次の方法で共有


Kerberos キー配布センター プロキシを構成する

金融や政府機関などのセキュリティに配慮した顧客は、多くの場合、Smartcards を使用してサインインします。 スマートカードを使用すると、多要素認証 (MFA) を必要とすることで、デプロイのセキュリティが強化されます。 ただし、Azure Virtual Desktop セッションの RDP 部分の場合、Smartcards では、Kerberos 認証用の Active Directory (AD) ドメイン コントローラーとの直接接続 ("視線") が必要です。 この直接接続がないと、ユーザーはリモート接続からorganizationのネットワークに自動的にサインインできません。 Azure Virtual Desktop デプロイのユーザーは、KDC プロキシ サービスを使用して、この認証トラフィックをプロキシし、リモートでサインインできます。 KDC プロキシを使用すると、Azure Virtual Desktop セッションのリモート デスクトップ プロトコルの認証が許可され、ユーザーは安全にサインインできます。 これにより、自宅での作業がはるかに簡単になり、特定のディザスター リカバリー シナリオをよりスムーズに実行できます。

ただし、KDC プロキシを設定するには、通常、Windows Server 2016 以降で Windows Server ゲートウェイ ロールを割り当てる必要があります。 リモート デスクトップ サービス ロールを使用して Azure Virtual Desktop にサインインするにはどうすればよいですか? その答えとして、コンポーネントを簡単に見てみましょう。

認証する必要がある Azure Virtual Desktop サービスには、次の 2 つのコンポーネントがあります。

  • アクセスできるデスクトップまたはアプリケーションの一覧をユーザーに提供する Azure Virtual Desktop クライアントのフィード。 この認証プロセスはMicrosoft Entra IDで行われます。これは、このコンポーネントがこの記事の焦点ではないことを意味します。
  • ユーザーが使用可能なリソースの 1 つを選択した結果の RDP セッション。 このコンポーネントは Kerberos 認証を使用し、リモート ユーザーに KDC プロキシが必要です。

この記事では、Azure portalの Azure Virtual Desktop クライアントでフィードを構成する方法について説明します。 RD ゲートウェイ ロールを構成する方法については、「RD ゲートウェイ ロール をデプロイする」を参照してください。

前提条件

KDC プロキシを使用して Azure Virtual Desktop セッション ホストを構成するには、次のものが必要です。

  • Azure portalと Azure 管理者アカウントへのアクセス。
  • リモート クライアント マシンは、少なくともWindows 10実行されており、Windows デスクトップ クライアントがインストールされている必要があります。 Web クライアントは現在サポートされていません。
  • マシンに KDC プロキシが既にインストールされている必要があります。 その方法については、「 Azure Virtual Desktop の RD ゲートウェイ ロールを設定する」を参照してください。
  • マシンの OS はWindows Server 2016以降である必要があります。

これらの要件を満たしていることを確認したら、作業を開始する準備が整います。

KDC プロキシを構成する方法

KDC プロキシを構成するには:

  1. 管理者として Azure ポータルにサイン インします。

  2. [Azure Virtual Desktop] ページに移動します。

  3. KDC プロキシを有効にするホスト プールを選択し、[ RDP プロパティ] を選択します。

  4. [ 詳細設定 ] タブを選択し、次の形式の値をスペースなしで入力します。

    kdcproxyname:s:<fqdn>

    [詳細設定] タブが選択され、手順 4 で説明されているように値が入力されていることを示すスクリーンショット。

  5. [保存] を選択します。

  6. 選択したホスト プールで、手順 4 で入力した kdcproxyname 値を含む RDP 接続ファイルの発行が開始されます。

次の手順

KDC プロキシのリモート デスクトップ サービス側を管理し、RD ゲートウェイ ロールを割り当てる方法については、「 RD ゲートウェイロールをデプロイする」を参照してください。

KDC プロキシ サーバーのスケーリングに関心がある場合は、「 RD Web およびゲートウェイ Web フロントに高可用性を追加する」で KDC プロキシの高可用性を設定する方法について説明します。