Windows 365 の ID と認証
クラウド PC ユーザーの ID は、そのユーザーとクラウド PC を管理するアクセス管理サービスを定義します。 この ID では次のものが定義されます:
- ユーザーがアクセスできるクラウド PC の種類。
- ユーザーがアクセスできるクラウド以外の PC リソースの種類。
デバイスは、Microsoft Entra IDへの参加の種類によって決定される ID を持つことができます。 デバイスの場合、参加の種類により次が定義されます:
- デバイスがドメイン コントローラーへの見通し線を必要とする場合。
- デバイスの管理方法。
- ユーザーがデバイスを認証する方法。
ID の種類
ID の種類は 4 つあります。
- ハイブリッド ID: オンプレミスの Active Directory Domain Servicesで作成された後、Microsoft Entra IDに同期されるユーザーまたはデバイス。
- クラウド専用 ID: 作成され、Microsoft Entra IDにのみ存在するユーザーまたはデバイス。
- フェデレーション ID: サード パーティの ID プロバイダーで作成されたユーザー。その他のMicrosoft Entra IDまたはActive Directory Domain Servicesし、Microsoft Entra IDとフェデレーションします。
- 外部 ID: Microsoft Entra テナントの外部で作成および管理されているが、organizationのリソースにアクセスするためにMicrosoft Entra テナントに招待されているユーザー。
注:
- Windows 365では、シングル サインオンが有効になっている場合にフェデレーション ID がサポートされます。
- Windows 365 では、外部 ID はサポートされていません。
デバイス参加の種類
クラウド PC のプロビジョニングをするときに選択できる参加の種類は 2 つあります。
- Microsoft Entraハイブリッド参加: この参加の種類を選択した場合、Windows 365は、指定したWindows Server Active Directory ドメインにクラウド PC を参加させます。 その後、organizationがハイブリッド結合Microsoft Entra適切に構成されている場合、デバイスはMicrosoft Entra IDに同期されます。
- Microsoft Entra参加: この結合の種類を選択した場合、Windows 365はクラウド PC を直接Microsoft Entra IDに参加します。
次の表は、選択した結合の種類に基づく主な機能または要件を示しています。
機能または要件 | ハイブリッド結合Microsoft Entra | Microsoft Entra参加 |
---|---|---|
Azure サブスクリプション | 必須 | 省略可能 |
ドメイン コントローラーへの見通し線がある Azure Virtual Network | 必須 | 省略可能 |
ログインでサポートされているユーザー ID の種類 | ハイブリッド ユーザーのみ | ハイブリッド ユーザーまたはクラウド専用ユーザー |
ポリシー管理 | グループ ポリシー オブジェクト (GPO) または Intune MDM | Intune MDM のみ |
Windows Hello for Business サインインがサポートされています | はい。接続するデバイスには、ダイレクト ネットワークまたは VPN を介してドメイン コントローラーへの見通し線があることが必要です | はい |
認証
ユーザーがクラウド PC にアクセスすると、次の 3 つの個別の認証フェーズがあります。
- クラウド サービス認証: リソースのサブスクライブとゲートウェイへの認証を含むWindows 365 サービスへの認証は、Microsoft Entra IDです。
- リモート セッション認証: クラウド PC への認証。 推奨されるシングル サインオン (SSO) など、リモート セッションに対して認証する方法は複数あります。
- セッション内認証: クラウド PC 内のアプリケーションと Web サイトに対する認証。
認証フェーズごとに異なるクライアントで使用できる資格情報の一覧については、 プラットフォーム間でクライアントを比較します。
重要
認証を正常に機能させるには、ユーザーのローカル コンピューターが Azure Virtual Desktop の必須 URL リストの [リモート デスクトップ クライアント] セクションにある URL にアクセスできる必要があります。
Windows 365では、シングル サインオン (Windows 365 サービス認証とクラウド PC 認証の両方を満たすことができる単一認証プロンプトとして定義) がサービスの一部として提供されます。 詳細については、「 シングル サインオン」を参照してください。
次のセクションでは、これらの認証フェーズの詳細について説明します。
クラウド サービス認証
ユーザーは、次の場合に Windows 365 サービスで認証する必要があります:
- windows365.microsoft.com にアクセスするとき。
- クラウド PC に直接マップされる URL に移動するとき。
- サポートされているクライアントを使用して、クラウド PC を一覧表示します。
Windows 365 サービスにアクセスするには、まず、Microsoft Entra ID アカウントでサインインしてサービスに対する認証を行う必要があります。
多要素認証
「条件付きアクセス ポリシーの設定」の手順に従って、クラウド PC に多要素認証Microsoft Entra適用する方法について説明します。 この記事では、ユーザーに資格情報の入力を求める頻度を構成する方法についても説明します。
パスワードレス認証
ユーザーは、Microsoft Entra IDでサポートされている任意の認証の種類 (Windows Hello for Businessや他のパスワードレス認証オプション (FIDO キーなど) を使用して、サービスに対する認証を行うことができます。
スマート カード認証
スマート カードを使用してMicrosoft Entra IDを認証するには、最初に証明書ベースの認証Microsoft Entra構成するか、ユーザー証明書認証用に AD FS を構成する必要があります。
サード パーティ ID プロバイダー
サード パーティの ID プロバイダーは、Microsoft Entra IDとフェデレーションする限り使用できます。
リモート セッション認証
シングル サインオンをまだ有効にしていない場合、ユーザーが資格情報をローカルに保存していない場合は、接続を起動するときにクラウド PC に対する認証も必要です。
シングル サインオン (SSO)
シングル サインオン (SSO) を使用すると、接続で Cloud PC 資格情報プロンプトをスキップし、Microsoft Entra認証によってユーザーを Windows に自動的にサインインできます。 Microsoft Entra認証には、パスワードレス認証やサードパーティ ID プロバイダーのサポートなど、その他の利点があります。 開始するには、 シングル サインオンを構成する手順を確認します。
SSO を使用しない場合、クライアントは、すべての接続に対してクラウド PC 資格情報の入力をユーザーに求めます。 メッセージが表示されないようにする唯一の方法は、クライアントに資格情報を保存することです。 セキュリティで保護されたデバイスにのみ資格情報を保存して、他のユーザーがリソースにアクセスできないようにすることをお勧めします。
セッション内認証
クラウド PC に接続すると、セッション内で認証を求められる場合があります。 このセクションでは、このシナリオでユーザー名とパスワード以外の資格情報を使用する方法について説明します。
セッション内パスワードレス認証
Windows 365では、Windows デスクトップ クライアントを使用する場合、Windows Hello for Businessや FIDO キーなどのセキュリティ デバイスを使用したセッション内パスワードレス認証がサポートされます。 クラウド PC とローカル PC が次のオペレーティング システムを使用している場合、パスワードレス認証は自動的に有効になります。
- Windows 11 (KB5018418) 以降の 2022-10 累積UpdatesがインストールされているWindows 11 Enterprise。
- Windows 10 Enterpriseバージョン 20H2 以降で、Windows 10 (KB5018410) 以降の 2022-10 累積Updatesがインストールされています。
有効にすると、セッション内のすべての WebAuthn 要求がローカル PC にリダイレクトされます。 Windows Hello for Businessまたはローカルに接続されたセキュリティ デバイスを使用して、認証プロセスを完了できます。
Windows Hello for Businessまたはセキュリティ デバイスMicrosoft Entraリソースにアクセスするには、ユーザーの認証方法として FIDO2 セキュリティ キーを有効にする必要があります。 この方法を有効にするには、「 FIDO2 セキュリティ キーメソッドを有効にする」の手順に従います。
セッション内スマート カード認証
セッションでスマート カードを使用するには、クラウド PC にスマート カード ドライバーをインストールし、クラウド PC の RDP デバイス リダイレクトの管理の一環としてスマート カード リダイレクトを許可します。 クライアントの比較グラフを確認して、クライアントがスマート カード リダイレクトをサポートしていることを確認します。