リモート Microsoft Entra参加済みデバイスに接続する
Windows では、Active Directory に参加しているデバイスと、リモート デスクトップ プロトコル (RDP) を使用してMicrosoft Entra IDに参加しているデバイスへのリモート接続がサポートされています。
- Windows 10 Version 1809以降、生体認証を使用してリモート デスクトップ セッションに対する認証を行うことができます。
- Windows 10/11 以降、2022-10 更新プログラムがインストールされた状態で、Microsoft Entra認証を使用してリモート Microsoft Entra デバイスに接続できます。
前提条件
- デバイス (ローカルとリモート) の両方が、サポートされているバージョンの Windows を実行している必要があります。
- リモート デバイスでは、[設定]、[システム]、[リモート デスクトップ] の [リモート デスクトップ] オプションを選択して、別のデバイスからこの PC に接続>使用する必要があります>リモート デスクトップ。
- [ ネットワーク レベル認証を使用して接続するデバイスを要求する ] オプションを選択することをお勧めします。
- Microsoft Entra IDにデバイスに参加したユーザーがリモート接続を行う唯一のユーザーである場合、他の構成は必要ありません。 より多くのユーザーまたはグループがデバイスにリモートで接続できるようにするには、リモート デバイス のリモート デスクトップ ユーザー グループにユーザーを追加 する必要があります。
- リモート デバイスへの接続に使用しているデバイスで、 リモート資格情報ガード がオフになっていることを確認します。
Microsoft Entra認証で接続する
Microsoft Entra認証は、ローカル デバイスとリモート デバイスの両方で次のオペレーティング システムで使用できます。
- Windows 11 (KB5018418) 以降の 2022-10 累積UpdatesがインストールされているWindows 11。
- Windows 10、バージョン 20H2 以降、Windows 10 (KB5018410) 以降の 2022-10 累積Updatesがインストールされています。
- Windows Server 2022-10 Microsoft サーバー オペレーティング システム (KB5018421) 以降の累積的な更新プログラムがインストールされている 2022 年。
ローカル デバイスをドメインまたはMicrosoft Entra IDに参加させる必要はありません。 その結果、このメソッドを使用すると、次の場所からリモート Microsoft Entra参加済みデバイスに接続できます。
- Microsoft Entra参加済みまたはハイブリッド参加済みデバイスMicrosoft Entra。
- Active Directory 参加済みデバイス。
- ワークグループ デバイス。
Microsoft Entra認証を使用して、ハイブリッド参加済みデバイスMicrosoft Entra接続することもできます。
リモート コンピューターに接続するには:
Windows Search から リモート デスクトップ接続 を起動するか、
mstsc.exeを実行します。[詳細設定] タブの [Web アカウントを使用してリモート コンピューターにサインインする] オプションを選択します。このオプションは、
enablerdsaadauthRDP プロパティと同じです。 詳細については、「 リモート デスクトップ サービスでサポートされる RDP プロパティ」を参照してください。リモート コンピューターの名前を指定し、[ 接続] を選択します。
注
[Web アカウントを使用してリモート コンピューターにサインインする] オプションを使用する場合、IP アドレスを使用できません。 名前は、Microsoft Entra IDのリモート デバイスのホスト名と一致し、リモート デバイスの IP アドレスに解決してネットワーク アドレス指定可能である必要があります。
資格情報の入力を求められたら、
user@domain.com形式でユーザー名を指定します。その後、新しい PC に接続するときにリモート デスクトップ接続を許可するように求められます。 Microsoft Entraは、もう一度プロンプトを表示する前に、最大 15 ホストを 30 日間記憶します。 このダイアログが表示されたら、[ はい ] を選択して接続します。
重要
organizationが構成されていて、条件付きアクセスMicrosoft Entra使用している場合、リモート コンピューターへの接続を許可するには、デバイスが条件付きアクセス要件を満たす必要があります。 許可制御とセッション制御を持つ条件付きアクセス ポリシーは、制御されたアクセスのアプリケーション Microsoft リモート デスクトップ (a4a365df-50f1-4397-bc59-1a1564b8bb9c) に適用できます。
セッションがロックされている場合の切断
リモート セッションの Windows ロック画面では、Microsoft Entra認証トークンや FIDO キーなどのパスワードレス認証方法はサポートされていません。 これらの認証方法がサポートされていないということは、ユーザーがリモート セッションで画面のロックを解除できないことを意味します。 ユーザー アクションまたはシステム ポリシーを使用してリモート セッションをロックしようとすると、セッションは代わりに切断され、サービスは切断されたことを説明するメッセージをユーザーに送信します。
また、セッションを切断すると、非アクティブな期間が経過した後に接続が再起動されると、適用できる条件付きアクセス ポリシー Microsoft Entra ID再評価されます。
Microsoft Entra認証なしで接続する
既定では、リモート PC でサポートされている場合でも、RDP ではMicrosoft Entra認証は使用されません。 このメソッドを使用すると、次の場所からリモート Microsoft Entra参加済みデバイスに接続できます。
- Windows 10 バージョン 1607 以降を使用して、参加済みまたはハイブリッド参加済みデバイスMicrosoft Entra Microsoft Entra。
- Windows 10 バージョン 2004 以降を使用して登録されたデバイスをMicrosoft Entraします。
注
ローカル デバイスとリモート デバイスの両方が、同じMicrosoft Entra テナント内にある必要があります。 Microsoft Entra B2B ゲストはリモート デスクトップではサポートされていません。
リモート コンピューターに接続するには:
- Windows Search から リモート デスクトップ接続 を起動するか、
mstsc.exeを実行します。 - リモート コンピューターの名前を指定します。
- 資格情報の入力を求められたら、
user@domain.comまたはAzureAD\user@domain.com形式でユーザー名を指定します。
ヒント
ユーザー名をdomain\user形式で指定すると、リモート コンピューターが参加Microsoft Entraというメッセージでログオン試行が失敗したことを示すエラーが表示されることがあります。職場アカウントにサインインする場合は、職場のメール アドレスを使用してみてください。
注
バージョン 1703 以前のWindows 10を実行しているデバイスの場合、ユーザーはリモート接続を試行する前に、まずリモート デバイスにサインインする必要があります。
サポートされている構成
次の表に、Microsoft Entra認証を使用せずにMicrosoft Entra参加済みデバイスにリモート接続するためのサポートされている構成を示します。
| 条件 | クライアント オペレーティング システム | サポートされている資格情報 |
|---|---|---|
| 登録済みデバイスからの RDP Microsoft Entra | Windows 10バージョン 2004 以降 | パスワード、スマート カード |
| 参加済みデバイスからの RDP Microsoft Entra | Windows 10 バージョン 1607 以降 | パスワード、スマート カード、Windows Hello for Business証明書の信頼 |
| ハイブリッド参加済みデバイスからの RDP Microsoft Entra | Windows 10 バージョン 1607 以降 | パスワード、スマート カード、Windows Hello for Business証明書の信頼 |
注
RDP クライアントが Windows Server 2016 または Windows Server 2019 を実行している場合、参加しているデバイスMicrosoft Entra接続できるようにするには、公開キー暗号化ベースのユーザー間 (PKU2U) 認証要求でオンライン ID を使用できるようにする必要があります。
注
Microsoft Entra グループが Windows デバイスのリモート デスクトップ ユーザー グループに追加された場合、Microsoft Entra グループに属するユーザーが RDP 経由でログインした場合、リモート接続の確立に失敗した場合は適用されません。 このシナリオでは、ネットワーク レベル認証を無効にして接続を許可する必要があります。
リモート デスクトップ ユーザー グループにユーザーを追加する
リモート デスクトップ ユーザー グループは、デバイスにリモート接続するためのアクセス許可をユーザーとグループに付与するために使用されます。 ユーザーは、手動または MDM ポリシーを使用して追加できます。
ユーザーを手動で追加する:
リモート接続の個々のMicrosoft Entra アカウントを指定する場合は、次のコマンドを実行します。ここで、
<userUPN>はユーザーの UPN です (例:user@domain.com)。net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"このコマンドを実行するには、ローカルの Administrators グループのメンバーである必要があります。 そうしないと、
There is no such global user or group: <name>のようなエラーが表示されることがあります。ポリシーを使用したユーザーの追加:
バージョン 2004 Windows 10以降、「参加済みデバイスでローカル管理者グループを管理する方法」の説明に従って、MDM ポリシーを使用してリモート デスクトップ ユーザーにユーザー Microsoft Entra追加できます。