リモートの Microsoft Entra 参加済みデバイスに接続する
Windows では、Active Directory に参加しているデバイスと、リモート デスクトップ プロトコル (RDP) を使用して Microsoft Entra ID に参加しているデバイスへのリモート接続がサポートされています。
- Windows 10 バージョン 1809 以降では、 生体認証を使用してリモート デスクトップ セッションに対する認証を行うことができます。
- Windows 10/11 以降では、2022-10 更新プログラムがインストールされ、 Microsoft Entra 認証を使用してリモートの Microsoft Entra デバイスに接続できます。
前提条件
- デバイス (ローカルとリモート) の両方が、サポートされているバージョンの Windows を実行している必要があります。
- リモート デバイスでは、[設定]、[システム]、[リモート デスクトップ] の [リモート デスクトップ] オプションを選択して、別のデバイスからこの PC に接続>使用する必要があります>リモート デスクトップ。
- [ ネットワーク レベル認証を使用して接続するデバイスを要求する ] オプションを選択することをお勧めします。
- デバイスを Microsoft Entra ID に参加させたユーザーがリモート接続を行う唯一のユーザーである場合、他の構成は必要ありません。 より多くのユーザーまたはグループがデバイスにリモートで接続できるようにするには、リモート デバイス のリモート デスクトップ ユーザー グループにユーザーを追加 する必要があります。
- リモート デバイスへの接続に使用しているデバイスで、 リモート資格情報ガード がオフになっていることを確認します。
Microsoft Entra 認証で接続する
Microsoft Entra 認証は、ローカル デバイスとリモート デバイスの両方で次のオペレーティング システムで使用できます。
- Windows 11 と 2022-10 の累積的な更新プログラム (KB5018418) 以降がインストールされています。
- Windows 10 バージョン 20H2 以降で 、2022-10 Windows 10 (KB5018410) 以降の累積的な更新プログラム がインストールされています。
- Windows Server 2022 2022-10 累積的な更新プログラム (KB5018421) 以降がインストールされています。
ローカル デバイスをドメインまたは Microsoft Entra ID に参加させる必要はありません。 その結果、このメソッドを使用すると、次の場所からリモートの Microsoft Entra 参加済みデバイスに接続できます。
- Microsoft Entra 参加済み または Microsoft Entra ハイブリッド参加済み デバイス。
- Active Directory 参加済みデバイス。
- ワークグループ デバイス。
Microsoft Entra 認証を使用して、Microsoft Entra ハイブリッド参加済みデバイスに接続することもできます。
リモート コンピューターに接続するには:
Windows Search から リモート デスクトップ接続 を起動するか、
mstsc.exeを実行します。[詳細設定] タブの [Web アカウントを使用してリモート コンピューターにサインインする] オプションを選択します。このオプションは、
enablerdsaadauthRDP プロパティと同じです。 詳細については、「 リモート デスクトップ サービスでサポートされる RDP プロパティ」を参照してください。リモート コンピューターの名前を指定し、[ 接続] を選択します。
注
[Web アカウントを使用してリモート コンピューターにサインインする] オプションを使用する場合、IP アドレスを使用できません。 この名前は、Microsoft Entra ID のリモート デバイスのホスト名と一致し、リモート デバイスの IP アドレスに解決されるネットワーク アドレス可能である必要があります。
資格情報の入力を求められたら、
user@domain.com形式でユーザー名を指定します。その後、新しい PC に接続するときにリモート デスクトップ接続を許可するように求められます。 Microsoft Entra は、もう一度メッセージを表示する前に、最大 15 ホストを 30 日間記憶しています。 このダイアログが表示されたら、[ はい ] を選択して接続します。
重要
組織が構成されていて、 Microsoft Entra 条件付きアクセスを使用している場合、リモート コンピューターへの接続を許可するには、デバイスが条件付きアクセス要件を満たす必要があります。 許可制御とセッション制御を含む条件付きアクセス ポリシーは、制御されたアクセス用のアプリケーション Microsoft Remote Desktop (a4a365df-50f1-4397-bc59-1a1564b8bb9c) に適用できます。
セッションがロックされている場合の切断
リモート セッションの Windows ロック画面では、Microsoft Entra 認証トークンや FIDO キーなどのパスワードレス認証方法はサポートされていません。 これらの認証方法がサポートされていないということは、ユーザーがリモート セッションで画面のロックを解除できないことを意味します。 ユーザー アクションまたはシステム ポリシーを使用してリモート セッションをロックしようとすると、セッションは代わりに切断され、サービスは切断されたことを説明するメッセージをユーザーに送信します。
また、セッションを切断すると、一定の非アクティブ状態の後に接続が再起動されると、Microsoft Entra ID によって適用される条件付きアクセス ポリシーが再評価されます。
Microsoft Entra 認証なしで接続する
既定では、リモート PC でサポートされている場合でも、RDP は Microsoft Entra 認証を使用しません。 このメソッドを使用すると、次の場所からリモートの Microsoft Entra 参加済みデバイスに接続できます。
- Windows 10 バージョン 1607 以降を使用して、 Microsoft Entra 参加済みデバイスまたは Microsoft Entra ハイブリッド参加済み デバイス。
- Windows 10 バージョン 2004 以降を使用した Microsoft Entra 登録済みデバイス。
注
ローカル デバイスとリモート デバイスの両方が同じ Microsoft Entra テナントに存在する必要があります。 Microsoft Entra B2B ゲストは、リモート デスクトップではサポートされていません。
リモート コンピューターに接続するには:
- Windows Search から リモート デスクトップ接続 を起動するか、
mstsc.exeを実行します。 - リモート コンピューターの名前を指定します。
- 資格情報の入力を求められたら、
user@domain.comまたはAzureAD\user@domain.com形式でユーザー名を指定します。
ヒント
ユーザー名を domain\user 形式で指定した場合、 リモート マシンが Microsoft Entra 参加済みであることを示すメッセージでログオン試行が失敗したことを示すエラーが表示される場合があります。職場アカウントにサインインする場合は、職場のメール アドレスを使用してみてください。
注
Windows 10 バージョン 1703 以前を実行しているデバイスの場合、ユーザーはリモート接続を試みる前に、まずリモート デバイスにサインインする必要があります。
サポートされている構成
次の表に、Microsoft Entra 認証を使用せずに Microsoft Entra 参加済みデバイスにリモート接続するためのサポートされている構成を示します。
| 条件 | クライアント オペレーティング システム | サポートされている資格情報 |
|---|---|---|
| Microsoft Entra 登録済みデバイスからの RDP | Windows 10 バージョン 2004 以降 | パスワード、スマート カード |
| Microsoft Entra 参加済みデバイスからの RDP | Windows 10 バージョン 1607 以降 | パスワード、スマート カード、Windows Hello for Business 証明書の信頼 |
| Microsoft Entra ハイブリッド参加済みデバイスからの RDP | Windows 10 バージョン 1607 以降 | パスワード、スマート カード、Windows Hello for Business 証明書の信頼 |
注
RDP クライアントが Windows Server 2016 または Windows Server 2019 を実行している場合、Microsoft Entra 参加済みデバイスに接続できるようにするには、 公開キー暗号化ベースのユーザー間 (PKU2U) 認証要求でオンライン ID を使用できるようにする必要があります。
注
Microsoft Entra グループが Windows デバイスの リモート デスクトップ ユーザー グループに追加された場合、Microsoft Entra グループに属するユーザーが RDP 経由でログインすると、リモート接続の確立に失敗する場合は適用されません。 このシナリオでは、ネットワーク レベル認証を無効にして接続を許可する必要があります。
リモート デスクトップ ユーザー グループにユーザーを追加する
リモート デスクトップ ユーザー グループは、デバイスにリモート接続するためのアクセス許可をユーザーとグループに付与するために使用されます。 ユーザーは、手動または MDM ポリシーを使用して追加できます。
ユーザーを手動で追加する:
リモート接続用の個々の Microsoft Entra アカウントを指定する場合は、次のコマンドを実行します。ここで、
<userUPN>はユーザーの UPN です (例:user@domain.com)。net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"このコマンドを実行するには、ローカルの Administrators グループのメンバーである必要があります。 そうしないと、
There is no such global user or group: <name>のようなエラーが表示されることがあります。ポリシーを使用したユーザーの追加:
Windows 10 バージョン 2004 以降では、「 Microsoft Entra 参加済みデバイスでローカル管理者グループを管理する方法」の説明に従って、MDM ポリシーを使用してリモート デスクトップ ユーザーにユーザーを追加できます。