次の方法で共有

Azure Virtual Desktop の RDP Shortpath を構成する

重要

  • Azure Virtual Desktop 用 STUN を介したパブリック ネットワークの RDP Shortpath は、Azure パブリック クラウドとAzure Government クラウドで利用できます。
  • TURN for Azure Virtual Desktop 経由のパブリック ネットワークの RDP Shortpath は、Azure パブリック クラウドでのみ使用できます。

ユーザーは、リモート デスクトップ プロトコル (RDP) と UDP または TCP ベースのトランスポートを使用して、Azure Virtual Desktop からリモート セッションに接続できます。 RDP Shortpath は、サポートされているプラットフォームとセッション ホスト上のローカル デバイス Windows Appまたはリモート デスクトップ アプリ間の UDP ベースのトランスポートを確立します。

UDP ベースのトランスポートにより、接続の信頼性が向上し、待機時間の一貫性が向上します。 TCP ベースの逆接続トランスポートは、さまざまなネットワーク構成との最適な互換性を提供し、RDP 接続を確立するための成功率が高くなります。 UDP 接続を確立できない場合は、フォールバック接続方法として TCP ベースの逆接続トランスポートが使用されます。

RDP Shortpath には、UDP を使用してクライアント デバイスをリモート セッションに柔軟に接続する方法を提供する 4 つのオプションがあります。

  • マネージド ネットワークの RDP Shortpath: ExpressRoute プライベート ピアリングや仮想プライベート ネットワーク (VPN) などのプライベート接続を使用して、クライアント デバイスとセッション ホスト間の 直接 UDP 接続。 セッション ホストで RDP Shortpath リスナーを有効にし、受信ポートが接続を受け入れることを許可します。

  • ICE/STUN を使用したマネージド ネットワークの RDP Shortpath: ExpressRoute プライベート ピアリングや仮想プライベート ネットワーク (VPN) などのプライベート接続を使用したクライアント デバイスとセッション ホスト間の 直接 UDP 接続。 セッション ホストで RDP Shortpath リスナーが有効になっていない場合、受信ポートが許可されていない場合、ICE/STUN を使用して、使用可能な IP アドレスと、接続に使用できる動的ポートを検出します。 ポート範囲は構成可能です。

  • ICE/STUN を使用したパブリック ネットワークの RDP Shortpath: パブリック接続を使用したクライアント デバイスとセッション ホスト間の 直接 UDP 接続。 ICE/STUN は、使用可能な IP アドレスと、接続に使用できる動的ポートを検出するために使用されます。 RDP Shortpath リスナーと受信ポートは必要ありません。 ポート範囲は構成可能です。

  • TURN 経由のパブリック ネットワークの RDP Shortpath: TURN がクライアントとセッション ホストの間の中間サーバーを介してトラフィックを中継するパブリック接続を使用して、クライアント デバイスとセッション ホスト間のリレー された UDP 接続。 このオプションを使用する場合の例は、接続で対称 NAT が使用されている場合です。 接続には動的ポートが使用されます。ポート範囲は構成可能です。 TURN が利用可能な Azure リージョンの一覧については、「 TURN 可用性を備えたサポートされている Azure リージョン」を参照してください。 クライアント デバイスからの接続も、サポートされている場所内にある必要があります。 RDP Shortpath リスナーと受信ポートは必要ありません。

クライアント デバイスで使用できる 4 つのオプションのうち、ネットワーク構成にも依存します。 RDP Shortpath のしくみとシナリオ例の詳細については、「 RDP Shortpath」を参照してください。

この記事では、4 つの各オプションの既定の構成とその構成方法を示します。 また、RDP Shortpath が動作していることを確認する手順と、必要に応じて無効にする方法についても説明します。

ヒント

STUN または TURN を使用したパブリック ネットワークの RDP Shortpath は、ネットワークとファイアウォールでセッション ホストとクライアントの Windows オペレーティング システムのトラフィックが許可され、RDP トランスポート設定が既定値を使用している場合、追加の構成なしで自動的に動作します。

既定の構成

セッション ホスト、関連するホスト プールのネットワーク設定、クライアント デバイスを RDP Shortpath 用に構成する必要があります。 構成する必要がある内容は、使用する 4 つの RDP Shortpath オプションと、クライアント デバイスのネットワーク トポロジと構成によっても異なります。

各オプションの既定の動作と構成する必要がある動作を次に示します。

RDP Shortpath オプション セッション ホストの設定 ホスト プールのネットワーク設定 クライアント デバイスの設定
マネージド ネットワークの RDP Shortpath WINDOWS では、既定で UDP と TCP が有効になっています。

Microsoft Intuneまたはグループ ポリシーを使用してセッション ホストで RDP Shortpath リスナーを有効にし、受信ポートが接続を受け入れることを許可する必要があります。		 既定値 (有効) WINDOWS では、既定で UDP と TCP が有効になっています。
ICE/STUN を使用したマネージド ネットワークの RDP Shortpath WINDOWS では、既定で UDP と TCP が有効になっています。

追加の構成は必要ありませんが、使用するポート範囲を制限できます。		 既定値 (有効) WINDOWS では、既定で UDP と TCP が有効になっています。
ICE/STUN を使用したパブリック ネットワークの RDP ショートパス WINDOWS では、既定で UDP と TCP が有効になっています。

追加の構成は必要ありませんが、使用するポート範囲を制限できます。		 既定値 (有効) WINDOWS では、既定で UDP と TCP が有効になっています。
TURN を使用したパブリック ネットワークの RDP Shortpath WINDOWS では、既定で UDP と TCP が有効になっています。

追加の構成は必要ありませんが、使用するポート範囲を制限できます。		 既定値 (有効) WINDOWS では、既定で UDP と TCP が有効になっています。

前提条件

RDP Shortpath を有効にする前に、次のものが必要です。

  • 次のいずれかのアプリを実行しているクライアント デバイス。

    • のプラットフォームでWindows Appします。

      • Windows
      • macOS
      • iOS/iPadOS
      • Android/Chrome OS (プレビュー)

    • 次のプラットフォーム上のリモート デスクトップ アプリ:

      • Windows バージョン 1.2.3488 以降
      • macOS
      • iOS/iPadOS
      • Android/Chrome OS

  • マネージド ネットワークの RDP Shortpath の場合は、クライアントとセッション ホスト間の直接接続が必要です。 つまり、クライアントはポート 3390 (既定) でセッション ホストに直接接続でき、ファイアウォール (Windows ファイアウォールを含む) またはネットワーク セキュリティ グループによってブロックされません。 マネージド ネットワークの例としては、ExpressRoute プライベート ピアリング、サイト間またはポイント対サイト VPN (IPsec) (Azure VPN Gatewayなど) があります。

  • パブリック ネットワークの RDP Shortpath の場合は、次のものが必要です。

    • クライアントとセッション ホストの両方のインターネット アクセス。 セッション ホストには、セッション ホストからインターネットへの送信 UDP 接続、または STUN サーバーと TURN サーバーへの接続が必要です。 必要なポートの数を減らすために、 STUN と TURN で使用されるポート範囲を制限できます。

    • セッション ホストとクライアントが STUN サーバーと TURN サーバーに接続できることを確認します。 STUN サーバーと TURN サーバーで使用される IP サブネット、ポート、プロトコルの詳細については 、「ネットワーク構成」を参照してください。

  • Azure PowerShellをローカルで使用する場合は、「Azure CLI を使用し、Azure Virtual Desktop でAzure PowerShellする」を参照して、Az.DesktopVirtualization PowerShell モジュールがインストールされていることを確認してください。 または、Azure Cloud Shellを使用します。

  • Azure PowerShellを使用して RDP Shortpath を構成するためのパラメーターは、Az.DesktopVirtualization モジュールのバージョン 5.2.1 プレビューで追加されます。 PowerShell ギャラリーからダウンロードしてインストールできます。

マネージド ネットワークの RDP Shortpath の RDP Shortpath リスナーを有効にする

マネージド ネットワークの RDP Shortpath オプションの場合は、セッション ホストで RDP Shortpath リスナーを有効にし、受信ポートを開いて接続を受け入れる必要があります。 これを行うには、Active Directory ドメインのMicrosoft Intuneまたはグループ ポリシーを使用します。

重要

他の 3 つの RDP Shortpath オプションに対して RDP Shortpath リスナーを有効にする必要はありません。これは、ICE/STUN または TURN を使用して、使用可能な IP アドレスと接続に使用される動的ポートを検出するためです。

シナリオに関連するタブを選択します。

Microsoft Intuneを使用してセッション ホストで RDP Shortpath リスナーを有効にするには、

  1. Microsoft Intune 管理センターにサインインします。

  2. [設定] カタログ プロファイルの種類を使用して、Windows 10以降のデバイスの構成プロファイルを作成または編集します。

  3. 設定ピッカーで、 管理用テンプレート>Windows コンポーネント>リモート デスクトップ サービス>リモート デスクトップ セッション ホスト>Azure Virtual Desktop を参照します。

    Microsoft Intune ポータルの Azure Virtual Desktop 管理テンプレート オプションを示すスクリーンショット。

  4. [ マネージド ネットワークの RDP Shortpath を有効にする] チェック ボックスをオンにし、設定ピッカーを閉じます。

  5. [ 管理用テンプレート ] カテゴリを展開し、[ マネージド ネットワークの RDP Shortpath を有効にする] のスイッチを [有効] に切り替えます。

  6. [次へ] を選択します。

  7. 省略可能: [ スコープ タグ ] タブで、スコープ タグを選択してプロファイルをフィルター処理します。 スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。

  8. [ 割り当て ] タブで、構成するリモート セッションを提供するコンピューターを含むグループを選択し、[ 次へ] を選択します。

  9. [ 確認と作成 ] タブで、設定を確認し、[ 作成] を選択します。

  10. Windows ファイアウォールとその他のファイアウォールで、セッション ホストへの受信を構成したポートが許可されていることを確認します。 Intuneのエンドポイント セキュリティに関するファイアウォール ポリシーの手順に従います。

  11. リモート セッションを提供するコンピューターにポリシーが適用されたら、設定を有効にするために再起動します。

セッション ホストで UDP が有効になっていることを確認する

セッション ホストの場合、Windows では UDP が既定で有効になっています。 Windows レジストリで RDP トランスポート プロトコルの設定をチェックして、UDP が有効になっていることを確認するには:

  1. セッション ホストで PowerShell プロンプトを開きます。

  2. レジストリをチェックし、現在の RDP トランスポート プロトコル設定を出力する次のコマンドを実行します。

    $regKey = Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services"

If ($regKey.PSObject.Properties.name -contains "SelectTransport" -eq "True") {
    If (($regkey | Select-Object -ExpandProperty "SelectTransport") -eq 1) {
        Write-Output "The RDP transport protocols setting has changed. Its value is: Use only TCP."
    } elseif (($regkey | Select-Object -ExpandProperty "SelectTransport") -eq 2) {
        Write-Output "The default RDP transport protocols setting has changed. Its value is: Use either UDP or TCP."
    }
} else {
    Write-Output "The RDP transport protocols setting hasn't been changed from its default value. UDP is enabled."
}

    出力は次の例のようになります。

    The RDP transport protocols setting hasn't been changed from its default value.

    出力で値が [USE only TCP]\(TCP のみ使用\) と表示されている場合、値が Active Directory ドメイン内のMicrosoft Intuneまたはグループ ポリシーによって変更された可能性があります。 次のいずれかの方法で UDP を有効にする必要があります。

    1. セッション ホストを対象とする既存のMicrosoft Intune ポリシーまたは Active Directory グループ ポリシーを編集します。 ポリシー設定は、次のいずれかの場所にあります。

      • Intune ポリシーの場合: 管理用テンプレート>Windows コンポーネント>リモート デスクトップ サービス>リモート デスクトップ セッション ホスト>Connections>RDP トランスポート プロトコルを選択します

      • グループ ポリシーの場合: コンピューターの構成>Policies>管理用テンプレート>Windows コンポーネント>リモート デスクトップ サービス>リモート デスクトップ セッション ホスト>Connections>RDP トランスポート プロトコルを選択します

    2. 設定を [未構成] に設定するか、[ 有効] に設定し、[ トランスポートの種類の選択] で [ UDP と TCP の両方を使用する] を選択します。

    3. セッション ホストのポリシーを更新し、設定を有効にするために再起動します。

ホスト プールのネットワーク設定を構成する

Azure portalまたはAzure PowerShellを使用してホスト プールのネットワーク設定を構成することで、RDP Shortpath の使用方法をきめ細かく制御できます。 ホスト プールで RDP Shortpath を構成すると、必要に応じて、使用する 4 つの RDP Shortpath オプションのうち、セッション ホスト構成と共に使用するオプションを設定できます。

ホスト プールとセッション ホスト構成の間に競合がある場合は、最も制限の厳しい設定が使用されます。 たとえば、管理ネットワークの RDP Shortpath が構成されていて、セッション ホストでリスナーが有効になっていて、ホスト プールが無効に設定されている場合、マネージド ネットワークの RDP Shortpath は機能しません。

シナリオに関連するタブを選択します。

Azure portalを使用して、ホスト プールネットワーク設定で RDP Shortpath を構成する方法を次に示します。

  1. Azure portal にサインインし

  2. 検索バーに「 Azure Virtual Desktop 」と入力し、一致するサービス エントリを選択します。

  3. [ ホスト プール] を選択し、構成するホスト プールを選択します。

  4. [ 設定] で [ ネットワーク] を選択し、[ RDP Shortpath] を選択します。

    ホスト プールのネットワーク プロパティの [RDP Shortpath] タブを示すスクリーンショット。

  5. 各オプションについて、要件に基づいてドロップダウンから値を選択します。 既定値は 、各オプションの [有効] に対応します。

  6. [保存] を選択します。

Windows クライアント デバイスで UDP が有効になっていることを確認する

Windows クライアント デバイスの場合、UDP は既定で有効になっています。 Windows レジストリにチェックして UDP が有効になっていることを確認するには:

  1. Windows クライアント デバイスで PowerShell プロンプトを開きます。

  2. レジストリをチェックし、現在の設定を出力する次のコマンドを実行します。

    $regKey = Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client"

If ($regKey.PSObject.Properties.name -contains "fClientDisableUDP" -eq "True") {
    If (($regkey | Select-Object -ExpandProperty "fClientDisableUDP") -eq 1) {
        Write-Output "The default setting has changed. UDP is disabled."
    } elseif (($regkey | Select-Object -ExpandProperty "fClientDisableUDP") -eq 0) {
        Write-Output "The default setting has changed, but UDP is enabled."
    }
} else {
    Write-Output "The default setting hasn't been changed from its default value. UDP is enabled."
}

    出力は次の例のようになります。

    The default setting hasn't been changed from its default value. UDP is enabled.

    出力で UDP が無効になっていると表示されている場合は、値が Active Directory ドメイン内のMicrosoft Intuneまたはグループ ポリシーによって変更された可能性があります。 次のいずれかの方法で UDP を有効にする必要があります。

    1. セッション ホストを対象とする既存のMicrosoft Intune ポリシーまたは Active Directory グループ ポリシーを編集します。 ポリシー設定は、次のいずれかの場所にあります。

      • Intune ポリシーの場合: 管理用テンプレート>Windows コンポーネント>リモート デスクトップ サービス>リモート デスクトップ接続クライアント>クライアントで UDP を無効にする

      • グループ ポリシーの場合: コンピューターの構成>Policies>管理用テンプレート>Windows コンポーネント>リモート デスクトップ サービス>リモート デスクトップ接続クライアント>クライアントで UDP を無効にします

    2. 設定を [未構成] に設定するか、[ 無効] に設定します。

    3. クライアント デバイスのポリシーを更新し、設定を有効にするために再起動します。

クライアント デバイス STUN/TURN サーバー接続と NAT の種類を確認する

クライアント デバイスが STUN/TURN エンドポイントに接続できることを検証し、NAT が使用中かどうかとその種類を検証し、実行可能な avdnettest.exeを実行して基本的な UDP 機能が機能することを確認できます。 最新バージョンの avdnettest.exeへのダウンロード リンクを次に示します。

avdnettest.exeを実行するには、ファイルをダブルクリックするか、コマンド ラインから実行します。 接続が成功した場合、出力はこの出力のようになります。

Checking DNS service ... OK
Checking TURN support ... OK
Checking ACS server 20.202.68.109:3478 ... OK
Checking ACS server 20.202.21.66:3478 ... OK

You have access to TURN servers and your NAT type appears to be 'cone shaped'.
Shortpath for public networks is very likely to work on this host.

環境で対称 NAT を使用している場合は、TURN でリレー接続を使用できます。 ファイアウォールとネットワーク セキュリティ グループの構成に使用できる詳細については、「 RDP Shortpath のネットワーク構成」を参照してください。

省略可能: Teredoサポートを有効にする

RDP Shortpath には必要ありませんが、Teredoは追加の NAT トラバーサル候補を追加し、IPv4 専用ネットワークで RDP Shortpath 接続が成功する可能性を高めます。 PowerShell を使用して、セッション ホストとクライアントの両方でTeredoを有効にすることができます。

  1. 管理者として PowerShell プロンプトを開きます。

  2. 次のコマンドを実行します。

    Set-NetTeredoConfiguration -Type Enterpriseclient

  3. 設定を有効にするには、セッション ホストとクライアント デバイスを再起動します。

STUN と TURN で使用されるポート範囲を制限する

既定では、STUN または TURN を使用する RDP Shortpath オプションでは、 49152 ~ 65535 のエフェメラル ポート範囲を使用して、サーバーとクライアント間の直接パスを確立します。 ただし、より小さい予測可能なポート範囲を使用するようにセッション ホストを構成することもできます。

ポート 38300 の既定の範囲を 39299 に設定することも、使用する独自のポート範囲を指定することもできます。 セッション ホストで有効にすると、Windows Appまたはリモート デスクトップ アプリによって、接続ごとに指定した範囲からポートがランダムに選択されます。 この範囲が使い果たされた場合、接続は既定のポート範囲 (49152-65535) を使用してフォールバックします。

基本サイズとプール サイズを選択する場合は、必要なポートの数を考慮してください。 範囲は 1024 から 49151 の間である必要があります。その後、エフェメラル ポート範囲が開始されます。

Active Directory ドメインのMicrosoft Intuneまたはグループ ポリシーを使用して、このポート範囲を制限できます。 シナリオに関連するタブを選択します。

Microsoft Intuneを使用して STUN と TURN で使用されるポート範囲を制限するには:

  1. Microsoft Intune 管理センターにサインインします。

  2. [設定] カタログ プロファイルの種類を使用して、Windows 10以降のデバイスの構成プロファイルを作成または編集します。

  3. 設定ピッカーで、 管理用テンプレート>Windows コンポーネント>リモート デスクトップ サービス>リモート デスクトップ セッション ホスト>Azure Virtual Desktop を参照します。

    Microsoft Intune ポータルの Azure Virtual Desktop 管理テンプレート オプションを示すスクリーンショット。

  4. [ アンマネージド ネットワークに RDP Shortpath のポート範囲を使用する] チェック ボックスをオンにし、設定ピッカーを閉じます。

  5. [ 管理用テンプレート ] カテゴリを展開し、[ 管理されていないネットワークの RDP Shortpath のポート範囲を使用する ] のスイッチを [有効] に切り替えます。

  6. [ポート プール サイズ (デバイス)] と [UDP ベース ポート (デバイス)] の値を入力します。 既定値はそれぞれ 100038300 です

  7. [次へ] を選択します。

  8. 省略可能: [ スコープ タグ ] タブで、スコープ タグを選択してプロファイルをフィルター処理します。 スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。

  9. [ 割り当て ] タブで、構成するリモート セッションを提供するコンピューターを含むグループを選択し、[ 次へ] を選択します。

  10. [ 確認と作成 ] タブで、設定を確認し、[ 作成] を選択します。

  11. リモート セッションを提供するコンピューターにポリシーが適用されたら、設定を有効にするために再起動します。

RDP Shortpath が動作していることを確認する

RDP Shortpath を構成したら、クライアント デバイスからリモート セッションに接続し、接続が UDP を使用チェック。 Windows Appまたはリモート デスクトップ アプリの [接続情報] ダイアログ、クライアント デバイスにログをイベント ビューアー、またはAzure portalで Log Analytics を使用して、使用中のトランスポートを確認できます。

シナリオに関連するタブを選択します。

接続で RDP Shortpath が使用されていることを確認するには、クライアントで接続情報をチェックします。

  1. リモート セッションに接続します。

  2. 次のスクリーンショットに示すように、画面上部の [接続] ツール バーに移動して [接続情報] ダイアログを開き、信号強度アイコンを選択します。

    リモート デスクトップ クライアントのリモート デスクトップ接続バーのスクリーンショット。

  3. 次のスクリーンショットに示すように、出力で UDP が有効になっていることを確認できます。

    • マネージド ネットワークの RDP Shortpath を使用した直接接続を使用する場合、トランスポート プロトコルの値は UDP (プライベート ネットワーク) になります

      マネージド ネットワークに RDP Shortpath を使用する場合の [リモート デスクトップ接続情報] ダイアログのスクリーンショット。

    • STUN を使用する場合、トランスポート プロトコルの値は UDP です

      STUN を使用する場合の [リモート デスクトップ接続情報] ダイアログのスクリーンショット。

    • TURN を使用する場合、トランスポート プロトコルの値は UDP (Relay) です

      TURN 使用時の [リモート デスクトップ接続情報] ダイアログのスクリーンショット。

関連コンテンツ

パブリック ネットワーク用の RDP Shortpath トランスポートを使用して接続を確立できない場合は、「 RDP Shortpath のトラブルシューティング」を参照してください。