次の方法で共有


サポートされている ID および認証方法

この記事では、Azure Virtual Desktop で使用できる ID および認証方法の種類の概要について説明します。

Identities

Azure Virtual Desktop では、選択した構成に応じて、さまざまな種類の ID がサポートされます。 このセクションでは、構成ごとに使用できる ID について説明します。

重要

Azure Virtual Desktop では、1 つのユーザー アカウントで Microsoft Entra ID にサインインしてから、別のユーザー アカウントで Windows にサインインすることはできません。 2 つの異なるアカウントで同時にサインインすると、ユーザーが間違ったセッション ホストに再接続したり、Azure portal の情報が正しくないか表示されなかったり、アプリ アタッチまたは MSIX アプリ アタッチの使用中にエラー メッセージが表示されたりする可能性があります。

オンプレミス ID

Azure Virtual Desktop にアクセスするには、Microsoft Entra ID 経由でユーザーを検出できる必要があるため、Active Directory Domain Services (AD DS) にのみ存在するユーザー ID はサポートされません。 これには、Active Directory フェデレーション サービス (AD FS) を使用したスタンドアロンの Active Directory デプロイ が含まれます。

ハイブリッド ID

Azure Virtual Desktop では、AD FS を使用してフェデレーションされるものを含めて、Microsoft Entra ID を通じたハイブリッド ID がサポートされています。 これらのユーザー ID は AD DS で管理し、Microsoft Entra Connect を使用して Microsoft Entra ID に同期できます。 また、Microsoft Entra ID を使用してこれらの ID を管理し、Microsoft Entra Domain Services に同期できます。

ハイブリッド ID を使用して Azure Virtual Desktop にアクセスする場合、Active Directory (AD) および Microsoft Entra ID のユーザーのユーザー プリンシパル名 (UPN) またはセキュリティ識別子 (SID) が一致しない場合があります。 たとえば、AD アカウント user@contoso.local は Microsoft Entra ID の user@contoso.com に対応することがあります。 Azure Virtual Desktop では、AD と Microsoft Entra ID アカウントの両方の UPN または SID が一致する場合にのみ、この種類の構成がサポートされます。 SID とは、AD ではユーザー オブジェクト プロパティ "ObjectSID"、Microsoft Entra ID では "OnPremisesSecurityIdentifier" のことです。

クラウド専用 ID

Azure Virtual Desktop では、Microsoft Entra 参加済み VM を使用しているとき、クラウド専用 ID がサポートされます。 これらのユーザーは、Microsoft Entra ID で直接作成および管理されます。

Note

また、参加の種類が Microsoft Entra 参加済みのセッション ホストをホストする Azure Virtual Desktop アプリケーション グループにハイブリッド ID を割り当てることもできます。

フェデレーション ID

Microsoft Entra ID または Active Directory Domain Services 以外のサード パーティの ID プロバイダー (IdP) を使ってユーザー アカウントを管理している場合は、次のことを確認する必要があります。

外部 ID

Azure Virtual Desktop では、外部 ID は現在サポートされていません。

認証方法

Azure Virtual Desktop リソースにアクセスするときは、次の 3 つの認証フェーズがあります。

  • クラウド サービスの認証: Azure Virtual Desktop サービスに対する認証 (リソースへのサブスクライブと、ゲートウェイへの認証を含む) には、Microsoft Entra ID を使います。
  • リモート セッションの認証: リモート VM に対する認証。 リモート セッションに対して認証を行う方法は、推奨されるシングル サインオン (SSO) など複数あります。
  • セッション内の認証: リモート セッション内でのアプリケーションと Web サイトに対する認証。

各認証フェーズの異なるクライアントで使用できる資格情報の一覧については、プラットフォーム間でクライアントを比較してください

重要

認証が正常に機能するためには、ローカル コンピューターがリモート デスクトップ クライアントの必要な URL にもアクセスできる必要があります。

以下のセクションでは、これらの認証フェーズについて詳しく説明します。

クラウド サービスの認証

Azure Virtual Desktop リソースにアクセスするには、最初に Microsoft Entra ID アカウントを使ってサインインして、サービスで認証を行う必要があります。 認証は、リソースを取得するためにサブスクライブするときと、接続を開始するため、またはサービスに診断情報を送信するためにゲートウェイに接続するとき、その都度行われます。 この認証に使われる Microsoft Entra ID リソースは Azure Virtual Desktop (アプリ ID 9cdead84-a844-4324-93f2-b2e6bb768d07) です。

多要素認証

条件付きアクセスを使用して Azure Virtual Desktop に Microsoft Entra 多要素認証を適用する」の手順に従って、デプロイに Microsoft Entra 多要素認証を適用する方法を確認します。 この記事では、ユーザーに資格情報の入力を求める頻度を構成する方法も示します。 Microsoft Entra 参加済み VM をデプロイするときは、Microsoft Entra 参加済みセッション ホスト VM の追加の手順に注意してください。

パスワードレスの認証

Windows Hello for Business やその他のパスワードレス認証オプション (FIDO キーなど) など、Microsoft Entra ID でサポートされている任意の認証の種類を使用して、サービスに対する認証を行うことができます。

スマート カード認証

スマート カードを使って Microsoft Entra ID への認証を行うには、最初に Microsoft Entra 証明書ベースの認証を構成するか、ユーザー証明書認証用に AD FS を構成する必要があります。

サードパーティの ID プロバイダー

Microsoft Entra ID とフェデレーションされていれば、サードパーティの ID プロバイダーを使用できます。

リモート セッションの認証

シングル サインオンをまだ有効にしていない場合、または資格情報をローカルに保存していない場合は、接続を起動するときにセッション ホストに対する認証も必要になります。

シングル サインオン (SSO)

SSO を使うと、接続でセッション ホスト資格情報プロンプトをスキップし、Microsoft Entra 認証を通して ユーザーを Windows に自動的にサインインさせることができます。 Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みのセッション ホストの場合は、Microsoft Entra 認証を使用して SSO を有効にすることをお勧めします。 Microsoft Entra 認証には、パスワードレス認証やサードパーティ ID プロバイダーのサポートなど、その他の利点があります。

Azure Virtual Desktop では、Windows デスクトップおよび Web クライアント用の Active Directory フェデレーション サービス (AD FS) を使用した SSO もサポートされています。

SSO を使わないと、クライアントは、すべての接続でセッション ホスト資格情報の入力をユーザーに求めます。 ダイアログの表示を回避する唯一の方法は、資格情報をクライアントに保存することです。 他のユーザーがリソースにアクセスできないようにするため、セキュリティで保護されたデバイスにのみ資格情報を保存することをお勧めします。

スマート カードと Windows Hello for Business

Azure Virtual Desktop では、セッション ホスト認証に NT LAN Manager (NTLM) と Kerberos の両方がサポートされていますが、スマート カードとWindows Hello for Business では、Kerberos のみを使用してサインインできます。 クライアントで Kerberos を使用するには、ドメイン コントローラーで実行されているキー配布センター (KDC) サービスから Kerberos セキュリティ チケットを取得する必要があります。 チケットを取得するには、クライアントからドメイン コントローラーへ向かう直接のネットワーク通信経路が必要になります。 企業ネットワーク内で直接接続するか、VPN 接続を使用するか、KDC プロキシ サーバーを設定することで、通信経路を確立できます。

セッション内認証

RemoteApp またはデスクトップに接続すると、セッション内で認証を求めるメッセージが表示される場合があります。 このセクションでは、このシナリオでユーザー名とパスワード以外の資格情報を使用する方法について説明します。

セッション内パスワードレス認証

Azure Virtual Desktop では、Windows Desktop クライアントの使用時に、Windows Hello for Business や、FIDO キーなどのセキュリティ デバイスを使用したセッション内パスワードレス認証がサポートされています。 セッション ホストとローカル PC が次のオペレーティング システムを使用している場合、パスワードレス認証は自動的に有効になります。

ホスト プールでパスワードレス認証を無効にするには、RDP プロパティをカスタマイズする必要があります。 WebAuthn リダイレクト プロパティは、Azure portal の [デバイスのリダイレクト] タブで確認するか、PowerShell を使用して redirectwebauthn プロパティを 0 に設定します。

有効にすると、セッション内のすべての WebAuthn 要求がローカル PC にリダイレクトされます。 Windows Hello for Business またはローカルに接続されたセキュリティ デバイスを使用して、認証プロセスを完了できます。

Windows Hello for Business またはセキュリティ デバイスを使用して Microsoft Entra リソースにアクセスするには、ユーザーの認証方法として FIDO2 セキュリティ キーを有効にする必要があります。 この方法を有効にするには、「FIDO2 セキュリティ キーの方法を有効にする」の手順に従います。

セッション内スマート カード認証

セッションでスマート カードを使用するには、セッション ホストにスマート カード ドライバーがインストールされ、スマート カード リダイレクトが有効になっている必要があります。 Windows アプリリモート デスクトップ アプリの比較チャートを参照して、スマート カード リダイレクトを使用できることを確認してください。

次のステップ