Microsoft Entra ID と Azure Roles Based Access Control を使用して、Azureで Windows 仮想マシンにサインインします

組織は、Microsoft Entra 認証と統合することで、Azureでの Windows Server virtual machinesのセキュリティを向上させることができます。 Microsoft Entra IDを主要な認証プラットフォームとして使用し、サポートされているバージョンのWindows ServerにRDPを使用してリモートデスクトップ接続できるようになりました。 その後、Azureのロールベースのアクセス コントロール (RBAC) ポリシーと条件付きアクセス ポリシーを一元的に制御および適用し、virtual machinesへのアクセスを許可または拒否することができます。

この記事では、Windows Server 仮想マシンを作成して構成し、Microsoft Entra ID ベースの認証を使用してサインインする方法について説明します。

Microsoft Entra ID ベースの認証を使用して、Azureで Windows Server virtual machinesにサインインすると、多くのセキュリティ上の利点があります。 これには次のようなものがあります。

• Windows Server virtual machinesにサインインするには、パスワードレスを含む Microsoft Entra 認証を使用します。 ローカル管理者アカウントへの依存度を下げる。
• Microsoft Entra ID用に構成するパスワードの複雑さとパスワードの有効期間ポリシーを使用すると、Windows Server virtual machinesのセキュリティ保護にも役立ちます。
• Azureのロールベースアクセス制御を使用します。
  • 通常のユーザーまたは管理者特権でサインインできるユーザーを指定します。
  • ユーザーがチームに参加または退出するときに、Azure のロールベースのアクセス制御ポリシーを更新して、必要に応じてアクセスを付与できます。
  • 従業員が組織を離れ、ユーザー アカウントが無効になったり、Microsoft Entra IDから削除されたりすると、リソースにaccessできなくなります。
• 条件付きアクセス ポリシー「フィッシング耐性　MFA」と、ユーザーサインイン リスクなどのその他のシグナルを使用します。
• Azure Policyを使用して、Windows Server virtual machinesに Microsoft Entra のサインインを要求するポリシーを展開および監査し、virtual machinesで未承認のローカル アカウントの使用にフラグを設定します。
• Intune を使用して、仮想デスクトップ インフラストラクチャ (VDI) 展開の一部である Azure Windows VM のモバイルデバイス管理 (MDM) 自動登録により、Microsoft Entra 参加を自動化し、スケーリングします。 MDM 自動登録には P1 ライセンスMicrosoft Entra ID必要があります。

MDM 自動登録には P1 ライセンスMicrosoft Entra ID必要があります。 Windows Server VM は MDM 登録をサポートしていません。

重要

この機能を有効にすると、Azure仮想マシンが Microsoft Entra に参加します。 on-premises Active Directoryや Microsoft Entra Domain Services などの別のドメインに参加することはできません。 必要であれば、拡張機能をアンインストールして、Microsoft Entra からデバイスを切断します。 さらに、サポートされているゴールデン イメージをデプロイする場合は、拡張機能をインストールしてMicrosoft Entra ID認証を有効にすることができます。 条件付きAccessは、Azure Windows virtual machines の Microsoft Entra 参加拡張機能を使用した Windows Server ではサポートされていません。

必要条件

サポートされているAzureリージョンと Windows ディストリビューション

この機能は現在、次の Windows Server ディストリビューションをサポートしています。

• Windows 11 24H2 以降がインストールされています。
• デスクトップ エクスペリエンスと共にインストールされた Windows Server 2025 以降。

この機能は、次のAzure クラウドで使用できるようになりました。

• Azure グローバル
• Azure Government
• 21Vianet が運営する Microsoft Azure

注意

CIS 強化イメージは、Microsoft Windows Enterprise および Microsoft Windows Server オファリングのMicrosoft Entra ID認証をサポートします。 詳細については、「 Microsoft Windows Enterprise の CIS セキュリティ強化イメージ」を参照してください。

ネットワークの要件

Azure で Microsoft Entra 認証を仮想マシンで有効にするには、ネットワーク構成で TCP ポート 443 経由で次のエンドポイントへの送信アクセスが許可されていることを確認する必要があります。

Azure グローバル:

• https://enterpriseregistration.windows.net: デバイスの登録。

• http://169.254.169.254：Azure インスタンス メタデータ サービス エンドポイント。

• https://login.microsoftonline.com: 認証フロー。

• https://pas.windows.net: Azure のロールベースのアクセス制御フロー。

Azure Government:

• https://enterpriseregistration.microsoftonline.us: デバイスの登録。

• http://169.254.169.254：Azure インスタンス メタデータ サービス エンドポイント。

• https://login.microsoftonline.us: 認証フロー。

• https://pasff.usgovcloudapi.net: Azure のロールベースのアクセス制御フロー。

21Vianet が運営する Microsoft Azure:

• https://enterpriseregistration.partner.microsoftonline.cn: デバイスの登録。

• http://169.254.169.254：Azure インスタンス メタデータ サービス エンドポイント。

• https://login.chinacloudapi.cn: 認証フロー。

• https://pas.chinacloudapi.cn: Azure のロールベースのアクセス制御フロー。

認証の要件

• User アカウントの種類: azure Windows 仮想マシンと同じテナントの標準の Microsoft Entra ユーザー アカウントのみがサポートされます。 ゲスト アカウント (B2B ユーザー) を認証に使用することはできません。

• 管理 ID: Microsoft Entra サインイン仮想マシン拡張機能をインストールする前に、Azure仮想マシンでシステム割り当てマネージド ID を有効にする必要があります。 マネージド ID は単一の Microsoft Entra テナントに格納され、現在、クロス ディレクトリ シナリオはサポートされていません。

• ロールの割り当て: VM にサインインするには、 仮想マシン管理者ログイン ロールまたは 仮想マシン ユーザー ログイン ロールをユーザーに割り当てる必要があります。 所有者ロールまたは共同作成者ロールだけでは、サインイン特権は付与されません。

• 仮想マシン管理者ログイン: このロールが割り当てられているユーザーは、管理者特権でAzure仮想マシンにサインインできます。

• 仮想マシン ユーザー ログイン: このロールが割り当てられているユーザーは、通常のユーザー特権でAzure仮想マシンにサインインできます。

• 認証方法:

  • パスワードレス認証 が推奨され、Microsoft Entra 資格情報を使用してサポートされます
  • パスワードベースの認証 は、適切なロールの割り当てでサポートされています
  • Windows Hello for Business は、証明書信頼モデルのみを使用してサポートされます (キー信頼モデルではありません)
  • ローカル グループにユーザーを追加して手動で作成されたローカル管理者アカウントはサポートされていません

Azure で Windows 仮想マシンの Microsoft Entra サインインを有効にする

Windows 仮想マシンに Microsoft Entra サインインを使用するには、次の手順を実行する必要があります。

1. デバイスの Microsoft Entra サインイン拡張機能を有効にします。
2. ユーザーに対する Azure ロールの割り当てを構成します。

Microsoft Entra サインイン拡張機能を有効にする

• Azure Windows を実行している仮想マシン

Microsoft Entra サインイン仮想マシン拡張機能をインストールする前に、Azure仮想マシンでシステム割り当てマネージド ID を有効にする必要があります。 マネージド ID は単一の Microsoft Entra テナントに格納され、現在、クロス ディレクトリ シナリオはサポートされていません。

次の例では、Azure仮想マシン拡張機能のAzure テンプレートを示します。

{
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    }
  },
  "resources": [
    {
      "name": "[concat(parameters('vmName'),'/AADLogin')]",
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "location": "[parameters('location')]",
      "apiVersion": "2015-06-15",
      "properties": {
        "publisher": "Microsoft.Azure.ActiveDirectory",
        "type": "AADLoginForWindows",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion": true
      }
    }
  ]
}

ロールの割り当てを構成する

ユーザー ロールを割り当てるには、Virtual Machine Data Access Administrator ロール、または Microsoft.Authorization/roleAssignments/write ロールなどの アクションを含むロールが必要です。 ただし、Virtual Machine Data Access Administrator とは異なるロールを使用する場合は、ロールの割り当てを作成するアクセス許可を減らす条件を追加することをお勧めします。

• 仮想マシン管理者ログイン: このロールが割り当てられているユーザーは、管理者特権でAzure仮想マシンにサインインできます。
• 仮想マシン ユーザー ログイン: このロールが割り当てられているユーザーは、通常のユーザー特権でAzure仮想マシンにサインインできます。

注意

ローカル管理者グループのメンバーにユーザーを追加するか、コマンドを実行してユーザーをデバイスのローカル管理者に手動で昇格 net localgroup administrators /add "AzureAD\UserUpn" サポートされていません。 サインインを承認するには、Azureでロールを使用する必要があります。

注意

所有者ロールまたは共同作成者ロールが割り当てられているAzure ユーザーは、デバイスにサインインする権限を自動的に持ちません。 その理由は、仮想マシンを制御するユーザーのグループと、仮想マシンにアクセスすることができるユーザーのグループの間で、監査された分離を提供するためです。

次のドキュメントでは、Azureのロールの割り当てにユーザー アカウントを追加する手順について説明します。

• Azure ポータルを使用して Azure ロールを割り当てる
• Azure CLI を使用して Azure のロールを割り当てる
• Azure PowerShell を使用して Azure ロールを割り当てる

Microsoft Entra 資格情報を使用して Windows VM にサインインする

RDP 経由のサインインには、以下の 2 つの方法があります。

• パスワードレス (サポートされている Microsoft Entra 資格情報のいずれかを使用) (推奨)
• 証明書信頼モデルを使用してデプロイされた Windows Hello for Business を使用したパスワード/パスワードレス

Microsoft Entra IDでパスワードレス認証を使用してサインインする

Azureの Windows Server VM にパスワードレス認証を使用するには、セッション ホスト (VM) が実行されている必要があります。

• Windows 11 では、Windows 11 用の 2022-10 累積的な更新プログラム (KB5018418) またはそれ以降のバージョンがインストールされていること。
• Windows 10 用の 2022-10 累積的な更新プログラム (KB5018410) 以降がインストールされた Windows 10 バージョン 20H2 以降。
• Microsoft サーバー オペレーティング システム用の 2022-10 累積的な更新プログラム (KB5018421) 以降がインストールされた Windows Server 2022。
• Windows Server 2025 以降がインストールされています。

注意

web アカウントを使用してリモート コンピューター オプションにサインインする場合、ローカル デバイスをドメインまたはMicrosoft Entra IDに参加させる必要はありません。

リモート コンピュータに接続するには:

• Windows Search から Remote Desktop Connection を起動するか、mstsc.exe を実行します。
• [詳細設定] タブの [Web アカウントを使用してリモート コンピューターにサインインする] オプションを選択します。このオプションは enablerdsaadauth RDP プロパティに相当します。 詳細については、リモート デスクトップ サービスでサポートされている RDP プロパティを参照してください。
• リモート コンピューターの名前を指定し、[接続] を選択します。

重要

IP アドレスは、[ Web アカウントを使用してリモート コンピューターにサインインする ] オプションでは使用できません。 名前は、Microsoft Entra ID内のリモート デバイスのホスト名と一致し、リモート デバイスの IP アドレスに解決して、ネットワーク アドレス指定可能である必要があります。

• 資格情報の入力を求められたら、ユーザー名を user@domain.com 形式で指定します。
• その後、新しい PC に接続するときに、remote desktop接続を許可するように求められます。 Microsoft Entra では、このプロンプトが再び表示されるまでの 30 日間にわたって、最大 15 個のホストが記憶されます。 このダイアログが表示された場合は、[はい] を選択して接続します。

重要

組織が Microsoft Entra Conditional Access を使用している場合、デバイスはリモート コンピューターへの接続を許可するために条件付きAccess要件を満たす必要があります。 条件付きアクセス ポリシーは、制御されたアクセスのために、アプリケーション Microsoft Remote Desktop (a4a365df-50f1-4397-bc59-1a1564b8bb9c) に適用される場合があります。

注意

リモート セッションの Windows ロック画面では、Microsoft Entra 認証トークンや、FIDO キーなどのパスワードレス認証方法はサポートされていません。 これらの認証方法がサポートされていないということは、ユーザーがリモート セッションで画面のロックを解除できないことを意味します。 ユーザー アクションまたはシステム ポリシーを使用してリモート セッションをロックしようとすると、セッションは切断され、サービスはユーザーにメッセージを送信します。 セッションを切断すると、非アクティブな期間が経過した後に接続が再開されるときに、Microsoft Entra ID が適用可能な条件付きアクセス ポリシーを再評価します。

Microsoft Entra IDでパスワード/パスワードレス認証を使用してサインインする

Password ベースの認証、Passwordless 認証の両方がWindows virtual machinesにサインインするためにサポートされています。

重要

Microsoft Entra ID に参加している VM へのリモート接続は、Microsoft Entra 登録済み (最小必要ビルドは 20H1) または Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッドが VM と 同じ ディレクトリに参加している Windows 10 以降の PC からのみ許可されます。 さらに、Microsoft Entra 資格情報を使用して RDP を実行するには、仮想マシン管理者ログインまたは仮想マシン ユーザー ログインという 2 つのAzureロールのいずれかにユーザーが属している必要があります。

Microsoft Entra 登録済み Windows 10 以降の PC を使用している場合は、 AzureAD\UPN 形式 ( AzureAD\john@contoso.com など) で資格情報を入力する必要があります。 現時点では、Azure Bastionを使用し、Microsoft Entra認証を介してAzure CLIおよびネイティブのRDPクライアントmstscを用いてサインインできます。

Microsoft Entra IDを使用して Windows Server 2019 仮想マシンにサインインするには:

1. Microsoft Entra サインインで有効になっている仮想マシンの概要ページに移動します。
2. [接続] を選び、[仮想マシンに接続する] ペインを開きます。
3. [RDP ファイルのダウンロード] を選択します。
4. Open を選択して、Remote Desktop接続クライアントを開きます。
5. [ 接続 ] を選択して、Windows サインイン ダイアログを開きます。
6. Microsoft Entra 資格情報を使用してサインインします。

これで、VM ユーザーや VM 管理者など、ロールのアクセス許可が割り当てられた Windows Server 2019 Azure仮想マシンにサインインします。

注意

Azure portalの仮想マシンの概要ページに移動して接続オプションを使用する代わりに、.RDP ファイルをコンピューターにローカルに保存して、仮想マシンへの今後のremote desktop接続を開始できます。

条件付きAccess ポリシーを適用する

ユーザーがAzureで Windows Server virtual machinesをアクセスする前に、"フィッシング耐性 MFA" や ユーザー サインイン リスク チェック などの条件付きアクセス ポリシーを適用できます。 条件付きAccess ポリシーを適用するには、クラウド アプリまたはアクションの割り当てオプションから Microsoft Azure Windows Virtual Machine サインイン アプリを選択する必要があります。

Windows Server デバイスから接続する場合、デバイス構成規則を使用してサインインを制限する条件付きAccess ポリシーはサポートされません。 条件付きaccess ポリシーの設定に関するガイドについては、「Tutorial: Microsoft Entra 多要素認証を使用してユーザー サインイン イベントをセキュリティで保護するを参照してください。

注意

コントロールとして MFA が必要な場合は、ターゲットの Windows Server 仮想マシンへの RDP セッションを開始するクライアントの一部として MFA 要求を指定する必要があります。 Remote Desktop アプリケーションは条件付きAccess ポリシーをサポートしていますが、Web サインインを使用している場合は、ビジネス PIN または生体認証にWindows Helloを使用する必要があります。 生体認証のサポートは、Windows 10 バージョン 1809 で RDP クライアントに追加されています。 Windows Hello for Business 認証を使用するRemote desktopは、証明書信頼モデルを使用するデプロイでのみ使用でき、キー信頼モデルでは使用できません。

Azure Policyを使用して標準を満たし、コンプライアンスを評価する

Azure Policyを使用して次の手順を実行します。

• 新規および既存の Windows Server virtual machinesに対して Microsoft Entra サインインが有効になっていることを確認します。
• コンプライアンス ダッシュボードで環境のコンプライアンスを大規模に評価する。

この機能により、さまざまなレベルの適用を使用できます。 Microsoft Entra サインインが有効になっていない環境内の新規および既存の Windows Server virtual machinesにフラグを設定できます。 Azure Policyを使用して、Microsoft Entra 拡張機能を Azure のWindows virtual machinesに展開することもできます。

これらの機能に加えて、Azure Policyを使用して、デバイスで未承認のローカル アカウントが作成された Windows マシンを検出してフラグを設定できます。 詳細については、Azure Policyを確認してください。

デプロイの問題に関するトラブルシューティング

デバイスが Microsoft Entra 参加プロセスを完了するには、AADLoginForWindows 拡張機能が正常にインストールされている必要があります。 拡張機能が正しくインストールされない場合は、次の手順を実行します。

1. デバイスに接続し、C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1 の下にある CommandExecution.log ファイルを調べます。

   最初の失敗後に拡張機能を再起動すると、デプロイ エラーを含むログが、CommandExecution_YYYYMMDDHHMMSSSSS.log として保存されます。

2. デバイスで PowerShell ウィンドウを開きます。 ホスト上で実行されている Azure インスタンス メタデータ サービス エンドポイントに対する次のクエリで、期待される出力が返されることを確認します。

   Azure virtual machinesの場合:

   実行するコマンド	想定される出力
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01"	Azure仮想マシンに関する正しい情報
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01"	Azure サブスクリプションに関連付けられている有効なテナント ID
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"	この仮想マシンに割り当てられたマネージド ID に対して、Microsoft Entra ID によって発行された有効なアクセス トークン

3. PowerShell を使用して、必要なエンドポイントにデバイスからアクセスできることを確認します。

   • curl.exe https://login.microsoftonline.com/ -D -
   • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
   • curl.exe https://enterpriseregistration.windows.net/ -D -
   • curl.exe https://device.login.microsoftonline.com/ -D -
   • curl.exe https://pas.windows.net/ -D -

   <TenantID> を、Azure サブスクリプションに関連付けられている Microsoft Entra テナント ID に置き換えます。 login.microsoftonline.com/<TenantID>、enterpriseregistration.windows.net、および pas.windows.net は、予期される動作である 404 Not Found を返す必要があります。

4. dsregcmd /status を実行してデバイスの状態を表示します。 目標は、デバイスの状態で AzureAdJoined : YES と表示されることです。

   Microsoft Entra の参加操作は、Event Viewer の User Device Registration\Admin ログ、Event Viewer (local)\Applications および Services Logs\Microsoft\Windows\User Device Registration\Admin でキャプチャされます。

AADLoginForWindows 拡張機能がエラー コードで失敗した場合、次の手順を行うことができます。

デバイス名は既に存在します

Azure仮想マシンのホスト名と同じ displayName を持つデバイス オブジェクトが存在する場合、デバイスはホスト名の重複エラーで Microsoft Entra に参加できません。 ホスト名を変更して重複を回避します。

ターミナル エラー コード 1007 と終了コード -2145648574

ターミナル エラー コード 1007 と終了コード -2145648574 は DSREG_E_MSI_TENANTID_UNAVAILABLE に変換されます。 この拡張機能は、Microsoft Entra テナント情報に対してクエリを実行できません。

ローカル管理者としてデバイスに接続し、エンドポイントがAzureインスタンス メタデータ サービスから有効なテナント IDを返すことを確認します。 デバイスの管理者特権の PowerShell ウィンドウから次のコマンドを実行します。

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

この問題は、管理者が AADLoginForWindows 拡張機能のインストールを試みたが、デバイスにシステム割り当てマネージド ID がない場合にも発生する可能性があります。 その場合は、デバイスの [ID ] ウィンドウに移動します。 [システム割り当て済み] タブで、[状態] トグルが [オン] に設定されていることを確認します。

終了コード -2145648607

終了コード -2145648607 は DSREG_AUTOJOIN_DISC_FAILED に変換されます。 拡張機能が https://enterpriseregistration.windows.net エンドポイントに到達できません。

1. PowerShell を使用して、必要なエンドポイントにデバイスからアクセス可能であることを確認します。

   • curl https://login.microsoftonline.com/ -D -
   • curl https://login.microsoftonline.com/<TenantID>/ -D -
   • curl https://enterpriseregistration.windows.net/ -D -
   • curl https://device.login.microsoftonline.com/ -D -
   • curl https://pas.windows.net/ -D -

   <TenantID> を、Azure サブスクリプションの Microsoft Entra テナント ID に置き換えます。 テナント ID を見つける必要がある場合は、アカウント名にカーソルを合わせるか、Entra ID>Overview>Properties>Tenant ID を選択します。

   enterpriseregistration.windows.net に接続しようとすると、予期される動作である 404 Not Found が返される場合があります。 pas.windows.net への接続を試みると、PIN 資格情報の入力が求められる場合や、404 Not Found が返される場合があります。 (PIN を入力する必要はありません)。URL に到達可能であることを確認するには、いずれか 1 つで十分です。

2. いずれかのコマンドが "ホスト <URL>を解決できませんでした" で失敗した場合は、次のコマンドを実行して、Windows が使用している DNS サーバーを特定してみてください。

   nslookup <URL>

   <URL> を、エンドポイントで使用される完全修飾ドメイン名 (login.microsoftonline.com など) に置き換えます。

3. パブリック DNS サーバーを指定してコマンドを正常に実行できるかどうかを確認します。

   nslookup <URL> 208.67.222.222

4. 必要に応じて、デバイスが属するネットワーク セキュリティ グループに割り当てられている DNS サーバーを変更します。

終了コード 51

終了コード 51 は、"この拡張機能は、このオペレーティング システムではサポートされていません" に変換されます。

AADLoginForWindows 拡張機能は、Windows Server 2022 または Windows 10 1809 以降の Azure 仮想マシンにのみインストールすることを目的としています。 Windows Server のバージョンがサポートされていることを確認します。 サポートされていない場合は、拡張機能をアンインストールします。

サインインに関する問題のトラブルシューティング

次の情報を使用して、サインインの問題を修正してください。

dsregcmd /status を実行すると、デバイスとシングル サインオン (SSO) の状態を表示できます。 目標は、デバイスの状態が AzureAdJoined : YES として表示され、SSO の状態が AzureAdPrt : YES と表示されることです。

Microsoft Entra アカウント経由の RDP サインインは、Applications and Services Logs\Microsoft\Windows\AAD\Operational イベント ログのEvent Viewerにキャプチャされます。

Azure ロールが割り当てられない

デバイスへのリモート デスクトップ接続を開始する際、次のエラーメッセージが表示されることがあります。「お使いのアカウントは、このデバイスの使用を防ぐように構成されています。」 詳細については、システム管理者にお問い合わせください。"

アカウントがこのデバイスを使用できないように構成されていることを示すメッセージのスクリーンショット

Azureロールベースのaccess control ポリシーを確認します。このポリシーによって、ユーザーに仮想マシン管理者ログインロールまたは仮想マシン ユーザー ログイン ロールが付与されます。

Azureロールの割り当てに問題がある場合は、「Azure ロールベースのアクセス制御のトラブルシューティング」を参照してください。

承認されていないクライアントまたはパスワードの変更が必要

デバイスへのremote desktop接続を開始すると、"資格情報が機能しませんでした" というエラー メッセージが表示されることがあります。

次の解決策をお試しください。

• リモート デスクトップ接続を開始するために使用している Windows 10 以降の PC は、同じ Microsoft Entra ディレクトリに Microsoft Entra 参加済み、または Microsoft Entra ハイブリッド参加済みである必要があります。 デバイス ID の詳細については、「デバイス ID とは」の記事を参照してください。

  Windows 10 ビルド 20H1 では、仮想マシンへの RDP 接続を開始するための Microsoft Entra 登録済み PC のサポートが追加されました。 仮想マシンへの接続を開始するために Microsoft Entra が登録されている (Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みではない) クライアント デバイスを RDP クライアントとして使用する場合は、 AzureAD\UPN 形式で資格情報を入力する必要があります (たとえば、 AzureAD\john@contoso.com)。

  Microsoft Entra への参加が完了した後に AADLoginForWindows 拡張機能がアンインストールされていないことを確認します。

  また、サーバーとクライアントの "両方" で、セキュリティ ポリシー ネットワーク セキュリティ: このコンピューターに対する PKU2U 認証要求でオンライン ID を使用することを許可する が有効になっていることを確認します。

• ユーザーが使用しているパスワードが一時パスワードではないことを確認してください。 一時パスワードを使用してremote desktop接続にサインインすることはできません。

  Web ブラウザーでユーザー アカウントを使用してサインインします。 たとえば、プライベートブラウズ ウィンドウで Azure portal にサインインします。 パスワードの変更を求めるメッセージが表示されたら、新しいパスワードを設定します。 その後、接続を再試行してください。

AADSTS293004: 要求 xxx のターゲット デバイス識別子がテナント xxx に見つかりませんでした

原因:

mstsc に入力されたコンピューター名が、ターゲット AADJ デバイスの "hostnames" 属性と一致しません。 たとえば、AADJ デバイスのホスト名は device_1 のような短い名前ですが、mstsc に入力されたコンピューター名は、device_1.contoso.comのような FQDN です。

次の解決策をお試しください。

この問題を解決するには、複数の方法があります。

1. クライアント コンピューターの HOSTS エントリを変更し、ターゲット マシンの IP に正しいデバイス名 (AAD デバイス レコードから確認) をポイントする DNS レコードを追加します。 mstsc でそのデバイス名を使用します。
2. ターゲット マシンが管理されているかどうかを確認し、ホスト名が DNS クライアント PrimaryDnsSuffix 値 ADMX_DnsClient Policy CSP を介してGroup Policyまたは MDM によって設定されているかどうかを確認します。 |Microsoft Learn。 これが設定されていて正しくない場合は、削除するか、正しく設定する必要があります。
3. お客様が FQDN を使用して接続する必要があるが、AAD デバイス名が短い名前の場合は、ローカル管理者を介してターゲット コンピューターにログインし、ドメイン サフィックスに "プライマリ DNS サフィックス" を追加します。 詳細な手順:

• [システムの詳細設定]/[システムのプロパティ] ->** [コンピューター名] タブに移動>、[変更] ボタンを選択してコンピューターの名前を変更>[詳細]を選択します。既存のコンピューター名 -> ドメイン名を入力し、[OK] -> [保存して再起動] を選択します。
• 完了したら、FQDN を直接使用して RDP を実行でき、HOSTS エントリを変更する必要はありません。

注意

このような場合、プライマリ DNS サフィックスが追加されると、Device-Sync スケジュールされたタスクは、FQDN を AAD デバイスの "ホスト名" 属性に追加するときにトリガーされます。 これが問題を解決する理由です。

MFA サインイン方法が必要

デバイスへのremote desktop接続を開始すると、次のエラー メッセージが表示されることがあります。"使用しようとしているサインイン方法は許可されていません。 別のサインイン方法を試すか、システム管理者に問い合わせてください。"

MFA を必要とする条件付きAccess ポリシーを構成する場合は、接続を開始するデバイスがWindows Helloなどの強力な認証を使用していることを確認する必要があります。

もう 1 つの MFA 関連のエラー メッセージは、前述の「資格情報が機能しませんでした」です。

従来のユーザーごとの 有効/強制 Microsoft Entra 多要素認証 設定を構成し、エラーが表示された場合は、ユーザーごとの MFA 設定を削除することで問題を解決できます。 詳細については、「ユーザーごとのMicrosoft Entra 多要素認証イベントを有効にしてサインイン イベントをセキュリティで保護する」に関する記事を参照してください。

Windows Hello for Business がオプションでない場合は、Microsoft Azure Windows 仮想マシン サインイン アプリを除外する条件付きAccess ポリシーを構成します。 Windows Hello for Business の詳細については、「Windows Hello for Business の概要を参照してください。

RDP を使用した生体認証のサポートは、Windows 10 バージョン 1809 で追加されました。 証明書信頼モデルまたはキー信頼モデルを使用するデプロイでは、RDP 中に Windows Hello for Business 認証を使用できます。

この機能に関するフィードバックを共有するか、Microsoft Entra フィードバック フォーラムで問題を報告してください。

アプリケーションが見つかりません

Microsoft Azure Windows 仮想マシンサインイン アプリケーションが条件付きAccessに存在しない場合は、アプリケーションがテナントにあることを確認します。

1. Microsoft Entra 管理センターに少なくとも Cloud アプリケーション管理者としてサインインします。
2. Entra ID>エンタープライズアプリケーションに移動します。
3. フィルターを削除してすべてのアプリケーションを表示し、VM を検索します。 結果として Microsoft Azure Windows 仮想マシンのサインインが表示されない場合、サービス プリンシパルがテナントにありません。

それを確認するもう 1 つの方法は、Graph PowerShell を使用することです。

1. Graph PowerShell SDK をインストールします。
2. Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All"を実行し、その後に"Application.ReadWrite.All"を実行します。
3. Global Administrator アカウントでサインインします。
4. アクセス許可プロンプトに同意します。
5. Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"' を実行します。

   • このコマンドで出力が行われず、PowerShell プロンプトに戻る場合は、次の Graph PowerShell コマンドを使用してサービス プリンシパルを作成できます。

     New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201

   • 正常な出力は、Microsoft Azure Windows 仮想マシン サインイン アプリとその ID が作成されたことを示しています。

6. Disconnect-MgGraph コマンドを使用して Graph PowerShell からサインアウトします。

一部のテナントでは、Microsoft Azure Windows 仮想マシン サインインの代わりに、Azure Windows VM サインインという名前のアプリケーションが表示される場合があります。 アプリケーションのアプリケーション ID は 372140e0-b3b7-4226-8ef9-d57986796201 と同じです。

Azure Windows VM のサインイン リソースに準拠したデバイスの条件付きアクセス ポリシーが適用されている場合、Windows Server デバイスからの接続ではこの機能は使用できません。

条件付きAccess ポリシーの Windows Server デバイス コンプライアンス構成はサポートされていません。

次のステップ

Microsoft Entra IDの詳細については、「Microsoft Entra IDとは?を参照してください。