サポートされている ID および認証方法

  • [アーティクル]

この記事では、Azure Virtual Desktop で使用できる ID および認証方法の種類の概要について説明します。

Identities

Azure Virtual Desktop では、選択した構成に応じて、さまざまな種類の ID がサポートされます。 このセクションでは、構成ごとに使用できる ID について説明します。

重要

Azure Virtual Desktop では、1 つのユーザー アカウントで Microsoft Entra ID にサインインしてから、別のユーザー アカウントで Windows にサインインすることはできません。 2 つの異なるアカウントで同時にサインインすると、ユーザーが間違ったセッション ホストに再接続したり、Azure portal の情報が正しくないか表示されなかったり、MSIX アプリ アタッチの使用中にエラー メッセージが表示されたりする可能性があります。

オンプレミス ID

Azure Virtual Desktop にアクセスするには、Microsoft Entra ID 経由でユーザーを検出できる必要があるため、Active Directory Domain Services (AD DS) にのみ存在するユーザー ID はサポートされません。 これには、Active Directory フェデレーション サービス (AD FS) を使用したスタンドアロンの Active Directory デプロイ が含まれます。

ハイブリッド ID

Azure Virtual Desktop では、AD FS を使用してフェデレーションされるものを含めて、Microsoft Entra ID を通じたハイブリッド ID がサポートされています。 これらのユーザー ID は AD DS で管理し、Microsoft Entra Connect を使用して Microsoft Entra ID に同期できます。 また、Microsoft Entra ID を使用してこれらの ID を管理し、Microsoft Entra Domain Services に同期できます。

ハイブリッド ID を使用して Azure Virtual Desktop にアクセスする場合、Active Directory (AD) および Microsoft Entra ID のユーザーのユーザー プリンシパル名 (UPN) またはセキュリティ識別子 (SID) が一致しない場合があります。 たとえば、AD アカウント user@contoso.local は Microsoft Entra ID の user@contoso.com に対応することがあります。 Azure Virtual Desktop では、AD と Microsoft Entra ID アカウントの両方の UPN または SID が一致する場合にのみ、この種類の構成がサポートされます。 SID とは、AD ではユーザー オブジェクト プロパティ "ObjectSID"、Microsoft Entra ID では "OnPremisesSecurityIdentifier" のことです。

クラウド専用 ID

Azure Virtual Desktop では、Microsoft Entra 参加済み VM を使用しているとき、クラウド専用 ID がサポートされます。 これらのユーザーは、Microsoft Entra ID で直接作成および管理されます。

Note

また、参加の種類が Microsoft Entra 参加済みのセッション ホストをホストする Azure Virtual Desktop アプリケーション グループにハイブリッド ID を割り当てることもできます。

サードパーティの ID プロバイダー

Microsoft Entra ID 以外の ID プロバイダー (IdP) を使用してユーザー アカウントを管理する場合は、次のことを確認する必要があります。

外部 ID

Azure Virtual Desktop では、外部 ID は現在サポートされていません。

認証方法

リモート セッションに接続するユーザーには、次の 3 つの認証ポイントがあります。

  • Azure Virtual Desktop へのサービス認証: クライアントへのアクセス時にユーザーがアクセスできるリソースの一覧を取得します。 この環境は、Microsoft Entra アカウント構成によって異なります。 たとえば、ユーザーが多要素認証を有効にしている場合、他のサービスにアクセスする方法と同じように、ユーザー アカウントと 2 つ目の認証形式の入力を求められます。

  • セッション ホスト: リモート セッションの開始時。 セッション ホストにはユーザー名とパスワードが必要ですが、シングル サインオン (SSO) が有効になっている場合は、ユーザーにとってシームレスです。

  • セッション内認証: リモート セッション内で他のリソースに接続します。

以降のセクションでは、各認証ポイントについて、さらに詳細に説明します。

サービス認証

Azure Virtual Desktop リソースにアクセスするには、まず Microsoft Entra アカウントを使用してサインインしてサービスの認証を受ける必要があります。 認証は、ワークスペースをサブスクライブしてリソースを取得し、アプリまたはデスクトップに接続するたび発生します。 Microsoft Entra ID とフェデレーションされていれば、サードパーティの ID プロバイダーを使用できます。

多要素認証

条件付きアクセスを使用して Azure Virtual Desktop に Microsoft Entra 多要素認証を適用する」の手順に従って、デプロイに Microsoft Entra 多要素認証を適用する方法を確認します。 この記事では、ユーザーに資格情報の入力を求める頻度を構成する方法も示します。 Microsoft Entra 参加済み VM をデプロイするときは、Microsoft Entra 参加済みセッション ホスト VM の追加の手順に注意してください。

パスワードレスの認証

Windows Hello for Business やその他のパスワードレス認証オプション (FIDO キーなど) など、Microsoft Entra ID でサポートされている任意の認証の種類を使用して、サービスに対する認証を行うことができます。

スマート カード認証

スマート カードを使用して Microsoft Entra ID への認証を行うには、まずユーザー証明書認証用に AD FS を構成するか、Microsoft Entra 証明書ベースの認証を構成する必要があります。

セッション ホスト認証

シングル サインオンをまだ有効にしていない場合、または資格情報をローカルに保存していない場合は、接続を起動するときにセッション ホストに対する認証も必要になります。 次の一覧では、各 Azure Virtual Desktop クライアントが現在サポートしている認証の種類について説明します。 一部のクライアントでは、特定のバージョンを使う必要があります。これは各認証の種類のリンク先で確認できます。

Client サポートされている認証の種類
Windows デスクトップクライアント ユーザー名とパスワード
スマート カード
Windows Hello for Business 証明書信頼
Windows Hello for Business 証明書によるキー信頼
Microsoft Entra 認証
Azure Virtual Desktop Store アプリ ユーザー名とパスワード
スマート カード
Windows Hello for Business 証明書信頼
Windows Hello for Business 証明書によるキー信頼
Microsoft Entra 認証
リモート デスクトップ アプリ ユーザー名とパスワード
Web クライアント ユーザー名とパスワード
Microsoft Entra 認証
Android クライアント ユーザー名とパスワード
Microsoft Entra 認証
iOS クライアント ユーザー名とパスワード
Microsoft Entra 認証
macOS クライアント ユーザー名とパスワード
スマート カード: NLA がネゴシエートされていないときに、Winlogon プロンプトでスマート カード リダイレクトを使用したスマート カードベースのサインインがサポートされます。
Microsoft Entra 認証

重要

認証が正常に機能するためには、ローカル コンピューターがリモート デスクトップ クライアントの必要な URL にもアクセスできる必要があります。

シングル サインオン (SSO)

SSO を使用すると、接続でセッション ホスト資格情報プロンプトをスキップし、ユーザーを Windows に自動的にサインインさせることができます。 Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みのセッション ホストの場合は、Microsoft Entra 認証を使用して SSO を有効にすることをお勧めします。 Microsoft Entra 認証には、パスワードレス認証やサードパーティ ID プロバイダーのサポートなど、その他の利点があります。

Azure Virtual Desktop では、Windows デスクトップおよび Web クライアント用の Active Directory フェデレーション サービス (AD FS) を使用した SSO もサポートされています。

SSO を使用しない場合、クライアントは、すべての接続に対してセッション ホスト資格情報の入力をユーザーに求めます。 ダイアログの表示を回避する唯一の方法は、資格情報をクライアントに保存することです。 他のユーザーがリソースにアクセスできないようにするため、セキュリティで保護されたデバイスにのみ資格情報を保存することをお勧めします。

スマート カードと Windows Hello for Business

Azure Virtual Desktop では、セッション ホスト認証に NT LAN Manager (NTLM) と Kerberos の両方がサポートされていますが、スマート カードとWindows Hello for Business では、Kerberos のみを使用してサインインできます。 クライアントで Kerberos を使用するには、ドメイン コントローラーで実行されているキー配布センター (KDC) サービスから Kerberos セキュリティ チケットを取得する必要があります。 チケットを取得するには、クライアントからドメイン コントローラーへ向かう直接のネットワーク通信経路が必要になります。 企業ネットワーク内で直接接続するか、VPN 接続を使用するか、KDC プロキシ サーバーを設定することで、通信経路を確立できます。

セッション内認証

RemoteApp またはデスクトップに接続すると、セッション内で認証を求めるメッセージが表示される場合があります。 このセクションでは、このシナリオでユーザー名とパスワード以外の資格情報を使用する方法について説明します。

セッション内パスワードレス認証

Azure Virtual Desktop では、Windows Desktop クライアントの使用時に、Windows Hello for Business や、FIDO キーなどのセキュリティ デバイスを使用したセッション内パスワードレス認証がサポートされています。 セッション ホストとローカル PC が次のオペレーティング システムを使用している場合、パスワードレス認証は自動的に有効になります。

ホスト プールでパスワードレス認証を無効にするには、RDP プロパティをカスタマイズする必要があります。 WebAuthn リダイレクト プロパティは、Azure portal の [デバイスのリダイレクト] タブで確認するか、PowerShell を使用して redirectwebauthn プロパティを 0 に設定します。

有効にすると、セッション内のすべての WebAuthn 要求がローカル PC にリダイレクトされます。 Windows Hello for Business またはローカルに接続されたセキュリティ デバイスを使用して、認証プロセスを完了できます。

Windows Hello for Business またはセキュリティ デバイスを使用して Microsoft Entra リソースにアクセスするには、ユーザーの認証方法として FIDO2 セキュリティ キーを有効にする必要があります。 この方法を有効にするには、「FIDO2 セキュリティ キーの方法を有効にする」の手順に従います。

セッション内スマート カード認証

セッションでスマート カードを使用するには、セッション ホストにスマート カード ドライバーがインストールされ、スマート カード リダイレクトが有効になっている必要があります。 クライアント比較チャートを参照して、クライアントでスマート カード リダイレクトがサポートされるか確認してください。

次のステップ