートされている構成に、参加未済デバイスからの接続が載っていないため、接続元PCのデバイス登録が必要と推測しました。

図表1-2 MS Entra認証なしの場合の構成に関する公式記事

図表1-2 MS Entra認証なしの場合の構成に関する公式記事

 

 

Webアカウント使用時 設定・挙動

*デバイス登録済/未済ともに同じ挙動のため、未済の画面のみの紹介となります

 

タスクバーかWindowsのアプリ検索からWindows標準の[リモートデスクトップ接続]を起動し、[詳細設定]タブの[Webアカウントを使用して、リモートコンピューターにサインインする]にチェックをつけます。
[全般]タブで接続先PCのコンピューター名(またはIPアドレス)とユーザー名([MS Entraのユーザー]@[MS Entraのテナント名])を入力し、[接続]を選択します。

図表2-1 Webアカウント使用時(設定)

図表2-1 Webアカウント使用時(設定)

 

MS Entraユーザーのパスワードを入力し、[サインイン]を選択します。
右側の画面のように多要素認証を求められたら、指示に従い認証します。

図表2-2 Webアカウント使用時(サインイン)

図表2-2 Webアカウント使用時(サインイン)

 

認証が通ると、接続先PCのデスクトップ画面が表示されます。
接続先PC内での操作については、以前の記事でも紹介した通常のリモートデスクトップと同じです。

図表2-3 Webアカウント使用時(接続完了)

図表2-3 Webアカウント使用時(接続完了)

 

なお、接続元PCにWebアカウント使用時の情報がキャッシュされるため、再接続時に認証を求められないことがあります。
接続元PCを他のユーザーと共用している場合等において、 [リモートデスクトップ接続]の[全般]タブで[消去]を選択するすることで、認証が求められるようになります。

図表2-4 Webアカウント使用時(キャッシュクリア)

図表2-4 Webアカウント使用時(キャッシュクリア)

 

Webアカウント未使用時 設定・挙動

接続先PCの設定

接続先PCにローカル管理者でサインインし、[設定>システム>リモートデスクトップ]を選択します。

図表3-1 接続先PCのリモートデスクトップ設定メニューへ

図表3-1 接続先PCのリモートデスクトップ設定メニューへ

 

[リモートデスクトップ]を[オン]にし、[デバイスが接続にネットワークレベル認証を使用することを要求する(推奨)]のチェックを外します。
確認メッセージが表示されたら、[このまま続行]を選択します。

図表3-2 ネットワークレベル認証の設定解除

図表3-2 ネットワークレベル認証の設定解除

 

ネットワークレベル認証の無効化に関する補足

前の画面で[デバイスが接続にネットワークレベル認証を使用することを要求する(推奨)]のチェックを外したため、 [リモートデスクトップユーザー]に接続を許可するMS Entraユーザーを追加する必要がなくなりました。

図表3-3 ネットワークレベル認証解除時はユーザー指定不要

図表3-3 ネットワークレベル認証解除時はユーザー指定不要

 

このチェックを外すことについてセキュリティが心配であれば、チェックをつけた上で、コマンドプロンプト(管理者で実行)にて対象のMS EntraユーザーをRemote Desktop Usersグループに追加します。

net localgroup "Remote Desktop Users" /add "AzureAD\{MS Entraのユーザー名}"

図表3-4 コマンドによるMS Entra IDユーザーの許可設定

図表3-4 コマンドによるMS Entra IDユーザーの許可設定

 

デバイス登録済PCからの接続

タスクバーかWindowsのアプリ検索からWindows標準の[リモートデスクトップ接続]を起動し、[詳細設定]タブの[Webアカウントを使用して、リモートコンピューターにサインインする]のチェックを外します。
[全般]タブで接続先PCのコンピューター名(またはIPアドレス)とユーザー名([MS Entraのユーザー]@[MS Entraのテナント名])を入力し、[接続]を選択します。

図表3-5 デバイス登録済PCからの接続

図表3-5 デバイス登録済PCからの接続

 

MS Entraユーザーのパスワードを入力し、[OK]を選択します。
認証が通ると、接続先PCのデスクトップ画面が表示されます。

図表3-6 デバイス登録済PCからの接続完了

図表3-6 デバイス登録済PCからの接続完了

 

デバイス登録未済PCからの接続

パスワード入力まではデバイス登録済PCと同じですが、資格情報エラーが発生して接続できませんでした。

図表3-7 デバイス未登録PCでの接続失敗

図表3-7 デバイス未登録PCでの接続失敗

 

Intune管理C 未登録デバイスからの接続ブロック(参考)

Webアカウント使用時、デバイス登録未済のような組織が許可していないデバイスからリモートデスクトップ接続をさせたくないケースが一般的と思いますので、これをブロックする方法を紹介します。
使用するのはMicrosoft Intuneの条件付きアクセスポリシーです。

 

Microsoft Intune管理センターの[デバイス>条件付きアクセス>ポリシー>新しいポリシー]から設定を作成します。

図表4-1 Intune管理センターでの条件付きアクセスポリシー追加へ

図表4-1 Intune管理センターでの条件付きアクセスポリシー追加へ

 

条件付きアクセスの設定内容です。

  • ユーザー:この例では全ユーザーを対象としましたが、システム管理者を除外する等、実運用に応じて調整します。
  • ターゲットリソース:Microsoft Remote Desktop
  • アクセス制御>許可:準拠済デバイスならアクセスを許可(*)
    *デバイス登録済かつ準拠済でないデバイスもブロックされますので、未登録デバイスよりもブロック対象が広くなります。しかし、準拠済でないデバイスは組織のリソースにアクセスすべきではないため、一般的な要件は満たすものと考えます

図表4-2 Intune管理センターでの条件付きアクセスポリシー設定

図表4-2 Intune管理センターでの条件付きアクセスポリシー設定

 

設定後、未登録デバイスからリモートデスクトップ接続を試みると、画面イメージのようにブロックされました。

図表4-3 条件付きアクセスポリシーによるブロック結果

図表4-3 条件付きアクセスポリシーによるブロック結果

 

おわりに

Microsoft Entra IDのユーザーを使用したリモートデスクトップ接続では、Webアカウント使用/未使用時で設定が若干異なります。Webアカウント使用時を想定してデバイス登録未済PCからの接続を許可するかブロックするかといった考慮も必要です。

 

 

当ブログ内の関連記事

elmgrn.hatenablog.com

elmgrn.hatenablog.com

elmgrn.hatenablog.com