この記事では、Azure Virtual Desktop で使用できる ID と認証方法の簡単な概要について説明します。
ID
Azure Virtual Desktop では、選択した構成に応じてさまざまな種類の ID がサポートされます。 このセクションでは、構成ごとに使用できる ID について説明します。
重要
Azure Virtual Desktop では、1 つのユーザー アカウントでMicrosoft Entra IDにサインインしてから、別のユーザー アカウントで Windows にサインインすることはできません。 2 つの異なるアカウントで同時にサインインすると、ユーザーが間違ったセッション ホストに再接続したり、Azure portalの情報が正しくないか見つからないり、App Attach の使用中にエラー メッセージが表示されたりする可能性があります。
オンプレミス ID
Azure Virtual Desktop にアクセスするには、Microsoft Entra IDを介してユーザーを検出できる必要があるため、Active Directory Domain Services (AD DS) にのみ存在するユーザー ID はサポートされていません。 これには、Active Directory フェデレーション サービス (AD FS) (AD FS) を使用したスタンドアロン Active Directory デプロイが含まれます。
ハイブリッド ID
Azure Virtual Desktop では、AD FS を使用してフェデレーションされたものも含め、Microsoft Entra IDを介したハイブリッド ID がサポートされます。 AD DS でこれらのユーザー ID を管理し、Microsoft Entra Connect を使用してMicrosoft Entra IDに同期できます。 Microsoft Entra IDを使用してこれらの ID を管理し、Microsoft Entra Domain Servicesに同期することもできます。
ハイブリッド ID を使用して Azure Virtual Desktop にアクセスする場合、Active Directory (AD) 内のユーザーのユーザー プリンシパル名 (UPN) またはセキュリティ識別子 (SID) が一致せず、Microsoft Entra IDが一致しない場合があります。 たとえば、AD アカウント user@contoso.localは、Microsoft Entra IDのuser@contoso.comに対応する場合があります。 Azure Virtual Desktop では、AD アカウントとMicrosoft Entra ID アカウントの両方の UPN または SID が一致する場合にのみ、この種類の構成がサポートされます。 SID は、AD のユーザー オブジェクト プロパティ "ObjectSID" と、Microsoft Entra IDの "OnPremisesSecurityIdentifier" を参照します。
クラウド専用 ID
Azure Virtual Desktop では、参加済み VM を使用する場合Microsoft Entraクラウド専用 ID がサポートされます。 これらのユーザーは、Microsoft Entra IDで直接作成および管理されます。
注:
また、参加型のセッション ホストをホストする Azure Virtual Desktop アプリケーション グループにハイブリッド ID Microsoft Entra割り当てることもできます。
フェデレーション ID
Microsoft Entra IDまたはActive Directory Domain Services以外のサード パーティ ID プロバイダー (IdP) を使用してユーザー アカウントを管理する場合は、次のことを確認する必要があります。
- IdP はMicrosoft Entra IDとフェデレーションされています。
- セッション ホストは、Microsoft Entraに参加しているか、ハイブリッドに参加Microsoft Entra。
- セッション ホストMicrosoft Entra認証を有効にします。
外部 ID
現在、Azure Virtual Desktop では 外部 ID はサポートされていません。
認証方法
Azure Virtual Desktop リソースにアクセスする場合、次の 3 つの認証フェーズがあります。
- クラウド サービス認証: リソースのサブスクライブとゲートウェイへの認証を含む Azure Virtual Desktop サービスへの認証は、Microsoft Entra IDです。
- リモート セッション認証: リモート VM への認証。 推奨されるシングル サインオン (SSO) など、リモート セッションに対して認証する方法は複数あります。
- セッション内認証: リモート セッション内のアプリケーションと Web サイトに対する認証。
認証フェーズごとに異なるクライアントで使用できる資格情報の一覧については、 プラットフォーム間でクライアントを比較します。
重要
認証を適切に機能させるには、ローカル コンピューターが リモート デスクトップ クライアントに必要な URL にもアクセスできる必要があります。
次のセクションでは、これらの認証フェーズの詳細について説明します。
クラウド サービス認証
Azure Virtual Desktop リソースにアクセスするには、まず、Microsoft Entra ID アカウントでサインインしてサービスに対する認証を行う必要があります。 認証は、リソースの取得をサブスクライブするときに、接続の起動時またはサービスへの診断情報の送信時にゲートウェイに接続するたびに行われます。 この認証に使用されるMicrosoft Entra ID リソースは Azure Virtual Desktop (アプリ ID 9cdead84-a844-4324-93f2-b2e6bb768d07) です。
多要素認証
「条件付きアクセスを使用して Azure Virtual Desktop に多要素認証Microsoft Entra適用する」の手順に従って、デプロイMicrosoft Entra多要素認証を適用する方法を確認します。 この記事では、ユーザーに資格情報の入力を求めるメッセージを表示する頻度を構成する方法についても説明します。 参加済み VM Microsoft Entraデプロイするときは、参加済みセッション ホスト VM Microsoft Entra追加の手順に注意してください。
パスワードレス認証
Windows Hello for Businessやその他のパスワードレス認証オプション (FIDO キーなど) など、Microsoft Entra IDでサポートされている任意の認証の種類を使用して、サービスに対する認証を行うことができます。
スマート カード認証
スマート カードを使用してMicrosoft Entra IDを認証するには、最初に証明書ベースの認証Microsoft Entra構成するか、ユーザー証明書認証用に AD FS を構成する必要があります。
サード パーティ ID プロバイダー
サード パーティの ID プロバイダーは、Microsoft Entra IDとフェデレーションする限り使用できます。
リモート セッション認証
シングル サインオンを有効にしていない場合、または資格情報をローカルに保存していない場合は、接続を起動するときにセッション ホストに対する認証も必要です。
シングル サインオン (SSO)
SSO を使用すると、接続でセッション ホスト資格情報プロンプトをスキップし、Microsoft Entra認証によってユーザーを Windows に自動的にサインインできます。 参加済みまたはハイブリッド参加Microsoft Entra Microsoft Entraセッション ホストの場合は、Microsoft Entra認証を使用して SSO を有効にすることをお勧めします。 Microsoft Entra認証には、パスワードレス認証やサードパーティ ID プロバイダーのサポートなど、その他の利点があります。
Azure Virtual Desktop では、Windows デスクトップクライアントと Web クライアントのActive Directory フェデレーション サービス (AD FS) (AD FS) を使用した SSO もサポートされています。
SSO を使用しない場合、クライアントは、すべての接続に対してセッション ホスト資格情報の入力をユーザーに求めます。 メッセージが表示されないようにする唯一の方法は、クライアントに資格情報を保存することです。 セキュリティで保護されたデバイスにのみ資格情報を保存して、他のユーザーがリソースにアクセスできないようにすることをお勧めします。
スマート カードとWindows Hello for Business
Azure Virtual Desktop では、セッション ホスト認証に NT LAN Manager (NTLM) と Kerberos の両方がサポートされていますが、Smart カード と Windows Hello for Business では Kerberos のみを使用してサインインできます。 Kerberos を使用するには、クライアントがドメイン コントローラーで実行されているキー配布センター (KDC) サービスから Kerberos セキュリティ チケットを取得する必要があります。 チケットを取得するには、クライアントがドメイン コントローラーに直接ネットワーク接続する必要があります。 企業ネットワーク内で直接接続するか、VPN 接続を使用するか、 KDC プロキシ サーバーを設定することで、視線を得ることができます。
セッション内認証
RemoteApp またはデスクトップに接続すると、セッション内で認証を求められる場合があります。 このセクションでは、このシナリオでユーザー名とパスワード以外の資格情報を使用する方法について説明します。
セッション内パスワードレス認証
Azure Virtual Desktop では、Windows デスクトップ クライアントを使用する場合、Windows Hello for Businessまたは FIDO キーなどのセキュリティ デバイスを使用したセッション内パスワードレス認証がサポートされます。 セッション ホストとローカル PC が次のオペレーティング システムを使用している場合、パスワードレス認証は自動的に有効になります。
- Windows 11 (KB5018418) 以降の 2022-10 累積Updatesがインストールされている単一または複数セッションWindows 11。
- Windows 10 (KB5018410) 以降の 2022-10 累積Updatesがインストールされている単一または複数セッションのバージョン 20H2 以降Windows 10。
- Windows Server 2022-10 Microsoft サーバー オペレーティング システム (KB5018421) 以降の累積的な更新プログラムがインストールされている 2022。
ホスト プールでパスワードレス認証を無効にするには、 RDP プロパティをカスタマイズする必要があります。 WebAuthn リダイレクト プロパティは、Azure portalの [デバイス リダイレクト] タブにあるか、PowerShell を使用して redirectwebauthn プロパティを 0 に設定します。
有効にすると、セッション内のすべての WebAuthn 要求がローカル PC にリダイレクトされます。 Windows Hello for Businessまたはローカルに接続されたセキュリティ デバイスを使用して、認証プロセスを完了できます。
Windows Hello for Businessまたはセキュリティ デバイスMicrosoft Entraリソースにアクセスするには、ユーザーの認証方法として FIDO2 セキュリティ キーを有効にする必要があります。 この方法を有効にするには、「 FIDO2 セキュリティ キーメソッドを有効にする」の手順に従います。
セッション内スマート カード認証
セッションでスマート カードを使用するには、セッション ホストにスマート カード ドライバーをインストールし、スマート カード リダイレクトを有効にしていることを確認します。 スマート カード リダイレクトを使用できるように、Windows Appとリモート デスクトップ アプリの比較グラフを確認します。
次の手順
- デプロイをセキュリティで保護する他の方法について興味がありますか? セキュリティの ベスト プラクティスに関するページを参照してください。
- 参加済み VM への接続Microsoft Entra問題が発生しましたか? 「参加済み VM への接続Microsoft Entraトラブルシューティング」を参照してください。
- セッション内パスワードレス認証に問題がありますか? 「WebAuthn リダイレクトのトラブルシューティング」を参照してください。
- 企業ネットワークの外部からスマート カードを使用しますか? KDC プロキシ サーバーを設定する方法を確認します。