パブリック ネットワーク用 RDP Shortpath を使用する場合のポート範囲を制限する
既定では、パブリック ネットワーク用 RDP Shortpath で一時的なポート範囲 (49152 から 65535) を使用して、サーバーとクライアントの間の直接パスを確立します。 しかし、より小さく予測可能なポート範囲を使用するようにセッション ホストを構成することもできます。
より小さいポート 38300 から 39299 の既定の範囲を設定することもできますし、独自のポート範囲を指定することもできます。 セッション ホストで有効にすると、リモート デスクトップ クライアントは、接続ごとに指定した範囲からポートをランダムに選択します。 この範囲が使い果たされると、クライアントは既定のポート範囲 (49152 から 65535) の使用にフォールバックします。
ベースおよびプール サイズを選択する際には、選択するポートの数を考慮してください。 範囲は 1024 から 49151 の間で指定する必要があります。その後、一時的なポート範囲が始まります。
前提条件
Windows 用のリモート デスクトップ クライアント バージョン 1.2.3488 以降を実行しているクライアント デバイス。 現時点では、Windows 以外のクライアントはサポートされていません。
クライアントとセッション ホストの両方でのインターネット アクセス。 セッション ホストには、セッション ホストからインターネットへの送信 UDP 接続が必要です。 ファイアウォールとネットワーク セキュリティ グループの構成の詳細については、RDP Shortpath のネットワーク構成に関する記事を参照してください。
限られたポート範囲を有効にする
パブリック ネットワークに RDP Shortpath を使用するときに限定されたポート範囲を有効にするには、グループ ポリシーを使用できますが、Active Directory (AD) ドメインに参加しているセッション ホストに対してはドメインから一元的に、Microsoft Entra ID に参加しているセッション ホストに対してはローカルに行います。
Azure Virtual Desktop 管理用テンプレートをダウンロードして、.cab ファイルと .zip アーカイブの内容を解凍します。
グループ ポリシーをドメインから一元的に構成するか、セッション ホストごとにローカルに構成するかに応じて次のようにします。
AD ドメイン:
terminalserver-avd.admx ファイルをコピーして、ドメインのセントラル ストア (
\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitionsなど) に貼り付けます。ここで、contoso.com はドメイン名です。 次に、en-us\terminalserver-avd.adml ファイルをen-usサブフォルダーにコピーします。グループ ポリシー管理コンソール (GPMC) を開き、セッション ホストを対象とするポリシーを作成または編集します。
ローカル:
terminalserver-avd.admx ファイルをコピーして
%windir%\PolicyDefinitionsに貼り付けます。 次に、en-us\terminalserver-avd.adml ファイルをen-usサブフォルダーにコピーします。セッション ホストでローカル グループ ポリシー エディターを開きます。
[コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ セッション ホスト]>[Azure Virtual Desktop] を参照します。 次のスクリーンショットに示すように、Azure Virtual Desktop のポリシー設定が表示されます。
[Use port range for RDP Shortpath for unmanaged networks] (アンマネージド ネットワークに RDP Shortpath 用のポート範囲を使用する) ポリシー設定を開いて、[有効] に設定します。 [UDP base port] (UDP ベース ポート) には、範囲を開始するポート番号を指定します。 [Port pool size] (ポート プール サイズ) には、範囲に含まれるシーケンシャル ポートの数を指定します。 たとえば、UDP ベース ポートとして 38300、ポート プール サイズとして 1000 を指定した場合、最大ポート番号は 39299 になります。
