Microsoft Entra 参加済み VM への接続のトラブルシューティング

  • [アーティクル]

重要

この内容は、Azure Resource Manager Azure Virtual Desktop オブジェクトを含む Azure Virtual Desktop に適用されます。

この記事を使用して、Azure Virtual Desktop での Microsoft Entra 参加済みセッション ホスト VM への接続に関する問題を解決します。

すべてのクライアント

このデバイスを使用できないようにアカウントが構成されています

アカウントがこのデバイスを使用できないように構成されているため詳細については、システム管理者に連絡するように示すエラーが発生した場合は、そのユーザー アカウントに VM 上でVirtual Machine User Login ロールが与えられていることを確認してください。

ユーザー名またはパスワードが間違っている

サインインできず、資格情報が正しくないというエラー メッセージが表示され続ける場合は、まず適切な資格情報を使用していることを確認してください。 エラー メッセージが表示され続ける場合は、次の要件を満たしていることを確認してください。

  • 仮想マシンのユーザー ログイン ロールベースのアクセス制御 (RBAC) のアクセス許可を、各ユーザーの仮想マシン (VM) またはリソース グループに割り当てていますか。
  • 条件付きアクセス ポリシーでは、Azure Windows VM サインイン クラウド アプリケーションの多要素認証要件は除外されますか?

どちらの質問にも答えない場合は、多要素認証を再構成する必要があります。 多要素認証を再構成するには、「条件付きアクセスを使って Azure Virtual Desktop に Microsoft Entra 多要素認証を適用する方法」の手順に従います。

重要

VM サインインでは、ユーザー単位で有効化または適用された Microsoft Entra 多要素認証はサポートされていません。 VM で多要素認証を使用してサインインしようとすると、サインインできなくなり、エラー メッセージが表示されます。

Microsoft Entra ログを Azure Monitor ログと統合して Log Analytics を使用して Microsoft Entra サインイン ログにアクセスしている場合は、多要素認証を有効にして、イベントをトリガーしている条件付きアクセス ポリシーを確認できます。 表示されるイベントは、VM の非対話型ユーザー ログイン イベントです。つまり、VM が Microsoft Entra ID にアクセスする外部 IP アドレスから IP アドレスが取得されているように見えます。

次の Kusto クエリを実行して、サインイン ログにアクセスできます。

let UPN = "userupn";
AADNonInteractiveUserSignInLogs
| where UserPrincipalName == UPN
| where AppId == "372140e0-b3b7-4226-8ef9-d57986796201"
| project ['Time']=(TimeGenerated), UserPrincipalName, AuthenticationRequirement, ['MFA Result']=ResultDescription, Status, ConditionalAccessPolicies, DeviceDetail, ['Virtual Machine IP']=IPAddress, ['Cloud App']=ResourceDisplayName
| order by ['Time'] desc

Windows デスクトップクライアント

ログインに失敗しました

Windows セキュリティ資格情報のプロンプトでログオン試行が失敗したことを示すエラーが発生した場合は、次のことを確認してください。

  • セッション ホストと同じ Microsoft Entra テナントに対する Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みのデバイスを使用しています。
  • ローカル PC とセッション ホストの両方で PKU2U プロトコルが有効になっています。
  • Microsoft Entra 参加済み VM ではサポートされていないので、ユーザー アカウントでのユーザー単位の多要素認証は無効になります

使用しようとしているサインイン方法は許可されていません

使用しようとしているサインイン方法が許可されいないため、別のサインイン方法を試すか、システム管理者に連絡するように示すエラーが表示されたら、アクセスを制限する条件付きアクセス ポリシーがあることを確認してください。 「条件付きアクセスを使用して Azure Virtual Desktop に Microsoft Entra 多要素認証を適用する」の手順に従って、Microsoft Entra 参加済み VM に Microsoft Entra 多要素認証を適用します。

指定されたログオン セッションは存在しません。 既に終了している可能性があります。

認証エラーが発生しました。指定されたログオン セッションは存在しません。既に終了している可能性がありますというエラーが表示された場合は、シングル サインオンの構成時に Kerberos サーバー オブジェクトを適切に作成して構成したことを確認します。

Web クライアント

サイン インできませんでした。 ユーザー名とパスワードを確認してから、もう一度お試しください

Web クライアントの使用時に「名前に接続できませんでした。サインインできませんでした。ユーザー名とパスワードを確認してから、もう一度お試しください。」というエラーが発生した場合は、他のクライアントからの接続が有効になっていることを確認します。

We couldn't connect to the remote PC because of a security error (セキュリティ エラーのため、リモート PC に接続できませんでした)

名前に接続できません。セキュリティ エラーのため、リモート PC に接続できませんでした。この問題が引き続き発生する場合は、管理者またはテクニカル サポートにお問い合わせください」というメッセージが表示される場合は、アクセスを制限する条件付きアクセス ポリシーがあります。 「条件付きアクセスを使用して Azure Virtual Desktop に Microsoft Entra 多要素認証を適用する」の手順に従って、Microsoft Entra 参加済み VM に Microsoft Entra 多要素認証を適用します。

Android と Chrome OS クライアント

エラーコード 2607 - 資格情報が機能しなかったため、リモート PC に接続できませんでした

Android クライアントの使用時に「資格情報が機能しなかったため、リモート PC に接続できませんでした。リモート コンピューターは AADJ に参加しています。」というエラーがエラー コード 2607 で発生した場合は、他のクライアントからの接続が有効になっていることを確認してください。

フィードバックの提供

Azure Virtual Desktop Tech Community にアクセスし、Azure Virtual Desktop サービスに関して製品チームや活発なコミュニティのメンバーと話し合ってください。

次のステップ