Azure Virtual Desktop のセッション ロック動作を構成する

ユーザーまたはポリシーによって、リモート セッションがロックされているときにセッションが切断されているか、リモート ロック画面が表示されるかを選択できます。 セッション ロックの動作を切断に設定すると、切断されたことをユーザーに知らせるダイアログが表示されます。 ユーザーは、もう一度接続する準備ができたら、ダイアログから [ 再接続 ] オプションを選択できます。

Microsoft Entra IDを使用してシングル サインオンで使用する場合、セッションを切断すると次の利点があります。

• 必要に応じて、Microsoft Entra IDによる一貫したサインイン エクスペリエンス。

• 条件付きアクセス ポリシーで許可されている場合は、認証プロンプトのないシングル サインオン エクスペリエンスと再接続。

• リモート ロック画面とは異なり、パスキーや FIDO2 デバイスなどのパスワードレス認証のサポート。 パスワードレス認証を完全にサポートするには、セッションの切断が必要です。

• 多要素認証やサインイン頻度を含む条件付きアクセス ポリシーは、ユーザーがセッションに再接続したときに再評価されます。

• セッションに戻り、ユーザーが単純なユーザー名とパスワードでロックを解除できないようにするには、多要素認証を要求できます。

NTLM、CredSSP、RDSTLS、TLS、RDP 基本認証プロトコルなど、レガシ認証に依存するシナリオでは、ユーザーは再接続または新しい接続を開始するときに資格情報を再入力するように求められます。

既定のセッション ロック動作は、Microsoft Entra ID認証とレガシ認証のどちらを使用しているかによって異なります。 次の表は、各シナリオの既定の構成を示しています。

シナリオ	既定の構成
Microsoft Entra IDを使用したシングル サインオン	セッションを切断する
レガシ認証プロトコル	リモート ロック画面を表示する

この記事では、Microsoft Intuneまたはグループ ポリシーを使用して、セッション ロックの動作を既定の構成から変更する方法について説明します。

前提条件

構成方法に関連するタブを選択します。

Intune

セッション ロックの動作を構成する前に、次の前提条件を満たす必要があります。

• セッション ホストを含む既存のホスト プール。

• セッション ホストは、関連する累積的な更新プログラムがインストールされた次のいずれかのオペレーティング システムを実行している必要があります。

  • Windows 11 (KB5037770) 以降の 2024-05 累積Updatesがインストールされている単一または複数セッションWindows 11。
  • Windows 10 (KB5039211) 以降の 2024-06 累積Updatesがインストールされている単一または複数セッションのバージョン 21H2 以降Windows 10。
  • Windows Server 2022 年 2024-05 年の Microsoft サーバー オペレーティング システム (KB5037782) 以降の累積的な更新プログラムがインストールされています。

• Intuneを構成するには、次のものが必要です。

  • ポリシーとプロファイル マネージャーの組み込み RBAC ロールが割り当てられているMicrosoft Entra ID アカウント。
  • 構成するデバイスを含むグループ。

グループ ポリシー

セッション ロックの動作を構成する前に、次の前提条件を満たす必要があります。

• セッション ホストを含む既存のホスト プール。

• セッション ホストは、関連する累積的な更新プログラムがインストールされた次のいずれかのオペレーティング システムを実行している必要があります。

  • Windows 11 (KB5037770) 以降の 2024-05 累積Updatesがインストールされている単一または複数セッションWindows 11。
  • Windows 10 (KB5039211) 以降の 2024-06 累積Updatesがインストールされている単一または複数セッションのバージョン 21H2 以降Windows 10。
  • Windows Server 2022 年 2024-05 年の Microsoft サーバー オペレーティング システム (KB5037782) 以降の累積的な更新プログラムがインストールされています。

• グループ ポリシーを構成するには、次のものが必要です。

  • グループ ポリシー オブジェクトを作成または編集するアクセス許可を持つドメイン アカウント。
  • 構成するデバイスを含むセキュリティ グループまたは組織単位 (OU)。

セッション ロックの動作を構成する

構成方法に関連するタブを選択します。

Intune

Intuneを使用してセッション ロック エクスペリエンスを構成するには:

1. Microsoft Intune 管理センターにサインインします。

2. [設定] カタログ プロファイルの種類を使用して、Windows 10以降のデバイスの構成プロファイルを作成または編集します。

3. 設定ピッカーで、[管理用テンプレート>Windows コンポーネント>リモート デスクトップ サービス>リモート デスクトップ セッション ホスト>セキュリティ] を参照します。

   

4. 要件に応じて、次のいずれかの設定のチェック ボックスをオンにします。

   • Microsoft Entra IDを使用したシングル サインオンの場合:

     1. [Microsoft ID プラットフォーム認証のロック時にリモート セッションを切断する] チェック ボックスをオンにし、設定ピッカーを閉じます。

     2. [管理用テンプレート] カテゴリを展開し、[Microsoft ID プラットフォーム認証のロック時にリモート セッションを切断する] のスイッチを [有効] または [無効] に切り替えます。

        • セッションがロックされたときにリモート セッションを切断するには、スイッチを [有効] に切り替えます。

        • セッションがロックされたときにリモート ロック画面を表示するには、スイッチを [無効] に切り替えます。

   • レガシ認証プロトコルの場合:

     1. [従来の認証のロック時にリモート セッションを切断する] チェック ボックスをオンにし、設定ピッカーを閉じます。

     2. [管理用テンプレート] カテゴリを展開し、[従来の認証のロック時にリモート セッションを切断する] のスイッチを [有効] または [無効] に切り替えます。

        • セッションがロックされたときにリモート セッションを切断するには、スイッチを [有効] に切り替えます。

        • セッションがロックされたときにリモート ロック画面を表示するには、スイッチを [無効] に切り替えます。

5. [次へ] を選択します。

6. 省略可能: [ スコープ タグ ] タブで、スコープ タグを選択してプロファイルをフィルター処理します。 スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。

7. [ 割り当て ] タブで、構成するリモート セッションを提供するコンピューターを含むグループを選択し、[ 次へ] を選択します。

8. [ 確認と作成 ] タブで、設定を確認し、[ 作成] を選択します。

9. ポリシーがセッション ホストに適用されたら、設定を有効にするために再起動します。

10. 構成をテストするには、リモート セッションに接続し、リモート セッションをロックします。 構成に応じて、セッションが切断されているか、リモート ロック画面が表示されていることを確認します。

グループ ポリシー

グループ ポリシーを使用してセッション ロック エクスペリエンスを構成するには、次の手順に従います。

1. グループ ポリシー設定は、「前提条件」に記載されているオペレーティング システムでのみ使用できます。 他のバージョンのWindows Serverで使用できるようにするには、環境に応じて、管理用テンプレート ファイルC:\Windows\PolicyDefinitions\terminalserver.admxとC:\Windows\PolicyDefinitions\en-US\terminalserver.admlをセッション ホストからドメイン コントローラーまたはグループ ポリシー中央ストア上の同じ場所にコピーする必要があります。 terminalserver.admlのファイル パスで、別の言語を使用している場合en-USを適切な言語コードに置き換えます。

2. Active Directory ドメインの管理に使用するデバイスで、グループ ポリシー管理コンソールを開きます。

3. 構成するリモート セッションを提供するコンピューターを対象とするポリシーを作成または編集します。

4. [コンピューターの構成>Policies>管理用テンプレート>Windows コンポーネント>リモート デスクトップ サービス>リモート デスクトップ セッション ホスト>セキュリティ] に移動します。

   

5. 要件に応じて、次のいずれかのポリシー設定をダブルクリックします。

   • Microsoft Entra IDを使用したシングル サインオンの場合:

     1. Microsoft ID プラットフォーム認証を開くには、[ロック時にリモート セッションを切断する] をダブルクリックします。

        • セッションがロックされたときにリモート セッションを切断するには、[有効] または [未構成] を選択します。

        • セッションがロックされたときにリモート ロック画面を表示するには、[無効] を選択 します。

     2. [OK] を選択します。

   • レガシ認証プロトコルの場合:

     1. レガシ認証を開くには、[ ロック時にリモート セッションを切断 する] をダブルクリックします。

        • セッションがロックされたときにリモート セッションを切断するには、[有効] を選択 します。

        • セッションがロックされたときにリモート ロック画面を表示するには、[ 無効] または [ 未構成] を選択します。

     2. [OK] を選択します。

6. ポリシーがセッション ホストに適用されていることを確認し、設定を有効にするために再起動します。

7. 構成をテストするには、リモート セッションに接続し、リモート セッションをロックします。 構成に応じて、セッションが切断されているか、リモート ロック画面が表示されていることを確認します。

関連コンテンツ

• Microsoft Entra IDを使用して Azure Virtual Desktop のシングル サインオンを構成する方法について説明します。