Microsoft Entra 認証を使用して Windows 365 Business のシングル サインオンを構成する

この記事では、Microsoft Entra 認証を使用して Windows 365 のシングル サインオン (SSO) を構成するプロセスについて説明します。 SSO を有効にすると、ユーザーはパスワードレス認証と、Microsoft Entra ID とフェデレーションするサードパーティ ID プロバイダーを使用してクラウド PC にサインインできます。 この機能を有効にすると、クラウド PC への認証時と、Microsoft Entra ID ベースのアプリや Web サイトにアクセスするセッション内の両方で SSO エクスペリエンスが提供されます。

Microsoft Entra ID 認証を使用して SSO を有効にするには、次の 4 つのタスクを完了する必要があります:

1. リモート デスクトップ プロトコル (RDP) の Microsoft Entra 認証を有効にします。

2. ターゲット デバイス グループを構成します。

3. 条件付きアクセス ポリシーを確認します。

4. SSO を有効にするように組織の設定を構成します。

SSO を有効にする前に

SSO を有効にする前に、環境内で使用するための次の情報を確認してください。

セッションがロックされている場合の切断

SSO が有効になっている場合、ユーザーは Windows へのパスワードレス認証をサポートする Microsoft Entra ID 認証トークンを使用して Windows にサインインします。 リモート セッションの Windows ロック画面では、Microsoft Entra ID 認証トークンや、FIDO キーなどのパスワードレス認証方法はサポートされていません。 セッションがロックされたときにリモート ロック画面を表示する以前の動作ではなく、セッションが切断され、ユーザーに通知されます。 セッションを切断すると、次のことが保証されます:

• ユーザーはシングル サインオン エクスペリエンスのメリットを享受でき、許可されている場合は認証プロンプトなしで再接続できます。
• ユーザーは、FIDO キーなどのパスワードレス認証を使用してセッションに再度サインインできます。
• 多要素認証やサインイン頻度などの条件付きアクセス ポリシーは、ユーザーがセッションに再接続したときに再評価されます。

前提条件

SSO を有効にする前に、次の前提条件を満たす必要があります:

• Microsoft Entra テナントを構成するには、次の Microsoft Entra 組み込みロールのいずれかが割り当てられている必要があります:

  • アプリケーション管理者
  • クラウド アプリケーション管理者

• クラウド PC では、関連する累積的な更新プログラムがインストールされた次のいずれかのオペレーティング システムを実行している必要があります:

  • Windows 11 の 2022-10 累積更新プログラム (KB5018418) 以降がインストールされた Windows 11 Enterprise。
  • Windows 10 の 2022-10 累積更新プログラム (KB5018410) 以降がインストールされた Windows 10 Enterprise。

• ローカル デバイスまたは Azure Cloud Shell に Microsoft Graph PowerShell SDK バージョン 2.9.0 以降をインストールします。

RDP の Microsoft Entra 認証を有効にする

まず、Microsoft Entra テナントで Windows の Microsoft Entra 認証を許可する必要があります。これにより、RDP アクセス トークンの発行が可能になり、ユーザーがクラウド PC にサインインできるようになります。 この変更は、次の Microsoft Entra アプリケーションのサービス プリンシパルに対して実行する必要があります:

Application Name	アプリケーション ID
Microsoft リモート デスクトップ	a4a365df-50f1-4397-bc59-1a1564b8bb9c
Windows クラウド ログイン	270efc09-cd0d-444b-a71f-39af4910ec45

重要

今後の変更の一環として、2024 年から Microsoft リモート デスクトップから Windows クラウド ログインに移行します。 両方のアプリケーションを構成することで、変更への準備が整います。

Entra 認証を許可するには、Microsoft Graph PowerShell SDK を使用して、サービス プリンシパルに新しい remoteDesktopSecurityConfiguration オブジェクト を作成し、プロパティ isRemoteDesktopProtocolEnabled を true に設定します。 Microsoft Graph API は、Graph エクスプローラーなどのツールと共に使用することもできます。

PowerShell を使用して変更を行うには、以下の手順に従います:

1. PowerShell ターミナルの種類を使用して Azure portal で Azure Cloud Shell を起動するか、ローカル デバイスで PowerShell を実行します。

   1. Cloud Shell を使用している場合は、Azure コンテキストが使用するサブスクリプションに設定されていることを確認してください。

   2. PowerShell をローカルで使用している場合は、まず Azure PowerShell でサインインし、Azure コンテキストが使用するサブスクリプションに設定されていることを確認します。

2. 前提条件から Microsoft Graph PowerShell SDK がインストールされていることを確認してください。 次に、認証およびアプリケーションの Microsoft Graph モジュールをインポートし、次のコマンドを実行して、Application.Read.All および Application-RemoteDesktopConfig.ReadWrite.All スコープを使用して Microsoft Graph に接続します。

   Import-Module Microsoft.Graph.Authentication
   Import-Module Microsoft.Graph.Applications
   
   Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"
   

3. 次のコマンドを実行して、各サービス プリンシパルのオブジェクト ID を取得し、変数に保存します:

   $MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id
   $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id
   

4. 次のコマンドを実行して、プロパティ isRemoteDesktopProtocolEnabled を true に設定します。 これらのコマンドからの出力はありません。

   $params = @{
       "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration"
       isRemoteDesktopProtocolEnabled = $true
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   
   If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) {
       Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params
   }
   

5. 次のコマンドを実行して、プロパティ isRemoteDesktopProtocolEnabled が true に設定されていることを確認します:

   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId
   Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId
   

   出力は次のようになります:

   Id IsRemoteDesktopProtocolEnabled
   -- ------------------------------
   id True
   

ターゲット デバイス グループを構成する

RDP に対して Microsoft Entra 認証を有効にした後、ターゲット デバイス グループを構成する必要があります。 既定では、SSO を有効にすると、ユーザーは新しいクラウド PC への接続を開始するときに Microsoft Entra ID への認証を求められ、リモート デスクトップ接続を許可するよう求められます。 Microsoft Entra は、再度プロンプトを表示するまで最大 15 台のホストを 30 日間記憶します。 リモート デスクトップ接続を許可するダイアログが表示された場合は、[はい] を選択して接続する必要があります。

このダイアログを非表示にするには、クラウド PC を含む 1 つ以上のグループを Microsoft Entra ID に作成し、前のセクションで使用したのと同じ Microsoft リモート デスクトップ アプリケーションと Windows クラウド ログイン アプリケーションのサービス プリンシパルのプロパティをグループに設定する必要があります。

ヒント

動的グループを使用し、すべてのクラウド PC が含まれるように動的メンバーシップ ルールを構成することをお勧めします。 このグループではデバイス名を使用できますが、より安全なオプションとして、Microsoft Graph API を使用してデバイス拡張属性を設定して使用できます。 動的グループは通常 5 - 10 分以内に更新されますが、大規模なテナントの場合は最大 24 時間かかる場合があります。

動的グループには、Microsoft Entra ID P1 ライセンスまたは Intune for Education ライセンスが必要です。 詳細については、「グループの動的メンバーシップ ルール」を参照してください。

サービス プリンシパルを構成するには、Microsoft Graph PowerShell SDK を使用して、動的グループのオブジェクト ID と表示名を持つ新しい targetDeviceGroup オブジェクトをサービス プリンシパルに作成します。 Microsoft Graph API は、Graph エクスプローラーなどのツールと共に使用することもできます。

1. ダイアログを非表示にするクラウド PC を含む動的グループを Microsoft Entra ID に作成します。 次の手順のために、グループのオブジェクト ID をメモしておきます。

2. 同じ PowerShell セッションで、次のコマンドを実行し、<placeholders> を独自の値に置き換えて targetDeviceGroup オブジェクトを作成します:

   $tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup
   $tdg.Id = "<Group object ID>"
   $tdg.DisplayName = "<Group display name>"
   

3. 次のコマンドを実行して、グループを targetDeviceGroup オブジェクトに追加します:

   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg
   New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg
   

   出力は次のようになります:

   Id                                   DisplayName
   --                                   -----------
   12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PC
   

   targetDeviceGroup オブジェクトに追加するグループごとに、手順 2 と 3 を繰り返します (最大 10 グループまで)。

4. 後で targetDeviceGroup オブジェクトからデバイス グループを削除する必要がある場合は、<placeholders> を独自の値に置き換えて次のコマンドを実行します:

   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>"
   Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
   

条件付きアクセス ポリシーの確認

SSO を有効にすると、クラウド PC に対してユーザーを認証するための新しい Microsoft Entra ID アプリが導入されます。 Windows 365 へのアクセス時に適用される条件付きアクセス ポリシーがある場合は、Windows 365 の条件付きアクセス ポリシーを設定するための推奨事項を確認して、ユーザーが希望するエクスペリエンスを得られるようし、環境を保護します。

アカウント内のすべてのクラウド PC で SSO をオンにする

1. Windows 365 管理者ロールを持つアカウントを使用して、windows365.microsoft.com にサインインします。
2. [組織のクラウド PC] を選択し、[組織の設定を更新] を選択します。
3. [クラウド PC 設定] で [シングル サインオン] オプションを選択します。