この記事では、Microsoft Entra認証を使用してWindows 365のシングル サインオン (SSO) を構成するプロセスについて説明します。 SSO を有効にすると、ユーザーはパスワードレス認証と、Microsoft Entra IDとフェデレーションするサードパーティ ID プロバイダーを使用してクラウド PC にサインインできます。 この機能を有効にすると、クラウド PC への認証時と、Microsoft Entra ID ベースのアプリと Web サイトへのアクセス時のセッション内の両方で SSO エクスペリエンスが提供されます。
Microsoft Entra ID認証を使用して SSO を有効にするには、次の 4 つのタスクを実行する必要があります。
SSO を有効にする前に
SSO を有効にする前に、環境内で使用するための次の情報を確認してください。
セッションがロックされている場合の切断
詳細については、「 セッション ロックの動作」を参照してください。
前提条件
SSO を有効にする前に、次の前提条件を満たす必要があります。
Microsoft Entra テナントを構成するには、次のいずれかのMicrosoft Entra組み込みロールを割り当てる必要があります。
クラウド PC は、関連する累積的な更新プログラムがインストールされた次のいずれかのオペレーティング システムを実行している必要があります。
- Windows 11 (KB5018418) 以降の 2022-10 累積UpdatesがインストールされているWindows 11 Enterprise。
- Windows 10 (KB5018410) 以降の 2022-10 累積UpdatesがインストールされているWindows 10 Enterprise。
Microsoft Graph PowerShell SDK バージョン 2.9.0 以降をローカル デバイスまたは Azure Cloud Shellにインストールします。
RDP のMicrosoft Entra認証を有効にする
まず、Microsoft Entra テナントで Windows のMicrosoft Entra認証を許可する必要があります。これにより、ユーザーがクラウド PC にサインインできるようにする RDP アクセス トークンを発行できます。 この変更は、次のMicrosoft Entra アプリケーションのサービス プリンシパルで行う必要があります。
- Windows クラウド ログイン: 70efc09-cd0d-444b-a71f-39af4910ec45
Entra 認証を許可するには、 Microsoft Graph PowerShell SDK を使用して、サービス プリンシパルに新しい remoteDesktopSecurityConfiguration オブジェクト を作成し、プロパティ isRemoteDesktopProtocolEnabled を true に設定します。
Microsoft Graph API は、Graph エクスプローラーなどのツールと共に使用することもできます。
PowerShell を使用して変更を行うには、次の手順に従います。
PowerShell ターミナルの種類を使用してAzure portalで Azure Cloud Shellを起動するか、ローカル デバイスで PowerShell を実行します。
Cloud Shellを使用している場合は、Azure コンテキストが使用するサブスクリプションに設定されていることを確認します。
PowerShell をローカルで使用している場合は、まずAzure PowerShellでサインインしてから、使用するサブスクリプションに Azure コンテキストが設定されていることを確認します。
前提条件から Microsoft Graph PowerShell SDK がインストールされていることを確認 します。 次に、 認証 と アプリケーション Microsoft Graph モジュールをインポートし、次のコマンドを実行して、
Application.Read.AllスコープとApplication-RemoteDesktopConfig.ReadWrite.Allスコープを使用して Microsoft Graph に接続します。Import-Module Microsoft.Graph.Authentication Import-Module Microsoft.Graph.Applications Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"各サービス プリンシパルのオブジェクト ID を取得し、次のコマンドを実行して変数に格納します。
$MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id次のコマンドを実行して、プロパティ
isRemoteDesktopProtocolEnabledをtrueに設定します。 これらのコマンドからの出力はありません。$params = @{ "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration" isRemoteDesktopProtocolEnabled = $true } If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params } If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params }次のコマンドを実行して、プロパティ
isRemoteDesktopProtocolEnabledがtrueに設定されていることを確認します。Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId出力は次のようになります。
Id IsRemoteDesktopProtocolEnabled -- ------------------------------ id True
ターゲット デバイス グループを構成する
RDP のMicrosoft Entra認証を有効にした後、ターゲット デバイス グループを構成する必要があります。 SSO を有効にすると、ユーザーは、新しいクラウド PC への接続を起動するときに、Microsoft Entra IDへの認証とリモート デスクトップ接続の許可を求められます。 Microsoft Entraは、もう一度プロンプトを表示する前に、最大 15 ホストを 30 日間記憶します。 リモート デスクトップ接続を許可するダイアログが表示された場合は、[ はい ] を選択して接続する必要があります。
このダイアログを非表示にするには、クラウド PC を含む 1 つ以上のグループをMicrosoft Entra IDに作成し、前のセクションで使用したグループの Windows Cloud Login アプリケーションのサービス プリンシパルにプロパティを設定する必要があります。
ヒント
動的グループを使用し、すべてのクラウド PC を含む動的メンバーシップ規則を構成することをお勧めします。 このグループではデバイス名を使用できますが、より安全なオプションとして、Microsoft Graph APIを使用してデバイス拡張属性を設定して使用できます。 動的グループは通常、5 ~ 10 分以内に更新されますが、大規模なテナントには最大 24 時間かかることがあります。
動的グループには、Microsoft Entra ID P1 ライセンスまたは Education ライセンスのIntuneが必要です。 詳細については、「 グループの動的メンバーシップ 規則」を参照してください。
サービス プリンシパルを構成するには、 Microsoft Graph PowerShell SDK を使用して、動的グループのオブジェクト ID と表示名を使用して、サービス プリンシパルに新しい targetDeviceGroup オブジェクトを作成します。 Microsoft Graph API は、Graph エクスプローラーなどのツールと共に使用することもできます。
ダイアログを非表示にするクラウド PC を含むMicrosoft Entra IDに動的グループを作成します。 次の手順では、グループのオブジェクト ID を書き留めます。
同じ PowerShell セッションで、次のコマンドを実行して
targetDeviceGroupオブジェクトを作成し、<placeholders>を独自の値に置き換えます。$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup $tdg.Id = "<Group object ID>" $tdg.DisplayName = "<Group display name>"次のコマンドを実行して、グループを
targetDeviceGroupオブジェクトに追加します。New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg出力は次のようになります。
Id DisplayName -- ----------- 12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PCtargetDeviceGroupオブジェクトに追加するグループごとに手順 2 と 3 を繰り返します。最大 10 グループまでです。後で
targetDeviceGroupオブジェクトからデバイス グループを削除する必要がある場合は、次のコマンドを実行し、<placeholders>を独自の値に置き換えます。Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>" Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
条件付きアクセス ポリシーを確認する
SSO を有効にすると、クラウド PC に対してユーザーを認証するための新しいMicrosoft Entra ID アプリが導入されます。 Windows 365にアクセスするときに適用される条件付きアクセス ポリシーがある場合は、推奨事項を確認して、Windows 365の条件付きアクセス ポリシーを設定して、ユーザーが目的のエクスペリエンスを持っていることを確認し、環境をセキュリティで保護します。
アカウント内のすべてのクラウド PC の SSO を有効にする
- Windows 365 管理者ロールを持つアカウントを使用して、windows365.microsoft.com にサインインします。
- [Organizationのクラウド PC] を選択し、[organization設定の更新] を選択します。
- [クラウド PC 設定] の [シングル サインオン] オプションを選択します。