リモート デスクトップ プロトコル経由で WebAuthn リダイレクトを構成する

ヒント

この記事は、リモート デスクトップ プロトコル (RDP) を使用して Windows デスクトップとアプリへのリモート アクセスを提供するサービスと製品について共有されています。

この記事の上部にあるボタンを使用して製品を選択し、関連するコンテンツを表示します。

リモート セッションからリモート デスクトップ プロトコル (RDP) 経由でローカル デバイスへの WebAuthn 要求のリダイレクト動作を構成できます。 WebAuthn リダイレクトを使用すると、Windows Hello for Businessや FIDO キーなどのセキュリティ デバイスを使用したセッション内パスワードレス認証が可能になります。

Azure Virtual Desktop の場合は、Microsoft Intuneまたはグループ ポリシーを使用してセッション ホストで WebAuthn リダイレクトを有効にしてから、ホスト プールの RDP プロパティを使用してリダイレクトを制御することをお勧めします。

Windows 365では、Microsoft Intuneまたはグループ ポリシーを使用してクラウド PC を構成できます。

Microsoft Dev Box では、Microsoft Intuneまたはグループ ポリシーを使用して開発ボックスを構成できます。

この記事では、サポートされているリダイレクト方法と、WebAuthn 要求のリダイレクト動作を構成する方法について説明します。 リダイレクトのしくみの詳細については、「 リモート デスクトップ プロトコルを使用したリダイレクト」を参照してください。

前提条件

WebAuthn リダイレクトを構成する前に、次のものが必要です。

• セッション ホストを含む既存のホスト プール。

• デスクトップ仮想化ホスト プール共同作成者組み込みのロールベースのアクセス制御 (RBAC) ロールがホスト プールに最低限割り当てられているMicrosoft Entra ID アカウント。

• 既存のクラウド PC。

• 既存の開発ボックス。

• Windows Hello for Businessまたは FIDO USB キーなどのセキュリティ デバイスが既に構成されているローカル Windows デバイス。

• Microsoft Intuneを構成するには、次のものが必要です。

  • Microsoft Entra IDポリシーとプロファイル マネージャーの組み込み RBAC ロールが割り当てられているアカウント。
  • 構成するデバイスを含むグループ。

• グループ ポリシーを構成するには、次のものが必要です。

  • グループ ポリシー オブジェクトを作成または編集するアクセス許可を持つドメイン アカウント。
  • 構成するデバイスを含むセキュリティ グループまたは組織単位 (OU)。

• サポートされているアプリとプラットフォームからリモート セッションに接続する必要があります。 Windows Appとリモート デスクトップ アプリでのリダイレクトのサポートを表示するには、「プラットフォームとデバイス間のWindows App機能の比較」および「プラットフォームとデバイス間のリモート デスクトップ アプリ機能の比較」を参照してください。

WebAuthn リダイレクト

Microsoft Intuneまたはグループ ポリシーを使用したセッション ホストの構成、またはホスト プールでの RDP プロパティの設定は、WebAuthn 要求をリモート セッションからローカル デバイスにリダイレクトする機能を制御します。これは、優先順位の対象となります。

既定の構成は次のとおりです。

• Windows オペレーティング システム: WebAuthn 要求はブロックされません。
• Azure Virtual Desktop ホスト プールの RDP プロパティ: リモート セッションの WebAuthn 要求は、ローカル コンピューターにリダイレクトされます。

重要

最も制限の厳しい設定が結果の動作であるため、リダイレクト設定を構成する場合は注意してください。 たとえば、Microsoft Intuneまたはグループ ポリシーを使用してセッション ホストで WebAuthn リダイレクトを無効にし、ホスト プール RDP プロパティで有効にした場合、リダイレクトは無効になります。

クラウド PC の構成は、リモート セッションとローカル デバイスの間で WebAuthn 要求をリダイレクトする機能を制御し、Microsoft Intuneまたはグループ ポリシーを使用して設定されます。

既定の構成は次のとおりです。

• Windows オペレーティング システム: WebAuthn 要求はブロックされません。 Windows 365では、WebAuthn リダイレクトが有効になります。

開発ボックスの構成は、リモート セッションとローカル デバイスの間で WebAuthn 要求をリダイレクトする機能を制御し、Microsoft Intuneまたはグループ ポリシーを使用して設定されます。

既定の構成は次のとおりです。

• Windows オペレーティング システム: WebAuthn 要求はブロックされません。 Windows 365では、WebAuthn リダイレクトが有効になります。

ホスト プール RDP プロパティを使用して WebAuthn リダイレクトを構成する

WebAuthn リダイレクトを設定する Azure Virtual Desktop ホスト プールは、リモート セッションとローカル デバイスの間で WebAuthn 要求をリダイレクトするかどうかを制御します。 対応する RDP プロパティが redirectwebauthn:i:<value>。 詳細については、「 サポートされている RDP プロパティ」を参照してください。

ホスト プール RDP プロパティを使用して WebAuthn リダイレクトを構成するには:

1. Azure portal にサインインし

2. 検索バーに「 Azure Virtual Desktop 」と入力し、一致するサービス エントリを選択します。

3. [ ホスト プール] を選択し、構成するホスト プールを選択します。

4. [ RDP のプロパティ] を選択し、[ デバイス リダイレクト] を選択します。

   

5. [WebAuthn リダイレクト] で、ドロップダウン リストを選択し、次のいずれかのオプションを選択します。

   • リモート セッションの WebAuthn 要求がローカル コンピューターにリダイレクトされない
   • リモート セッション内の WebAuthn 要求はローカル コンピューターにリダイレクトされます (既定)
   • 未構成

6. [保存] を選択します。

7. 構成をテストするには、「 WebAuthn リダイレクトのテスト」の手順に従います。

Microsoft Intuneまたはグループ ポリシーを使用して WebAuthn リダイレクトを構成する

Microsoft Intuneまたはグループ ポリシーを使用して WebAuthn リダイレクトを構成する

シナリオに関連するタブを選択します。

Microsoft Intune

Microsoft Intuneを使用して WebAuthn リダイレクトを許可または無効にするには:

1. Microsoft Intune 管理センターにサインインします。

2. [設定] カタログ プロファイルの種類を使用して、Windows 10以降のデバイスの構成プロファイルを作成または編集します。

3. 設定ピッカーで、 管理用テンプレート>Windows コンポーネント>リモート デスクトップ サービス>リモート デスクトップ セッション ホスト>Device およびリソース リダイレクトに移動します。

   

4. [ WebAuthn リダイレクトを許可しない] チェック ボックスをオンにし、設定ピッカーを閉じます。

5. [管理用テンプレート] カテゴリを展開し、要件に応じて [WebAuthn リダイレクトを許可しない] を [有効] または [無効] に切り替えます。

   • WebAuthn リダイレクトを許可するには、スイッチを [無効] に切り替えます。

   • WebAuthn リダイレクトを無効にするには、スイッチを [有効] に切り替えます。

6. [次へ] を選択します。

7. 省略可能: [ スコープ タグ ] タブで、スコープ タグを選択してプロファイルをフィルター処理します。 スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。

8. [ 割り当て ] タブで、構成するリモート セッションを提供するコンピューターを含むグループを選択し、[ 次へ] を選択します。

9. [ 確認と作成 ] タブで、設定を確認し、[ 作成] を選択します。

10. リモート セッションを提供するコンピューターにポリシーが適用されたら、設定を有効にするために再起動します。

グループ ポリシー

グループ ポリシーを使用して WebAuthn リダイレクトを許可または無効にするには:

1. Active Directory ドメインの管理に使用するデバイスで、グループ ポリシー管理コンソールを開きます。

2. 構成するリモート セッションを提供するコンピューターを対象とするポリシーを作成または編集します。

3. [コンピューターの構成>Policies>管理用テンプレート>Windows コンポーネント>リモート デスクトップ サービス>リモート デスクトップ セッション ホスト>デバイスとリソース のリダイレクト] に移動します。

   

4. ポリシー設定 [ WebAuthn リダイレクトを許可しない ] をダブルクリックして開きます。

   • WebAuthn リダイレクトを許可するには、[ 無効] または [ 未構成] を選択し、[ OK] を選択します。

   • WebAuthn リダイレクトを無効にするには、[ 有効] を選択し、[ OK] を選択します。

5. リモート セッションを提供するコンピューターにポリシーが適用されていることを確認し、設定を有効にするために再起動します。

WebAuthn リダイレクトをテストする

WebAuthn リダイレクトを有効にしたら、それをテストします。

1. USB セキュリティ キーを使用している場合は、最初に接続されていることを確認します。

2. WebAuthn リダイレクトをサポートするプラットフォーム上の Window App またはリモート デスクトップ アプリを使用してリモート セッションに接続します。 詳細については、「プラットフォームとデバイス間のWindows App機能の比較」および「プラットフォームとデバイス間のリモート デスクトップ アプリ機能の比較」を参照してください。

3. リモート セッションで、https://windows.cloud.microsoft/の Web ブラウザーのWindows Appなど、WebAuthn 認証を使用する Web サイトを InPrivate ウィンドウで開きます。

4. サインイン プロセスに従います。 認証でWindows Hello for Businessまたはセキュリティ キーを使用する場合は、Windows ローカル デバイスを使用するときに次の図に示すように、認証を完了するためのWindows セキュリティ プロンプトが表示されます。

   Windows セキュリティ プロンプトがローカル デバイス上にあり、リモート セッションがオーバーレイされ、WebAuthn リダイレクトが機能していることを示します。

   

関連コンテンツ

• リモート デスクトップ プロトコル経由のリダイレクト。
• サポートされている RDP プロパティ。
• プラットフォームとデバイス間でWindows App機能を比較します。
• プラットフォームとデバイス間でリモート デスクトップ アプリの機能を比較します。