この記事では、Azure Virtual Desktop で使用できる ID と認証方法の簡単な概要について説明します。
ID
Azure Virtual Desktop では、選択した構成に応じてさまざまな種類の ID がサポートされます。 このセクションでは、構成ごとに使用できる ID について説明します。
重要
Azure Virtual Desktop では、1 つのユーザー アカウントを使用して Microsoft Entra ID にサインインしてから、別のユーザー アカウントで Windows にサインインすることはできません。 2 つの異なるアカウントで同時にサインインすると、ユーザーが間違ったセッション ホストに再接続したり、Azure portalの情報が正しくないか見つからないり、App Attach の使用中にエラー メッセージが表示されたりする可能性があります。
オンプレミス ID
Azure Virtual Desktop にアクセスするには、Microsoft Entra ID を介してユーザーを検出できる必要があるため、Active Directory Domain Services (AD DS) にのみ存在するユーザー ID はサポートされていません。 これには、Active Directory フェデレーション サービス (AD FS) (AD FS) を使用したスタンドアロン Active Directory デプロイが含まれます。
ハイブリッド ID
Azure Virtual Desktop では、AD FS を使用してフェデレーションされたものも含め、Microsoft Entra ID を使用したハイブリッド ID がサポートされます。 AD DS でこれらのユーザー ID を管理し、Microsoft Entra Connect を使用してMicrosoft Entra ID に同期できます。 また、Microsoft Entra ID を使用してこれらの ID を管理し、Microsoft Entra Domain Servicesに同期することもできます。
ハイブリッド ID を使用して Azure Virtual Desktop にアクセスする場合、Active Directory (AD) 内のユーザーのユーザー プリンシパル名 (UPN) またはセキュリティ識別子 (SID) とMicrosoft Entra ID が一致しない場合があります。 たとえば、AD アカウント user@contoso.localは、Microsoft Entra ID のuser@contoso.comに対応する場合があります。 Azure Virtual Desktop では、AD アカウントと Microsoft Entra ID アカウントの両方の UPN または SID が一致する場合にのみ、この種類の構成がサポートされます。 SID は、AD のユーザー オブジェクト プロパティ "ObjectSID" と、Microsoft Entra ID の "OnPremisesSecurityIdentifier" を参照します。
クラウド専用 ID
Azure Virtual Desktop では、参加済み VM を使用する場合Microsoft Entraクラウド専用 ID がサポートされます。 これらのユーザーは、Microsoft Entra ID で直接作成および管理されます。
注:
また、参加型のセッション ホストをホストする Azure Virtual Desktop アプリケーション グループにハイブリッド ID Microsoft Entra割り当てることもできます。
フェデレーション ID
Microsoft Entra ID またはActive Directory Domain Services以外のサード パーティ ID プロバイダー (IdP) を使用してユーザー アカウントを管理する場合は、次のことを確認する必要があります。
- IdP は、Microsoft Entra ID とフェデレーションされています。
- セッション ホストは、Microsoft Entraに参加しているか、ハイブリッドに参加Microsoft Entra。
- セッション ホストMicrosoft Entra認証を有効にします。
外部 ID (プレビュー)
外部 ID (プレビュー) のサポートを使用すると、Entra ID テナントにユーザーを招待し、Azure Virtual Desktop リソースを提供できます。 リソースを外部 ID に提供する場合、いくつかの要件と制限があります。
- 要件
- セッション ホスト オペレーティング システム: セッション ホストは、Windows 11 (KB5065789) 以降のインストール用の 2025-09 累積Updatesを使用して、Windows 11 Enterpriseバージョン 24H2 以降を実行している必要があります。
- セッション ホスト参加の種類: セッション ホストは Entra 参加済みである必要があります。
- シングル サインオン: ホスト プールに 対してシングル サインオン を構成する必要があります。
- Windows App クライアント: 外部 ID は、Windows または Web ブラウザーのWindows Appから接続する必要があります。
- 制限事項
- FSLogix: FSLogix はまだサポートされていません。 外部 ID はプールされたリソースに接続できますが、サインインする各セッション ホストに新しいユーザー プロファイルが作成されます。
- Intune デバイス構成ポリシー: 外部 ID に割り当てられたデバイス構成ポリシーは、セッション ホスト上のユーザーには適用されません。 代わりに、デバイス構成ポリシーをデバイスに割り当てます。
- クラウドの可用性: この機能は Azure パブリック クラウドでのみ使用できますが、21Vianet によって運用される Government クラウドまたは Azure では使用できません。
- クロスクラウド招待: クロスクラウド ユーザーはサポートされていません。 ソーシャル ID プロバイダーから招待したユーザー Microsoft Entra、Microsoft Azure コマーシャル クラウドのユーザー、または従業員テナントに登録されている他の ID プロバイダーからのユーザーにのみ、Azure Virtual Desktop リソース アクセスを提供できます。 21Vianet が運営する Microsoft Azure Government または Microsoft Azure から招待したユーザーに Azure Virtual Desktop リソースを割り当てることはできません。
- トークン保護: Microsoft Entraには、外部 ID のトークン保護に関する一定の制限があります。 プラットフォーム別のトークン保護Windows Appサポートの詳細を確認してください。
- Kerberos 認証: 外部 ID は、Kerberos または NTLM プロトコルを使用してオンプレミス リソースに対して認証できません。
- Windows App クライアント: Windows でWindows Appを使用する場合は、B2B ログインを完了するために、Windows Appを実行しているデバイスでレジストリ キーを設定する必要があります。 必要なレジストリ キーについて詳しくは、こちらをご覧ください。
外部 ID の環境の構成に関する推奨事項とライセンス ガイダンスについては、「Microsoft Entra B2B のベスト プラクティス」を参照してください。
認証方法
Azure Virtual Desktop リソースにアクセスする場合、次の 3 つの認証フェーズがあります。
- クラウド サービス認証: リソースのサブスクライブとゲートウェイへの認証を含む Azure Virtual Desktop サービスへの認証は、Microsoft Entra ID を使用します。
- リモート セッション認証: リモート VM への認証。 推奨されるシングル サインオン (SSO) など、リモート セッションに対して認証する方法は複数あります。
- セッション内認証: リモート セッション内のアプリケーションと Web サイトに対する認証。
認証フェーズごとに異なるクライアントで使用できる資格情報の一覧については、 プラットフォーム間でクライアントを比較します。
重要
認証を適切に機能させるには、ローカル コンピューターが リモート デスクトップ クライアントに必要な URL にもアクセスできる必要があります。
次のセクションでは、これらの認証フェーズの詳細について説明します。
クラウド サービス認証
Azure Virtual Desktop リソースにアクセスするには、まず、Microsoft Entra ID アカウントでサインインしてサービスに対して認証する必要があります。 認証は、リソースの取得をサブスクライブするときに、接続の起動時またはサービスへの診断情報の送信時にゲートウェイに接続するたびに行われます。 この認証に使用されるMicrosoft Entra ID リソースは Azure Virtual Desktop (アプリ ID 9cdead84-a844-4324-93f2-b2e6bb768d07) です。
多要素認証
「条件付きアクセスを使用して Azure Virtual Desktop に多要素認証Microsoft Entra適用する」の手順に従って、デプロイMicrosoft Entra多要素認証を適用する方法を確認します。 この記事では、ユーザーに資格情報の入力を求めるメッセージを表示する頻度を構成する方法についても説明します。 参加済み VM Microsoft Entraデプロイするときは、参加済みセッション ホスト VM Microsoft Entra追加の手順に注意してください。
パスワードレス認証
Microsoft Entra ID でサポートされている認証の種類 (Windows Hello for Business など)、その他のパスワードレス認証オプション (FIDO キーなど) を使用して、サービスに対する認証を行うことができます。
スマート カード認証
スマート カードを使用して MICROSOFT ENTRA ID を認証するには、最初に証明書ベースの認証Microsoft Entra構成するか、ユーザー証明書認証用に AD FS を構成する必要があります。
サード パーティ ID プロバイダー
サード パーティの ID プロバイダーは、Microsoft Entra ID とフェデレーションする限り使用できます。
リモート セッション認証
シングル サインオンを有効にしていない場合、または資格情報をローカルに保存していない場合は、接続を起動するときにセッション ホストに対する認証も必要です。
シングル サインオン (SSO)
SSO を使用すると、接続でセッション ホスト資格情報プロンプトをスキップし、Microsoft Entra認証によってユーザーを Windows に自動的にサインインできます。 参加済みまたはハイブリッド参加Microsoft Entra Microsoft Entraセッション ホストの場合は、Microsoft Entra認証を使用して SSO を有効にすることをお勧めします。 Microsoft Entra認証には、パスワードレス認証やサードパーティ ID プロバイダーのサポートなど、その他の利点があります。
Azure Virtual Desktop では、Windows デスクトップクライアントと Web クライアントのActive Directory フェデレーション サービス (AD FS) (AD FS) を使用した SSO もサポートされています。
SSO を使用しない場合、クライアントは、すべての接続に対してセッション ホスト資格情報の入力をユーザーに求めます。 メッセージが表示されないようにする唯一の方法は、クライアントに資格情報を保存することです。 セキュリティで保護されたデバイスにのみ資格情報を保存して、他のユーザーがリソースにアクセスできないようにすることをお勧めします。
ビジネス向けのスマート カードとWindows Hello
Azure Virtual Desktop では、セッション ホスト認証に NT LAN Manager (NTLM) と Kerberos の両方がサポートされていますが、Smart カード と Windows Hello for Business では Kerberos のみを使用してサインインできます。 Kerberos を使用するには、クライアントがドメイン コントローラーで実行されているキー配布センター (KDC) サービスから Kerberos セキュリティ チケットを取得する必要があります。 チケットを取得するには、クライアントがドメイン コントローラーに直接ネットワーク接続する必要があります。 企業ネットワーク内で直接接続するか、VPN 接続を使用するか、 KDC プロキシ サーバーを設定することで、視線を得ることができます。
セッション内認証
RemoteApp またはデスクトップに接続すると、セッション内で認証を求められる場合があります。 このセクションでは、このシナリオでユーザー名とパスワード以外の資格情報を使用する方法について説明します。
セッション内パスワードレス認証
Azure Virtual Desktop では、Windows Hello for Business を使用したセッション内パスワードレス認証や、Windows デスクトップ クライアントを使用する場合の FIDO キーなどのセキュリティ デバイスがサポートされています。 セッション ホストとローカル PC が次のオペレーティング システムを使用している場合、パスワードレス認証は自動的に有効になります。
- Windows 11 (KB5018418) 以降の 2022-10 累積Updatesがインストールされている単一または複数セッションWindows 11。
- Windows 10 (KB5018410) 以降の 2022-10 累積Updatesがインストールされている単一または複数セッションのバージョン 20H2 以降Windows 10。
- Windows Server 2022-10 Microsoft サーバー オペレーティング システム (KB5018421) 以降の累積的な更新プログラムがインストールされている 2022。
ホスト プールでパスワードレス認証を無効にするには、 RDP プロパティをカスタマイズする必要があります。 WebAuthn リダイレクト プロパティは、Azure portalの [デバイス リダイレクト] タブにあるか、PowerShell を使用して redirectwebauthn プロパティを 0 に設定します。
有効にすると、セッション内のすべての WebAuthn 要求がローカル PC にリダイレクトされます。 Windows Hello for Business またはローカルに接続されたセキュリティ デバイスを使用して、認証プロセスを完了できます。
Windows Hello for Business またはセキュリティ デバイスMicrosoft Entraリソースにアクセスするには、ユーザーの認証方法として FIDO2 セキュリティ キーを有効にする必要があります。 この方法を有効にするには、「 FIDO2 セキュリティ キーメソッドを有効にする」の手順に従います。
セッション内スマート カード認証
セッションでスマート カードを使用するには、セッション ホストにスマート カード ドライバーをインストールし、スマート カード リダイレクトを有効にしていることを確認します。 スマート カード リダイレクトを使用できるように、Windows Appとリモート デスクトップ アプリの比較グラフを確認します。
次の手順
- デプロイをセキュリティで保護する他の方法について興味がありますか? セキュリティの ベスト プラクティスに関するページを参照してください。
- 参加済み VM への接続Microsoft Entra問題が発生しましたか? 「参加済み VM への接続Microsoft Entraトラブルシューティング」を参照してください。
- セッション内パスワードレス認証に問題がありますか? 「WebAuthn リダイレクトのトラブルシューティング」を参照してください。
- 企業ネットワークの外部からスマート カードを使用しますか? KDC プロキシ サーバーを設定する方法を確認します。