Azure Virtual Desktop のセッション ロック動作を構成する

ユーザーまたはポリシーによってリモート セッションがロックされたときに、セッションを切断するか、リモート ロック画面を表示するかを選択できます。 セッション ロックの動作が切断に設定されている場合は、切断されたことをユーザーに知らせるダイアログが表示されます。 ユーザーは、再度接続する準備ができたときに、ダイアログから [再接続] オプションを選択できます。

Microsoft Entra ID を使用したシングル サインオンと併用する場合、セッションを切断すると次の利点があります。

• 必要に応じて、Microsoft Entra ID を使用した一貫したサインイン エクスペリエンスが提供されます。

• 条件付きアクセス ポリシーで許可されている場合、認証プロンプトなしのシングル サインオン エクスペリエンスと再接続が可能になります。

• リモート ロック画面とは異なり、パスキーや FIDO2 デバイスなどのパスワードレス認証がサポートされます。 パスワードレス認証を完全にサポートするには、セッションの切断が必要です。

• 多要素認証やサインイン頻度などの条件付きアクセス ポリシーは、ユーザーがセッションに再接続したときに再評価されます。

• セッションに戻る際に多要素認証を要求し、ユーザーが単純なユーザー名とパスワードでロックを解除できないようにすることができます。

NTLM、CredSSP、RDSTLS、TLS、RDP 基本認証プロトコルなどのレガシ認証に依存するシナリオの場合、ユーザーは、再接続したとき、または新しい接続を開始したときに、資格情報を再入力するように求められます。

既定のセッション ロック動作は、Microsoft Entra ID によるシングル サインオンを使用しているか、レガシ認証を使用しているかによって異なります。 各シナリオの既定の構成を次の表に示します。

シナリオ	既定の構成
Microsoft Entra ID を使用するシングル サインオン	セッションの切断
レガシ認証プロトコル	リモート ロック画面を表示する

この記事では、Microsoft Intune またはグループ ポリシーを使用して、セッション ロック動作を既定の構成から変更する方法について説明します。

前提条件

構成方法に関連するタブを選択します。

Intune

セッション ロックの動作を構成するには、次の前提条件を満たす必要があります。

• セッション ホストを使用した既存のホスト プール。

• セッション ホストで、関連する累積的な更新プログラムがインストールされた次のいずれかのオペレーティング システムが実行されている必要があります。

  • 2024-05 の Windows 11 用の累積的な更新プログラム (KB5037770) 以降がインストールされている Windows 11 シングルまたはマルチセッション。
  • 2024-06 の Windows 10 用の累積的な更新プログラム (KB5039211) 以降がインストールされている Windows 10 シングルまたはマルチセッションのバージョン 21H2 以降。
  • 2024-05 の Microsoft サーバー オペレーティング システム用の累積的な更新プログラム (KB5037782) 以降がインストールされている Windows Server 2022。

• Intune を構成するには、以下が必要です。

  • ポリシーとプロファイル マネージャーの組み込み RBAC の役割が割り当てられた Microsoft Entra ID アカウント。
  • 構成するデバイスを含むグループ。

グループ ポリシー

セッション ロックの動作を構成するには、次の前提条件を満たす必要があります。

• セッション ホストを使用した既存のホスト プール。

• セッション ホストで、関連する累積的な更新プログラムがインストールされた次のいずれかのオペレーティング システムが実行されている必要があります。

  • 2024-05 の Windows 11 用の累積的な更新プログラム (KB5037770) 以降がインストールされている Windows 11 シングルまたはマルチセッション。
  • 2024-06 の Windows 10 用の累積的な更新プログラム (KB5039211) 以降がインストールされている Windows 10 シングルまたはマルチセッションのバージョン 21H2 以降。
  • 2024-05 の Microsoft サーバー オペレーティング システム用の累積的な更新プログラム (KB5037782) 以降がインストールされている Windows Server 2022。

• グループ ポリシーを構成するには、以下のものが必要です。

  • グループ ポリシー オブジェクトを作成または編集するアクセス許可を持つドメイン アカウント。
  • 構成したいデバイスを含むセキュリティ グループまたは組織単位 (OU)。

セッション ロック動作を構成する

構成方法に関連するタブを選択します。

Intune

Intune を使用してセッション ロック エクスペリエンスを構成するには:

1. Microsoft Intune 管理センターにサインインします。

2. 設定カタログ プロファイル型で、Windows 10 以降のデバイスの構成プロファイルを作成または編集します。

3. 設定ピッカーで、[管理テンプレート]>[Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ セッション ホスト]>[セキュリティ] に移動します。

   

4. 要件に応じて、次のいずれかの設定のチェックボックスをオンにします。

   • Microsoft Entra ID を使用するシングル サインオンの場合:

     1. [Microsoft ID プラットフォーム認証の場合、ロック時にリモート セッションを切断する] チェックボックスをオンにして、設定ピッカーを閉じます。

     2. [管理用テンプレート] カテゴリを展開し、[Microsoft ID プラットフォーム認証の場合、ロック時にリモート セッションを切断する] のスイッチを [有効] または [無効] に切り替えます。

        • セッションがロックされているときにリモート セッションを切断するには、スイッチを [有効] に切り替えて、[OK] を選択します。

        • セッションがロックされているときにリモート ロック画面を表示するには、スイッチを [無効] に切り替えて、[OK] を選択します。

   • レガシ認証プロトコルの場合:

     1. [レガシ認証の場合、ロック時にリモート セッションを切断する] チェックボックスをオンにして、設定ピッカーを閉じます。

     2. [管理用テンプレート] カテゴリを展開し、[レガシ認証の場合、ロック時にリモート セッションを切断する] のスイッチを [有効] または [無効] に切り替えます。

        • セッションがロックされているときにリモート セッションを切断するには、スイッチを [有効] に切り替えて、[OK] を選択します。

        • セッションがロックされているときにリモート ロック画面を表示するには、スイッチを [無効] に切り替えて、[OK] を選択します。

5. [次へ] を選択します。

6. 省略可能: [スコープ タグ] タブで、プロファイルをフィルター処理するスコープのタグを選択します。 スコープのタグの詳細については、分散 IT のためのロールベースのアクセス制御(RBAC) とスコープのタグの使用に関するページをご覧ください。

7. [割り当て] タブで、構成するリモート セッションを提供するコンピューターを含むグループを選択し、[次へ] を選択します。

8. [確認 + 作成] タブで設定を確認し、[作成] を選択します。

9. セッション ホストにポリシーを適用したら、設定を反映するために再起動します。

10. 構成をテストするには、リモート セッションに接続してから、リモート セッションをロックします。 セッションが切断されるか、リモート ロック画面が表示されることを確認します (構成によって異なります)。

グループ ポリシー

グループ ポリシーを使用するセッション ロック エクスペリエンスを構成するには、次の手順を実行します。

1. グループ ポリシー設定は、「前提条件」に記載されているオペレーティング システムでのみ使用できます。 他のバージョンの Windows Server 上で使用できるようにするには、管理用テンプレート ファイルの C:\Windows\PolicyDefinitions\terminalserver.admx と C:\Windows\PolicyDefinitions\en-US\terminalserver.adml をセッション ホストからドメイン コントローラー上の同じ場所またはグループ ポリシー セントラル ストア (環境によって異なります) にコピーする必要があります。 別の言語を使用している場合は、terminalserver.adml 用のファイル パスで en-US を適切な言語コードに置き換えます。

2. Active Directory ドメインの管理に使うデバイスで、[グループ ポリシーの管理] コンソールを開きます。

3. 構成するリモート セッションを提供するコンピューターを対象とするポリシーを作成または編集します。

4. [コンピューターの構成]>[ポリシー]>[管理用テンプレート]>[Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ セッション ホスト]>[セキュリティ] に移動します。

   

5. 要件に応じて、次のポリシー設定のいずれかをダブルクリックします。

   • Microsoft Entra ID を使用するシングル サインオンの場合:

     1. [Microsoft ID プラットフォーム認証の場合、ロック時にリモート セッションを切断する] をダブルクリックして開きます。

        • セッションがロックされているときにリモート セッションを切断するには、[有効] または [未構成] を選択します。

        • セッションがロックされているときにリモート ロック画面を表示するには、[無効] を選択します。

     2. [OK] を選択します。

   • レガシ認証プロトコルの場合:

     1. [レガシ認証の場合、ロック時にリモート セッションを切断する] をダブルクリックして開きます。

        • セッションがロックされているときにリモート セッションを切断するには、[有効] を選択します。

        • セッションがロックされているときにリモート ロック画面を表示するには、[無効] または [未構成] を選択します。

     2. [OK] を選択します。

6. ポリシーがセッション ホストに適用されていることを確認してから、再起動して設定を有効にします。

7. 構成をテストするには、リモート セッションに接続してから、リモート セッションをロックします。 セッションが切断されるか、リモート ロック画面が表示されることを確認します (構成によって異なります)。

関連するコンテンツ

• 「Microsoft Entra ID 認証を使用して Azure Virtual Desktop にシングル サインオンを構成する」方法を参照してください。