リモート デスクトップ プロトコル経由で WebAuthn リダイレクトを構成する

ヒント

この記事では、リモート デスクトップ プロトコル (RDP) を使用して Windows デスクトップとアプリへのリモート アクセスを提供するサービスや製品について情報を提供します。

この記事の上部にあるボタンを使用して製品を選択し、関連するコンテンツを表示してください。

リモート デスクトップ プロトコル (RDP) 経由で、リモート セッションからローカル デバイスへの WebAuthn 要求のリダイレクト動作を構成できます。 WebAuthn リダイレクトは、Windows Hello for Business や、FIDO キーなどのセキュリティ デバイスを使用するセッション内パスワードレス認証を可能にします。

Azure Virtual Desktop の場合は、Microsoft Intune またはグループ ポリシーを使用してセッション ホスト上の WebAuthn リダイレクトを有効にしてから、ホスト プール RDP プロパティを使用してリダイレクトを制御することをお勧めします。

Windows 365 の場合、Microsoft Intune またはグループ ポリシーを使用してクラウド PC を構成できます。

Microsoft Dev Box の場合、Microsoft Intune またはグループ ポリシーを使用して開発ボックスを構成できます。

この記事では、サポートされているリダイレクト方法と、WebAuthn 要求のリダイレクト動作を構成する方法に関する情報を提供します。 リダイレクトのしくみの詳細については、「リモート デスクトップ プロトコル経由のリダイレクト」を参照してください。

前提条件

WebAuthn リダイレクトを構成するにあたっては、以下のものが必要になります。

• セッション ホストを使用した既存のホスト プール。

• ホスト プール上の Desktop Virtualization Host Pool Contributor の組み込みロール ベースのアクセス制御 (RBAC) ロールが最小限割り当てられている Microsoft Entra ID アカウント。

• 既存のクラウド PC。

• 既存の開発ボックス。

• Windows Hello for Business または FIDO USB キーなどのセキュリティ デバイスが構成済みのローカル Windows デバイス。

• Microsoft Intune を構成するには、以下のものが必要です。

  • ポリシーとプロファイル マネージャーの組み込み RBAC の役割が割り当てられた Microsoft Entra ID アカウント。
  • 構成するデバイスを含むグループ。

• グループ ポリシーを構成するには、以下のものが必要です。

  • グループ ポリシー オブジェクトを作成または編集するアクセス許可を持つドメイン アカウント。
  • 構成したいデバイスを含むセキュリティ グループまたは組織単位 (OU)。

• サポートされているアプリとプラットフォームからリモート セッションに接続する必要があります。 Windows アプリとリモート デスクトップ アプリでのリダイレクトのサポートについて確認するには、「異なるプラットフォームとデバイス上の Windows アプリ機能の比較」と「異なるプラットフォームとデバイス上のリモート デスクトップ アプリ機能の比較」を参照してください。

WebAuthn のリダイレクト

Microsoft Intune またはグループ ポリシーを使用するセッション ホストの構成やホスト プール上での RDP プロパティの設定は、WebAuthn 要求をリモート セッションからローカル デバイスにリダイレクトする機能を管理し、これは優先順位の影響を受けます。

既定の構成は次のとおりです。

• Windows オペレーティング システム: WebAuthn 要求はブロックされません。
• Azure Virtual Desktop ホスト プール RDP プロパティ: リモート セッション内の WebAuthn 要求は、ローカル コンピューターにリダイレクトされます。

重要

最も制限の厳しい設定が結果的な動作になるため、リダイレクト設定の構成時には注意してください。 たとえば、Microsoft Intune またはグループ ポリシーを使用してセッション ホスト上の WebAuthn リダイレクトを無効にすると、ホスト プール RDP プロパティを使用してそれを有効にしても、リダイレクトは無効になります。

クラウド PC の構成は、リモート セッションとローカル デバイスの間で WebAuthn 要求をリダイレクトする機能を管理し、Microsoft Intune またはグループ ポリシーを使用して設定されます。

既定の構成は次のとおりです。

• Windows オペレーティング システム: WebAuthn 要求はブロックされません。 Windows 365 では、WebAuthn リダイレクトが有効になります。

開発ボックスの構成は、リモート セッションとローカル デバイスの間で WebAuthn 要求をリダイレクトする機能を管理し、Microsoft Intune またはグループ ポリシーを使用して設定されます。

既定の構成は次のとおりです。

• Windows オペレーティング システム: WebAuthn 要求はブロックされません。 Windows 365 では、WebAuthn リダイレクトが有効になります。

ホスト プール RDP プロパティを使用して WebAuthn リダイレクトを構成する

Azure Virtual Desktop ホスト プール設定の "WebAuthn リダイレクト" は、リモート セッションとローカル デバイスの間で WebAuthn 要求をリダイレクトするかどうかを制御します。 対応する RDP プロパティは redirectwebauthn:i:<value> です。 詳細については、「サポートされる RDP プロパティ」を参照してください。

ホスト プール RDP プロパティを使用して WebAuthn リダイレクトを構成するには:

1. Azure portal にサインインします。

2. 検索バーに「Azure Virtual Desktop」と入力し、一致するサービス エントリを選択します。

3. [ホスト プール] を選んでから、構成するホスト プールを選びます。

4. [RDP プロパティ] を選択した後、[デバイス リダイレクト] を選択します。

   

5. [WebAuthn リダイレクト] では、ドロップダウン リストを選択した後、以下のいずれかのオプションを選択します。

   • リモート セッション内の WebAuthn 要求はローカル コンピューターにリダイレクトされない
   • リモート セッション内の WebAuthn 要求はローカル コンピューターにリダイレクトされる ("既定値")
   • 未構成

6. [保存] を選択します。

7. 構成をテストするには、「WebAuthn リダイレクトのテスト」の手順に従います。

Microsoft Intune またはグループ ポリシーを使用して WebAuthn リダイレクトを構成する

Microsoft Intune またはグループ ポリシーを使用して WebAuthn リダイレクトを構成する

お使いのシナリオに関連するタブを選択します。

Microsoft Intune

Microsoft Intune を使用して WebAuthn リダイレクトを許可または無効にするには:

1. Microsoft Intune 管理センターにサインインします。

2. 設定カタログ プロファイル型で、Windows 10 以降のデバイスの構成プロファイルを作成または編集します。

3. 設定ピッカーで、[管理用テンプレート]>[Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ セッション ホスト]>[デバイスとリソースのリダイレクト] に移動します。

   

4. [WebAuthn リダイレクトを許可しない] のボックスにチェックを入れた後、設定ピッカーを閉じます。

5. [管理用テンプレート] カテゴリを展開し、以下のように要件に応じて [WebAuthn リダイレクトを許可しない] のスイッチを [有効] または [無効] に切り替えます。

   • WebAuthn リダイレクトを許可するには、スイッチを [無効化] に切り替えて、[OK] を選択します。

   • WebAuthn リダイレクトを無効にするには、スイッチを [有効化] に切り替えて、[OK] を選択します。

6. [次へ] を選択します。

7. 省略可能: [スコープ タグ] タブで、プロファイルをフィルター処理するスコープのタグを選択します。 スコープのタグの詳細については、分散 IT のためのロールベースのアクセス制御(RBAC) とスコープのタグの使用に関するページをご覧ください。

8. [割り当て] タブで、構成するリモート セッションを提供するコンピューターを含むグループを選択し、[次へ] を選択します。

9. [確認 + 作成] タブで設定を確認し、[作成] を選択します。

10. リモート セッションを提供するコンピューターにポリシーが適用されたら、再起動して設定を有効にします。

グループ ポリシー

グループ ポリシーを使用して WebAuthn リダイレクトを許可または無効にするには:

1. Active Directory ドメインの管理に使うデバイスで、[グループ ポリシーの管理] コンソールを開きます。

2. 構成するリモート セッションを提供するコンピューターを対象とするポリシーを作成または編集します。

3. [コンピューターの構成]>[ポリシー]>[管理用テンプレート]>[Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ セッション ホスト]>[デバイスとリソースのリダイレクト] に移動します。

   

4. ポリシー設定の [WebAuthn リダイレクトを許可しない] をダブルクリックして開きます。

   • WebAuthn リダイレクトを許可するには、[無効] または [未構成] を選択した後、[OK] を選択します。

   • WebAuthn リダイレクトを無効にするには、[有効] を選択した後、[OK] を選択します。

5. ポリシーがリモート セッションを提供するコンピューターに適用されていることを確認した後、設定を有効にするためにコンピューターを再起動します。

WebAuthn のリダイレクトをテストする

WebAuthn リダイレクトを有効にしたら、それをテストするために以下を行います。

1. USB セキュリティ キーを使用している場合は、それが最新であることを最初に確認します。

2. WebAuthn リダイレクトをサポートするプラットフォーム上の Windows アプリまたはリモート デスクトップ アプリを使用してリモート セッションに接続します。 詳細については、「異なるプラットフォームとデバイス上の Windows アプリ機能の比較」と「異なるプラットフォームとデバイス上のリモート デスクトップ アプリ機能の比較」を参照してください。

3. リモート セッションで、WebAuthn 認証を使用する InPrivate ウィンドウで Web サイト (https://windows.cloud.microsoft/ にある Web ブラウザー用 Windows アプリなど) を開きます。

4. サインイン プロセスに従います。 認証が Windows Hello for Business またはセキュリティ キーを使用する段階に来ると、次の図に示す Windows ローカル デバイスを使用する場合のように、認証を完了するための Windows セキュリティ プロンプトが表示されるはずです。

   Windows セキュリティ プロンプトがローカル デバイス上でリモート セッションにオーバーレイしており、WebAuthn リダイレクトが機能していることを示しています。

   

関連するコンテンツ

• リモート デスクトップ プロトコル経由のリダイレクト。
• サポートされている RDP プロパティ。
• 異なるプラットフォームとデバイス上の Windows アプリ機能を比較する。
• 異なるプラットフォームとデバイス上のリモート デスクトップ アプリ機能を比較する。