フィッシングに強いパスワードレスを展開する組織では、通常、一部のペルソナがリモート デスクトップ テクノロジを使用して生産性、セキュリティ、管理を容易にする必要があります。 2 つの基本的なユース ケースは次のとおりです。
- フィッシング詐欺に強いパスワードレス資格情報を使用して、ローカル クライアントからリモート コンピューターへのリモート デスクトップ接続セッションを初期化して認証する
- 確立されたリモート デスクトップ接続セッション内でのフィッシングに対する耐性のあるパスワードレス資格情報の利用
ユース ケースごとに特定の考慮事項を確認します。
リモート デスクトップ接続コンポーネント
Windows リモート デスクトップ プロトコルには、3 つの主要なコンポーネントが含まれています。これらのすべてのコンポーネントは、これらの資格情報を使用してリモート デスクトップ接続セッションを開始するために、フィッシングに強いパスワードレス資格情報を適切にサポートする必要があります。 これらのコンポーネントのいずれかが適切に機能しない場合、または特定のパスワードレス資格情報のサポートがない場合、概要が示されている 1 つまたは両方のシナリオは機能しません。 このガイドでは、パスキー/FIDO2 のサポートと Cert-Based 認証 (CBA) のサポートについて説明します。
次のセクションを順を追って、使用している 3 つのコンポーネントすべてに対して、フィッシングに対する耐性のあるパスワードレスのサポートが必要かどうかを判断します。 評価が必要なシナリオが複数ある場合は、このプロセスを繰り返します。
クライアント プラットフォーム
リモート デスクトップ セッションのインスタンス化に使用されるローカル クライアントには、いくつかの一般的に使用されるオペレーティング システムがあります。 一般的に使用されるオプションは次のとおりです。
- Windows 10 以降
- Windows Server
- macOS
- iOS
- アンドロイド
- Linux
フィッシングに強いパスワードレスおよびリモート デスクトップ接続のサポートは、パスキー プロトコル (特に クライアントから認証プロトコル (CTAP) と WebAuthn) をサポートしているクライアント プラットフォームによって異なります。 CTAP は、モバイル デバイス上の FIDO2 セキュリティ キーやパスキーなどのローミング認証子とクライアント プラットフォームの間の通信層です。 ほとんどのクライアント プラットフォームではこれらのプロトコルがサポートされていますが、サポートされていない特定のプラットフォームがあります。 特殊な OS を実行している専用シン クライアント デバイスなど、場合によっては、ベンダーに連絡してサポートを確認する必要があります。
Microsoft Entra 証明書ベースの認証 (CBA) では、ユーザーが認証に公開キー 基盤 (PKI) からの証明書を利用できるように、Microsoft Entra ID の構成が必要です。 この記事では、オンプレミスの証明書ベースの認証の実装については説明しません。
| クライアント プラットフォーム | FIDO サポート | Microsoft Entra CBA | 注記 |
|---|---|---|---|
| Windows 10 以降 | イエス | イエス | |
| Windows Server | 部分的 | イエス | Windows Server は、クライアント コンピューティング デバイスには推奨されません。 Windows Server ジャンプ サーバーは、FIDO ベースのフィッシング対策パスワードレスを妨げる可能性があります。 ジャンプ サーバーを使用する場合は、FIDO ではなく CBA をお勧めします |
| macOS | イエス | イエス | すべての Apple Web フレームワークが FIDO をサポートしているわけではありません |
| iOS | イエス | イエス | すべての Apple Web フレームワークが FIDO をサポートしているわけではありません |
| アンドロイド | イエス | イエス | |
| Linux | 恐らく | イエス | Linux ディストリビューション ベンダーで FIDO サポートを確認する |
ターゲット プラットフォーム
ターゲット プラットフォームは、リモート デスクトップ接続セッション自体を確立するために、フィッシングに強いパスワードレス認証がサポートされているかどうかを判断するために重要です。
| ターゲット プラットフォーム | リモート デスクトップ接続セッション初期化 FIDO のサポート | リモート デスクトップ接続セッションの初期化 Microsoft Entra CBA |
|---|---|---|
| Windows 10+ Microsoft Entra 統合済み | イエス | イエス |
| Windows Server は Microsoft Entra に参加済みです。 | はい1 | イエス |
| Windows 10+ Microsoft Entra ハイブリッド接続済み | イエス | イエス |
| Windows Server Microsoft Entra ハイブリッド参加済み | はい1 | イエス |
| Windows 10+ Microsoft Entra 登録済み | いいえ | いいえ |
| Windows 10 以降のオンプレミス ドメインのみ参加済み | いいえ | いいえ |
| Windows Server オンプレミス ドメインのみ参加済み | いいえ | いいえ |
| Windows 10+ ワークグループ | いいえ | いいえ |
| Azure Arc によって管理されるスタンドアロン/ワークグループ Windows Server2 | イエス | イエス |
1. Windows Server 2022 以降を実行している Microsoft Entra 参加済みサーバーまたはハイブリッド参加済みサーバーにのみ適用されます
2. Windows Server 2025 以降を実行している Microsoft Entra 参加済みサーバーにのみ適用されます
リモート デスクトップ接続クライアント
リモート デスクトップ接続セッションでフィッシングに対する耐性のある認証をサポートするには、フィッシングに対する認証だけでは、クライアント プラットフォームのサポートは不十分です。 使用するリモート デスクトップ接続クライアントは、これらの資格情報が正常に動作するために必要なコンポーネントもサポートする必要があります。 一般的に使用されるリモート デスクトップ接続クライアントの多くと、サポートされているさまざまなオプションを確認します。
| リモート デスクトップ接続クライアント | リモート デスクトップ接続セッション初期化 FIDO のサポート | リモート デスクトップ接続セッションの初期化 Microsoft Entra CBA |
|---|---|---|
| Windows クライアント用の MSTSC.exe | イエス | イエス |
| Windows Server 2022以降に対応するMSTSC.exe | イエス | イエス |
| MSTSC.exeはWindows Server 2019以前用 | いいえ | いいえ |
| Windows アプリ Windows用 | イエス | イエス |
| macOS 用 Windows アプリ | イエス | イエス |
| iOS 用 Windows アプリ | イエス | イエス |
| Android 用 Windows アプリ | イエス | イエス |
| Windows 365 Web アプリ | いいえ | いいえ |
| サード パーティのリモート デスクトップ接続クライアント | 恐らく | 恐らく |
重要
クライアントデバイスとターゲット デバイスは、Microsoft Entra 参加済み、Microsoft Entra ハイブリッド参加済み、または Microsoft Entra が同じテナントに登録されている必要があります。 テナント間認証は機能しません。異なるテナントに参加している場合、クライアント デバイスはターゲット デバイスに対して認証を行うことができません。
シナリオのサポートを評価する
このドキュメントで説明されている 3 つのコンポーネントのいずれかがシナリオをサポートしていない場合、シナリオは機能しません。 評価するには、リモート デスクトップ接続セッション認証とセッション内資格情報の使用に関する各コンポーネントを検討します。 環境内のすべてのシナリオに対してこのプロセスを繰り返して、動作が期待されるシナリオと動作しないシナリオを理解します。
例 1
たとえば、シナリオが "Information Worker が Windows デバイスを使用して Azure Virtual Desktop にアクセスする必要があり、Microsoft Authenticator パスキーを使用してリモート デスクトップ接続セッションを認証し、Microsoft Edge ブラウザーのリモート デスクトップ接続セッション内でパスキーを使用する必要がある" かどうかを評価する方法を次に示します。
| シナリオ | クライアント プラットフォーム | ターゲット プラットフォーム | リモート デスクトップ接続クライアント | サポートされていますか? |
|---|---|---|---|---|
| Auth App Passkey を使用したリモート デスクトップ接続セッションの初期化 | Windows 11 Microsoft Entra 参加/ハイブリッド参加/スタンドアロン | Azure Virtual Desktop が Microsoft Entra に参加しました | Windows アプリ | はい + はい + はい = はい |
| Auth App Passkey を使用したリモート デスクトップ接続 In-Session 認証 | Windows 11 Microsoft Entra 参加/ハイブリッド参加/スタンドアロン | Azure Virtual Desktop が Microsoft Entra に参加しました | Windows アプリ | はい + はい + はい = はい |
この例では、リモート デスクトップ接続セッション自体とセッション内アプリの両方で、ユーザーのパスキーを利用できます。 フィッシングに強いパスワードレスは、広く機能する必要があります。
例 2
シナリオが "Information Worker が自分の macOS デバイスを使用して Azure Virtual Desktop にアクセスする必要があり、Microsoft Authenticator パスキーを使用してリモート デスクトップ接続セッションを認証し、リモート デスクトップ接続セッション内でパスキーを使用する必要がある" かどうかを評価する方法を次に示します。
| シナリオ | クライアント プラットフォーム | ターゲット プラットフォーム | リモート デスクトップ接続クライアント | サポートされていますか? |
|---|---|---|---|---|
| Auth App Passkey を使用したリモート デスクトップ接続セッションの初期化 | macOS 15 | Azure Virtual Desktop が Microsoft Entra に参加しました | Windows アプリ | はい + はい + はい = はい |
| Auth App Passkey を使用したリモート デスクトップ接続 In-Session 認証 | macOS 15 | Azure Virtual Desktop が Microsoft Entra に参加しました | Windows アプリ | はい + はい + いいえ = いいえ |
この例では、ユーザーはパスキーを使用してリモート デスクトップ接続セッションを確立できますが、macOS 上の Windows アプリではこの機能がまだサポートされていないため、リモート デスクトップ接続セッション内では使用できません。 リモート デスクトップ接続クライアントでパスキーのサポートが向上するのを待つか、CBA を使用した証明書などの別の資格情報に切り替えることができます。
例 3
シナリオが "管理者が Windows デバイスを使用してオンプレミスの Windows Server にアクセスする必要があり、証明書を使用してリモート デスクトップ接続セッションを認証し、リモート デスクトップ接続セッション内で証明書を使用する必要がある" かどうかを評価する方法を次に示します。
| シナリオ | クライアント プラットフォーム | ターゲット プラットフォーム | リモート デスクトップ接続クライアント | サポートされていますか? |
|---|---|---|---|---|
| 証明書を使用したリモート デスクトップ接続セッションの初期化 | Windows 11 | Domain-Joined の Windows Server | MSTSC.exe | はい + はい + はい = はい |
| 証明書を使用したリモート デスクトップ接続 In-Session 認証 | Windows 11 | Domain-Joined の Windows Server | MSTSC.exe | はい + はい + はい = はい |
この例では、ユーザーは証明書を使用してリモート デスクトップ接続セッションを確立し、リモート デスクトップ接続セッション内で証明書を使用することもできます。 ただし、ドメインに参加している Windows サーバーではパスキーを使用してリモート デスクトップ接続セッションまたはセッション内を設定できないため、このシナリオはパスキーでは機能しません。
例 4
シナリオが "Microsoft Entra ハイブリッドに参加していないオンプレミスのドメイン参加済み Windows Virtual Desktop Infrastructure (VDI) クライアントにアクセスするために、Linux ベースのシン クライアントを使用する必要があり、FIDO2 セキュリティ キーを使用してリモート デスクトップ接続セッションを認証し、リモート デスクトップ接続セッション内で FIDO2 セキュリティ キーを使用する必要がある"かどうかを評価する方法を次に示します。
| シナリオ | クライアント プラットフォーム | ターゲット プラットフォーム | リモート デスクトップ接続クライアント | サポートされていますか? |
|---|---|---|---|---|
| FIDO2 セキュリティ キーを使用したリモート デスクトップ接続セッションの初期化 | Linux Embedded Distro | Windows 11 の Domain-Joined | ベンダー提供のクライアント | Maybe+No+No = No |
| FIDO2 セキュリティ キーを使用したリモート デスクトップ接続 In-Session 認証 | Linux Embedded Distro | Windows 11 の Domain-Joined | ベンダー提供のクライアント | Maybe+Yes+Maybe = Maybe |
この例では、ユーザーがリモート デスクトップ接続に FIDO2 セキュリティ キーをまったく使用できない可能性があります。これは、シン クライアント OS とリモート デスクトップ接続クライアントが必要なすべてのシナリオで FIDO2/passkeys をサポートしていないためです。 シン クライアント ベンダーと協力して、サポートのロードマップを理解してください。 さらに、パスキーをより適切にサポートできるように、Microsoft Entra ハイブリッド参加または Microsoft Entra をターゲット プラットフォームの仮想マシンに参加させることを計画します。