Kerberos キー配布センター プロキシを構成する

  • [アーティクル]

金融機関や政府機関など、セキュリティ意識の高いお客様は、多くの場合、スマートカードを使用してサインインしています。 スマートカードでは、多要素認証 (MFA) を要求することで、デプロイのセキュリティを強化できます。 ただし、Azure Virtual Desktop セッションの RDP の部分については、Kerberos 認証用の Active Directory (AD) ドメイン コントローラーを使用した直接接続または "照準線" がスマートカードに必要になります。 この直接接続がないと、ユーザーはリモート接続から組織のネットワークに自動的にサインインできません。 Azure Virtual Desktop デプロイのユーザーは、KDC プロキシ サービスを使用して、この認証トラフィックをプロキシし、リモートでサインインできます。 KDC プロキシでは、Azure Virtual Desktop セッションのリモート デスクトップ プロトコルに対する認証が可能なため、ユーザーは安全にサインインできます。 これにより、自宅での作業がはるかに簡単になり、特定のディザスター リカバリーのシナリオを円滑に実行できます。

ただし、KDC プロキシを設定するには、通常は Windows Server 2016 以降で Windows Server Gateway ロールを割り当てる必要があります。 リモート デスクトップ サービス ロールを使用して Azure Virtual Desktop にサインインするにはどうすればよいですか? これに答えるために、コンポーネントについて簡単に見てみましょう。

認証が必要になる Azure Virtual Desktop サービスには、次の 2 つのコンポーネントがあります。

  • ユーザーがアクセスできるデスクトップまたはアプリケーションの一覧を提供する Azure Virtual Desktop クライアントのフィード。 この認証プロセスは Microsoft Entra ID で実行されるため、このコンポーネントについては、この記事では取り上げません。
  • 使用可能なリソースの 1 つをユーザー選択した結果として得られる RDP セッション。 このコンポーネントでは、Kerberos 認証を使用し、リモート ユーザーには KDC プロキシが必要です。

この記事では、Azure portal で Azure Virtual Desktop クライアントのフィードを構成する方法について説明します。 RD ゲートウェイ ロールを構成する方法については、RD ゲートウェイ ロールのデプロイに関するページを参照してください。

前提条件

KDC プロキシを使用して Azure Virtual Desktop セッション ホストを構成するには、次のことが必要です。

  • Azure portal と Azure 管理者アカウントにアクセスします。
  • リモート クライアント マシンでは、最低でも Windows 10 が実行されている必要があり、Windows Desktop クライアントがインストールされている必要があります。 Web クライアントは現在サポートされていません。
  • コンピューターに KDC プロキシが既にインストールされている必要があります。 その方法については、Azure Virtual Desktop の RD ゲートウェイ ロールの設定に関するページを参照してください。
  • コンピュータの OS は、Windows Server 2016 以降である必要があります。

これらの要件を満たしていることを確認したら、作業を開始できます。

KDC プロキシを構成する方法

KDC プロキシを構成するには、次の手順を実行します。

  1. Azure Portal に管理者としてサインインします。

  2. [Azure Virtual Desktop] ページにアクセスします。

  3. KDC プロキシを有効にするホスト プールを選択し、 [RDP プロパティ] を選択します。

  4. [詳細設定] タブを選択し、次の形式でスペースなしで値を入力します。

    kdcproxyname:s:<fqdn>

    A screenshot showing the Advanced tab selected, with the value entered as described in step 4.

  5. [保存] を選択します。

  6. これで、選択したホスト プールで、手順 4 で入力した kdcproxyname 値が含まれる RDP 接続ファイルの発行が開始されます。

次のステップ

KDC プロキシのリモート デスクトップ サービス側を管理し、RD ゲートウェイ ロールを割り当てる方法については、RD ゲートウェイ ロールのデプロイに関するページを参照してください。

KDC プロキシ サーバーのスケーリングに関心がある場合、KDC プロキシの高可用性を設定する方法については、「RD Web およびゲートウェイ Web フロントに高可用性を追加する」を参照してください。