Azure Virtual Desktop の RDP Shortpath を構成する

  • [アーティクル]

重要

Azure Virtual Desktop 用の TURN でのパブリック ネットワークの RDP Shortpath の使用は、現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

RDP Shortpath は、サポートされる Windows リモート デスクトップ クライアントとセッション ホストとの間に直接的な UDP ベースのトランスポートを確立する Azure Virtual Desktop の機能です。 この記事では、マネージド ネットワークと公衆ネットワークに RDP Shortpath を構成する方法について説明します。 詳細については、RDP Shortpath に関する記事を参照してください。

重要

RDP Shortpath は、Azure パブリック クラウドでのみ使用できます。

前提条件

RDP Shortpath を有効にするには、前提条件を満たしている必要があります。 対象のシナリオのタブを以下から選択します。

  • Windows 用リモート デスクトップ クライアント バージョン 1.2.3488 以降を実行しているクライアント デバイス。 現時点では、Windows 以外のクライアントはサポートされていません。

  • クライアントとセッション ホストの間の直接通信経路接続。 直接通信経路接続を使用すると、クライアントでは、ファイアウォール (Windows ファイアウォールを含む) またはネットワーク セキュリティ グループによってブロックされずに、次のようなマネージド ネットワークを使用して、ポート 3390 (既定) でセッション ホストに直接接続できます。

RDP Shortpath を有効にする

RDP Shortpath を有効にする手順は、セッション ホストではマネージド ネットワークと公衆ネットワークのどちらを有効にするかによって異なりますが、クライアントでは同じです。 対象のシナリオのタブを以下から選択します。

セッション ホスト

マネージド ネットワーク用に RDP Shortpath を有効にするには、セッション ホストで RDP Shortpath リスナーを有効にする必要があります。 これは、グループ ポリシーを使用して、Active Directory (AD) ドメインに参加しているセッション ホストの場合はドメインから一元的に行い、Microsoft Entra ID に参加しているセッション ホストの場合はローカルに行うことができます。

  1. Azure Virtual Desktop 管理用テンプレートをダウンロードして、.cab ファイルと .zip アーカイブの内容を解凍します。

  2. グループ ポリシーを AD ドメインから一元的に構成するか、セッション ホストごとにローカルに構成するかに応じて次のようにします。

    1. AD ドメイン: terminalserver-avd.admx ファイルをコピーして、ドメインのセントラル ストア (\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions など) に貼り付けます。ここで、contoso.com はドメイン名です。 次に、en-us\terminalserver-avd.adml ファイルを en-us サブフォルダーにコピーします。

    2. グループ ポリシー管理コンソール (GPMC) を開き、セッション ホストを対象とするポリシーを作成または編集します。

    3. ローカル: terminalserver-avd.admx ファイルをコピーして %windir%\PolicyDefinitions に貼り付けます。 次に、en-us\terminalserver-avd.adml ファイルを en-us サブフォルダーにコピーします。

    4. セッション ホストでローカル グループ ポリシー エディターを開きます。

  3. [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ セッション ホスト]>[Azure Virtual Desktop] を参照します。 次のスクリーンショットに示すように、Azure Virtual Desktop のポリシー設定が表示されます。

    Screenshot of the Group Policy Editor showing Azure Virtual Desktop policy settings.

  4. [マネージド ネットワーク用 RDP Shortpath を有効にする] ポリシー設定を開いて、[有効] に設定します。 このポリシー設定を有効にすると、Azure Virtual Desktop セッション ホストが着信接続をリッスンするために使用するポート番号を構成することもできます。 既定のポートは 3390 です。

  5. ポート 3390 を許可するように Windows ファイアウォールを構成する必要がある場合は、AD ドメインからグループ ポリシーを使用して一元的に Windows ファイアウォールを構成するか、セッション ホストごとにローカルに構成するかに応じて、次のいずれかのコマンドを実行します。

    1. AD ドメイン: 管理者特権の PowerShell プロンプトを開き、次のコマンドを実行します。$domainName の値は、独自のドメイン名で、$writableDC の値は書き込み可能なドメイン コントローラーのホスト名で、$policyName の値は既存のグループ ポリシー オブジェクトの名前で置き換えます。

      $domainName = "contoso.com"
$writableDC = "dc01"
$policyName = "RDP Shortpath Policy"
$gpoSession = Open-NetGPO -PolicyStore "$domainName\$policyName" -DomainController $writableDC

New-NetFirewallRule -DisplayName 'Remote Desktop - RDP Shortpath (UDP-In)' -Action Allow -Description 'Inbound rule for the Remote Desktop service to allow RDP Shortpath traffic. [UDP 3390]' -Group '@FirewallAPI.dll,-28752' -Name 'RemoteDesktop-UserMode-In-RDPShortpath-UDP' -Profile Domain, Private -Service TermService -Protocol UDP -LocalPort 3390 -Program '%SystemRoot%\system32\svchost.exe' -Enabled:True -GPOSession $gpoSession

Save-NetGPO -GPOSession $gpoSession

    2. ローカル: 管理者特権の PowerShell プロンプトを開き、次のコマンドを実行します。

      New-NetFirewallRule -DisplayName 'Remote Desktop - RDP Shortpath (UDP-In)'  -Action Allow -Description 'Inbound rule for the Remote Desktop service to allow RDP Shortpath traffic. [UDP 3390]' -Group '@FirewallAPI.dll,-28752' -Name 'RemoteDesktop-UserMode-In-RDPShortpath-UDP' -PolicyStore PersistentStore -Profile Domain, Private -Service TermService -Protocol UDP -LocalPort 3390 -Program '%SystemRoot%\system32\svchost.exe' -Enabled:True

  6. [OK] を選択し、セッション ホストを再起動してポリシー設定を適用します。

Windows クライアント

RDP Shortpath をマネージド ネットワークまたは公衆ネットワークのどちらに使用するかに関係なく、クライアントが正しく構成されていることを確認する手順は同じです。 これを行うには、Active Directory ドメインに参加しているマネージド クライアントの場合はグループ ポリシー、Microsoft Entra ID に参加していて Intune に登録されているマネージド クライアントの場合は Intune、または管理されていないクライアントの場合はローカル グループ ポリシーを使用します。

Note

Windows では既定により、RDP トラフィックで TCP プロトコルと UDP プロトコルの両方を使用することが試みられます。 クライアントが TCP のみを使用するように以前に構成されている場合にのみ、これらの手順に従う必要があります。

グループ ポリシーを使用してマネージドおよびアンマネージド Windows クライアントで RDP Shortpath を有効にする

グループ ポリシーを使用してマネージドおよびアンマネージド Windows クライアントを構成するには、次の手順に従います。

  1. マネージド クライアントとアンマネージド クライアントのどちらを構成するかに応じて、次のようにします。

    1. マネージド クライアントの場合は、グループ ポリシー管理コンソール (GPMC) を開き、クライアントを対象とするポリシーを作成または編集します。

    2. アンマネージド クライアントの場合は、クライアントでローカル グループ ポリシー エディターを開きます。

  2. [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ接続のクライアント] を参照します。

  3. [クライアントの UDP を無効にする] ポリシー設定を開いて、[無効] に設定します。

  4. [OK] を選択し、クライアントを再起動してポリシー設定を適用します。

Intune を使用して Windows クライアントで RDP Shortpath を有効にする

Intune を使用してマネージド Windows クライアントを構成するには、次の手順に従います。

  1. Microsoft Intune 管理センターにサインインします。

  2. 管理用テンプレートを使用して、Windows 10 以降のデバイスの構成プロファイルを作成または編集します。

  3. [コンピューターの構成]>[Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ接続のクライアント] を参照します。

  4. [クライアントの UDP を無効にする] 設定を選択して、[無効] に設定します。

  5. [OK] を選択し、[次へ] を選択します。

  6. 構成プロファイルを適用してから、クライアントを再起動します。

Teredo サポート

RDP Shortpath には必要ありませんが、Teredo ではさらに NAT トラバーサル候補が追加され、IPv4 のみのネットワークでの RDP Shortpath 接続の成功率が高まります。 セッション ホストとクライアントの両方で Teredo を有効にするには、管理者特権の PowerShell プロンプトから次のコマンドを実行します。

Set-NetTeredoConfiguration -Type Enterpriseclient

RDP Shortpath が動作していることを確認する

次に、クライアントで RDP Shortpath を使用して接続していることを確認する必要があります。 トランスポートを確認するには、リモート デスクトップ クライアントから [接続情報] ダイアログを使用するか、Log Analytics を使用します。

[接続情報] ダイアログ

接続で RDP Shortpath が使用されていることを確認するには、クライアントの接続情報をチェックします。 対象のシナリオのタブを以下から選択します。

  1. Azure Virtual Desktop に接続します。

  2. 次のスクリーンショットに示されているように、画面の上部にある [接続] ツール バーに移動して信号強度アイコンを選択し、[接続情報] ダイアログを開きます。

    Screenshot of Remote Desktop Connection Bar of Remote Desktop client.

  3. 次のスクリーンショットに示すように、トランスポート プロトコルが UDP (プライベート ネットワーク) であることを出力で確認できます。

    Screenshot of Remote Desktop Connection Info dialog.

イベント ビューアー

接続で RDP Shortpath が使用されていることを確認するには、セッション ホストでイベント ログをチェックします。

  1. Azure Virtual Desktop に接続します。

  2. セッション ホストで、イベント ビューアーを開きます。

  3. [アプリケーションとサービス ログ]>[Microsoft]>[Windows]>[RemoteDesktopServices RdpCoreCDV]>[Operational] を参照します。

  4. イベント ID 135 でフィルター処理します。 RDP Shortpath を使用する接続では、トランスポートの種類に UDP が使用されていることが示され、[トンネル 1 に対するマルチトランスポート接続が終了し、そのトランスポートの種類が UDP に設定されました] というメッセージが表示されます。

Log Analytics

Azure Log Analytics を使用している場合、WVDConnections テーブルに対してクエリを実行することで接続を監視できます。 UdpUse という名前の列は、Azure Virtual Desktop RDP スタックが現在のユーザー接続で UDP プロトコルを使用しているかどうかを示します。 設定できる値は次のとおりです。

  • 1 - ユーザー接続でマネージド ネットワーク用 RDP Shortpath が使用されている。

  • 2 - ユーザー接続で STUN を直接使用するパブリック ネットワーク用 RDP Shortpath が使用されている。

  • 4 - ユーザー接続で TURN を間接的に使用するパブリック ネットワーク用 RDP Shortpath が使用されている。

  • その他の値の場合、ユーザー接続では RDP Shortpath は使用されず、TCP を使用して接続されます。

次のクエリで接続情報を確認できます。 このクエリは、Log Analytics クエリ エディターで実行できます。 クエリごとに、user@contoso.com を検索するユーザーの UPN に置き換えます。

let Events = WVDConnections | where UserName == "user@contoso.com" ;
Events
| where State == "Connected"
| project CorrelationId, UserName, ResourceAlias, StartTime=TimeGenerated, UdpUse, SessionHostName, SessionHostSxSStackVersion
| join (Events
| where State == "Completed"
| project EndTime=TimeGenerated, CorrelationId, UdpUse)
on CorrelationId
| project StartTime, Duration = EndTime - StartTime, ResourceAlias, UdpUse, SessionHostName, SessionHostSxSStackVersion
| sort by StartTime asc

次の Log Analytics クエリを実行して、特定のユーザー セッションに対して RDP Shortpath が有効になっているかどうかを確認できます。

WVDCheckpoints 
| where Name contains "Shortpath"

Log Analytics に記録される可能性があるエラー情報の詳細については、次を参照してください。

RDP Shortpath を無効にする

RDP Shortpath を無効にする手順は、セッション ホストではマネージド ネットワークのみ、公衆ネットワークのみ、またはその両方のいずれを無効にするかにどうかによって異なります。 対象のシナリオのタブを以下から選択します。

セッション ホスト

セッション ホストでマネージド ネットワーク用の RDP Shortpath を無効にするには、RDP Shortpath リスナーを無効にする必要があります。 これは、グループ ポリシーを使用して、AD ドメインに参加しているセッション ホストの場合はドメインから一元的に行い、Microsoft Entra ID に参加しているセッション ホストの場合はローカルに行うことができます。

または、ファイアウォールまたはネットワーク セキュリティ グループでセッション ホストに対してポート 3390 (既定) をブロックすることもできます。

  1. グループ ポリシーをドメインから一元的に構成するか、セッション ホストごとにローカルに構成するかに応じて次のようにします。

    1. AD Domain: グループ ポリシー管理コンソール (GPMC) を開き、セッション ホストを対象とする既存のポリシーを編集します。

    2. ローカル: セッション ホストでローカル グループ ポリシー エディターを開きます。

  2. [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ セッション ホスト]>[Azure Virtual Desktop] を参照します。 マネージド ネットワーク用に RDP Shortpath を有効にしたときの管理用テンプレートがあれば、Azure Virtual Desktop のポリシー設定が表示されます。

  3. [マネージド ネットワーク用 RDP Shortpath を有効にする] ポリシー設定を開いて、[未構成] に設定します。

  4. [OK] を選択し、セッション ホストを再起動してポリシー設定を適用します。

Windows クライアント

クライアント デバイスでは、TCP のみを使用するように RDP トラフィックを構成することで、マネージド ネットワークと公衆ネットワーク用の RDP Shortpath を無効にすることができます。 これを行うには、Active Directory ドメインに参加しているマネージド クライアントの場合はグループ ポリシー、(Microsoft Entra ID) に参加していて Intune に登録されているマネージド クライアントの場合は Intune、または管理されていないクライアントの場合はローカル グループ ポリシーを使用します。

重要

グループ ポリシーまたは Intune を使用して、TCP プロトコルと UDP プロトコルの両方を使用するように RDP トラフィックを以前に設定している場合は、設定が競合しないようにしてください。

グループ ポリシーを使用してマネージドおよびアンマネージド Windows クライアントで RDP Shortpath を無効にする

グループ ポリシーを使用してマネージドおよびアンマネージド Windows クライアントを構成するには、次の手順に従います。

  1. マネージド クライアントとアンマネージド クライアントのどちらを構成するかに応じて、次のようにします。

    1. マネージド クライアントの場合は、グループ ポリシー管理コンソール (GPMC) を開き、クライアントを対象とするポリシーを作成または編集します。

    2. アンマネージド クライアントの場合は、クライアントでローカル グループ ポリシー エディターを開きます。

  2. [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ接続のクライアント] を参照します。

  3. [クライアントの UDP を無効にする] ポリシー設定を開いて、[有効] に設定します。

  4. [OK] を選択し、クライアントを再起動してポリシー設定を適用します。

Intune を使用して Windows クライアントで RDP Shortpath を無効にする

Intune を使用してマネージド Windows クライアントを構成するには、次の手順に従います。

  1. Microsoft Intune 管理センターにサインインします。

  2. 管理用テンプレートを使用して、Windows 10 以降のデバイスの構成プロファイルを作成または編集します。

  3. [Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ接続のクライアント] を参照します。

  4. [クライアントの UDP を無効にする] 設定を選択して、[有効] に設定します。 [OK] を選択し、[次へ] を選択します。

  5. 構成プロファイルを適用してから、クライアントを再起動します。

次のステップ