Azure Virtual Desktop に接続する場合に Windows 用のリモート デスクトップ クライアントのトラブルシューティングを行う

  • [アーティクル]

この記事では、Azure Virtual Desktop に接続するときに Windows 用のリモート デスクトップ クライアントで発生する可能性がある問題とその解決方法について説明します。

全般

このセクションでは、リモート デスクトップ クライアントの一般的な問題に対するトラブルシューティングについて説明します。

表示されるはずのリソースが表示されない

アプリに表示されるはずのリモート リソースが表示されない場合は、使用しているアカウントをチェックします。 Azure Virtual Desktop に使用するものとは別のアカウントで既にサインインしている場合は、まずサインアウトしてから、正しいアカウントでもう一度サインインする必要があります。 リモート デスクトップ Web クライアントを使用している場合は、InPrivate ブラウザー ウィンドウを使用して別のアカウントを試すことができます。

正しいアカウントを使用している場合は、アプリケーション グループがワークスペースに関連付けられていることを確認してください。

このデバイスを使用できないようにアカウントが構成されています

アカウントがこのデバイスを使用できないように構成されているため詳細については、システム管理者に連絡するように示すエラーが発生した場合は、そのユーザー アカウントに VM 上でVirtual Machine User Login ロールが与えられていることを確認してください。

ユーザー名またはパスワードが間違っている

サインインできず、資格情報が正しくないというエラー メッセージが表示され続ける場合は、まず適切な資格情報を使用していることを確認してください。 エラー メッセージが表示され続ける場合は、次の要件を満たしていることを確認してください。

  • 仮想マシンのユーザー ログイン ロールベースのアクセス制御 (RBAC) のアクセス許可を、各ユーザーの仮想マシン (VM) またはリソース グループに割り当てていますか。
  • 条件付きアクセス ポリシーでは、Azure Windows VM サインイン クラウド アプリケーションの多要素認証要件は除外されますか?

どちらの質問にも答えない場合は、多要素認証を再構成する必要があります。 多要素認証を再構成するには、「条件付きアクセスを使って Azure Virtual Desktop に Microsoft Entra 多要素認証を適用する方法」の手順に従います。

重要

VM サインインでは、ユーザー単位で有効化または適用された Microsoft Entra 多要素認証はサポートされていません。 VM で多要素認証を使用してサインインしようとすると、サインインできなくなり、エラー メッセージが表示されます。

Microsoft Entra ログを Azure Monitor ログと統合して Log Analytics を使用して Microsoft Entra サインイン ログにアクセスしている場合は、多要素認証を有効にして、イベントをトリガーしている条件付きアクセス ポリシーを確認できます。 表示されるイベントは、VM の非対話型ユーザー ログイン イベントです。つまり、VM が Microsoft Entra ID にアクセスする外部 IP アドレスから IP アドレスが取得されているように見えます。

次の Kusto クエリを実行して、サインイン ログにアクセスできます。

let UPN = "userupn";
AADNonInteractiveUserSignInLogs
| where UserPrincipalName == UPN
| where AppId == "372140e0-b3b7-4226-8ef9-d57986796201"
| project ['Time']=(TimeGenerated), UserPrincipalName, AuthenticationRequirement, ['MFA Result']=ResultDescription, Status, ConditionalAccessPolicies, DeviceDetail, ['Virtual Machine IP']=IPAddress, ['Cloud App']=ResourceDisplayName
| order by ['Time'] desc

クライアント ログを取得して開く

問題を調査するときには、クライアント ログが必要になる場合があります。

クライアント ログを取得するには、次の操作を実行します。

  1. アクティブなセッションがないこと、およびクライアント プロセスがバックグラウンドで実行されていないことを確認します。そのためには、システム トレイの [リモート デスクトップ] アイコンを右クリックし、 [セッションをすべて切断] を選択します。
  2. エクスプローラーを開きます。
  3. %temp%\DiagOutputDir\RdClientAutoTrace フォルダーに移動します。

ログは ETL ファイル形式になっています。 tracerpt コマンドを使用することにより、これらを .CSV または .XML に変換して読みやすくすることができます。 変換するファイルの名前を見つけてメモします。

  • ETL ファイルを CSV に変換するには、PowerShell を開き、以下を実行します。$filename の値は変換するファイルの名前 (拡張子なし) に、$outputFolder の値は .CSV ファイルを作成するディレクトリに置き換えます。

    $filename = "<filename>"
$outputFolder = "C:\Temp"
cd $env:TEMP\DiagOutputDir\RdClientAutoTrace
tracerpt "$filename.etl" -o "$outputFolder\$filename.csv" -of csv

  • ETL ファイルを XML に変換するには、コマンド プロンプトまたは PowerShell を開き、以下を実行します。<filename> は変換するファイルの名前に、$outputFolder は XML ファイルを作成するディレクトリに置き換えます。

    $filename = "<filename>"
$outputFolder = "C:\Temp"
cd $env:TEMP\DiagOutputDir\RdClientAutoTrace
tracerpt "$filename.etl" -o "$outputFolder\$filename.xml"

クライアントが応答を停止したか、開くことができない

Windows 用リモート デスクトップ クライアントや Windows 用 Azure Virtual Desktop Store アプリが応答を停止した場合、または開くことができない場合は、ユーザー データのリセットが必要な場合があります。 クライアントを開くことができる場合は、[概要] メニューからユーザー データをリセットできます。クライアントを開くことができない場合は、コマンド ラインからユーザー データをリセットできます。 クライアントの既定の設定が復元され、すべてのワークスペースの登録が解除されます。

クライアントからユーザー データをリセットするには、以下を行います。

  1. デバイスでリモート デスクトップ アプリを開きます。

  2. 右上隅にある 3 つの点を選んでメニューを表示し、[バージョン情報] を選びます。

  3. [ユーザー データをリセットする] セクションで、[リセット] を選択します。 ユーザー データのリセットを確定するには、[続行] を選択します。

コマンド ラインからユーザー データをリセットするには、以下を行います。

  1. PowerShell を開きます。

  2. リモート デスクトップ クライアントがインストールされている場所にディレクトリを変更します。これは既定では C:\Program Files\Remote Desktop です。

  3. 次のコマンドを実行して、ユーザー データをリセットします。 ユーザー データをリセットすることを確認するメッセージが表示されます。

    .\msrdcw.exe /reset

    /f オプションを追加して、確認なしでユーザー データがリセットされるようにすることもできます。

    .\msrdcw.exe /reset /f

管理者がセッションを終了させている可能性がある

"管理者がセッションを終了させている可能性があります。もう一度接続してみてください。これで接続できない場合は、管理者またはテクニカル サポートに支援を求めてください。" というエラー メッセージが表示されます。このとき、ポリシー設定 [ユーザーがリモート デスクトップ サービスを使ってリモート接続することを許可する] は無効に設定されています。

グループ ポリシーと Intune のどちらでセッション ホストが管理されているかに応じて、以下の手順で、ユーザーが再度接続できるようにポリシーを構成します。

グループ ポリシーの場合:

  1. Active Directory で管理されているセッション ホストのグループ ポリシー管理コンソール (GPMC) またはローカル グループ ポリシー エディター コンソールを開き、セッション ホストを対象とするポリシーを編集します。

  2. [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ セッション ホスト]>[接続] に移動します。

  3. [ユーザーがリモート デスクトップ サービスを使ってリモート接続することを許可する] ポリシー設定を [有効] に設定します。

Intune の場合:

  1. [設定カタログ] を開きます。

  2. [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[リモート デスクトップ サービス]>[リモート デスクトップ セッション ホスト]>[接続] に移動します。

  3. [ユーザーがリモート デスクトップ サービスを使ってリモート接続することを許可する] ポリシー設定を [有効] に設定します。

認証と ID

このセクションでは、リモート デスクトップ クライアントの認証と ID の問題に対するトラブルシューティングについて説明します。

ログインに失敗しました

Windows セキュリティ資格情報のプロンプトでログオン試行が失敗したことを示すエラーが発生した場合は、次のことを確認してください。

  • セッション ホストと同じ Microsoft Entra テナントに対する Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みのデバイスを使用しています。
  • ローカル PC とセッション ホストの両方で PKU2U プロトコルが有効になっています。
  • Microsoft Entra 参加済み VM ではサポートされていないので、ユーザー アカウントでのユーザー単位の多要素認証は無効になります

使用しようとしているサインイン方法は許可されていません

使用しようとしているサインイン方法が許可されいないため、別のサインイン方法を試すか、システム管理者に連絡するように示すエラーが表示されたら、アクセスを制限する条件付きアクセス ポリシーがあることを確認してください。 「条件付きアクセスを使用して Azure Virtual Desktop に Microsoft Entra 多要素認証を適用する」の手順に従って、Microsoft Entra 参加済み VM に Microsoft Entra 多要素認証を適用します。

指定されたログオン セッションは存在しません。 既に終了している可能性があります。

認証エラーが発生しました。指定されたログオン セッションは存在しません。既に終了している可能性がありますというエラーが表示された場合は、シングル サインオンの構成時に Kerberos サーバー オブジェクトを適切に作成して構成したことを確認します。

Windows の N SKU を使用しているときの認証の問題

メディア機能パックを使用せずにローカル デバイスで Windows の N SKU を使用していることが原因で、認証の問題が発生する可能性があります。 詳細について、およびメディア機能パックをインストールする方法については、「Windows N エディションのメディア機能パックの一覧」を参照してください。

TLS 1.2 が有効になっていない場合の認証の問題

認証の問題は、ローカルの Windows デバイスで TLS 1.2 が有効になっていない場合にも発生する可能性があります。 TLS 1.2 を有効にするには、次のレジストリ値を設定する必要があります。

  • キー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

    値の名前 種類 値のデータ
    DisabledByDefault DWORD 0
    Enabled DWORD 1

  • キー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server

    値の名前 種類 値のデータ
    DisabledByDefault DWORD 0
    Enabled DWORD 1

  • キー: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

    値の名前 種類 値のデータ
    SystemDefaultTlsVersions DWORD 1
    SchUseStrongCrypto DWORD 1

これらのレジストリ値を構成するには、管理者として PowerShell を開き、以下のコマンドを実行します。

New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWORD' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWORD' -Force

New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWORD' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWORD' -Force

New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWORD' -Force
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWORD' -Force

問題がこの一覧に含まれていない

問題がここに記載されていない場合は、Azure Virtual Desktop の Azure サポート ケースを開く方法の詳細について、「Azure Virtual Desktop のトラブルシューティングの概要、フィードバック、サポート」を参照してください。