Microsoft Entra ID と Azure ロールベースのアクセス制御を使用して、Azure または Arc 対応 Windows Server の Windows 仮想マシンにサインインします

組織は、Microsoft Entra 認証と統合することで、Azure または Azure Arc を使用して接続されている Windows デバイスのセキュリティを強化できます。 Microsoft Entra ID を、サポートされているバージョンの Windows へのリモート デスクトップ プロトコル (RDP) のコア認証プラットフォームとして使用できるようになりました。 その後、デバイスへのアクセスを許可または拒否する Azure ロールベースのアクセス制御 (RBAC) ポリシーと条件付きアクセス ポリシーを一元的に制御および適用できます。

この記事では、Windows マシンを作成して構成し、Microsoft Entra ID ベースの認証を使用してサインインする方法について説明します。

Microsoft Entra ID ベースの認証を使用して Azure の Windows デバイスにサインインしたり、Azure Arc を使用して接続したりすると、多くのセキュリティ上の利点があります。次のものが含まれます。

• Windows デバイスにサインインするには、パスワードレスを含む Microsoft Entra 認証を使用します。 ローカル管理者アカウントへの依存度を下げる。
• Microsoft Entra ID 用に構成するパスワードの複雑さとパスワードの有効期間ポリシーを使用すると、Windows デバイスのセキュリティ保護にも役立ちます。
• Azure ロールベースのアクセス制御を使用する:
  • 通常のユーザーまたは管理者特権でサインインできるユーザーを指定します。
  • ユーザーがチームに参加または退出するときに、Azure ロールベースのアクセス制御ポリシーを更新して、必要に応じてアクセス権を付与できます。
  • 従業員が退職し、そのユーザー アカウントが無効化または Microsoft Entra ID から削除されると、リソースにアクセスできなくなります。
• 条件付きアクセス ポリシー "フィッシングに強い MFA" や、ユーザーのサインイン リスクなどのその他のシグナルを使用します。
• Azure Policy を使用してポリシーをデプロイおよび監査し、Windows デバイスに Microsoft Entra のサインインを要求し、デバイスで未承認のローカル アカウントの使用にフラグを設定します。
• Intune を使用して、仮想デスクトップ インフラストラクチャ (VDI) デプロイの構成要素になっている Azure Windows VM のモバイル デバイス管理 (MDM) 自動登録について Microsoft Entra 参加の自動化とスケーリングを行います。 MDM 自動登録には、Microsoft Entra ID P1 ライセンスが必要です。 Windows Server VM は MDM 登録をサポートしていません。

MDM 自動登録には、Microsoft Entra ID P1 ライセンスが必要です。 Windows Server VM は MDM 登録をサポートしていません。

重要

この機能を有効にすると、Azure 仮想マシン/Arc 対応マシンが Microsoft Entra に参加します。 オンプレミスの Active Directory や Microsoft Entra Domain Services などの別のドメインに参加することはできません。 これを行う必要がある場合は、拡張機能をアンインストールして、デバイスを Microsoft Entra から切断します。 さらに、サポートされているゴールデン イメージを展開する場合は、拡張機能をインストールして Microsoft Entra ID 認証を有効にすることができます。

必要条件

サポートされる Azure リージョンと Windows ディストリビューション

この機能では現在、次の Windows ディストリビューションがサポートされています。

• Windows 11 21H2 以降がインストールされています。
• Windows 10 バージョン 1809 以降がインストールされています。
• デスクトップ エクスペリエンスと共にインストールされている Windows Server 1809 以降。

• Windows 11 24H2 以降がインストールされています。
• デスクトップ エクスペリエンスと共にインストールされた Windows Server 2025 以降。

この機能は、次の Azure クラウドで使用できるようになりました。

• Azure Global
• Azure Government
• 21Vianet が運用する Microsoft Azure

注意

CIS で強化されたイメージは、Microsoft Windows Enterprise および Microsoft Windows Server オファリングの Microsoft Entra ID 認証をサポートします。 詳細については、「 Microsoft Windows Enterprise の CIS セキュリティ強化イメージ」を参照してください。

ネットワークの要件

Azure または Arc 対応 Windows Server の仮想マシンに対して Microsoft Entra 認証を有効にするには、ネットワーク構成で TCP ポート 443 経由で次のエンドポイントへの送信アクセスが許可されていることを確認する必要があります。

Azure グローバル:

• https://enterpriseregistration.windows.net: デバイスの登録。

• http://169.254.169.254: Azure Instance Metadata Service エンドポイント。

• http://localhost:40342: Arc Instance Metadata Service エンドポイント。

• https://login.microsoftonline.com: 認証フロー。
• https://pas.windows.net: Azure ロールベースのアクセス制御フロー。

Azure Government:

• https://enterpriseregistration.microsoftonline.us: デバイスの登録。

• http://169.254.169.254: Azure Instance Metadata Service エンドポイント。

• http://localhost:40342: Arc Instance Metadata Service エンドポイント。

• https://login.microsoftonline.us: 認証フロー。
• https://pasff.usgovcloudapi.net: Azure ロールベースのアクセス制御フロー。

21Vianet によって運営される Microsoft Azure:

• https://enterpriseregistration.partner.microsoftonline.cn: デバイスの登録。

• http://169.254.169.254: Azure Instance Metadata Service エンドポイント。

• http://localhost:40342: Arc Instance Metadata Service エンドポイント。

• https://login.chinacloudapi.cn: 認証フロー。
• https://pas.chinacloudapi.cn: Azure ロールベースのアクセス制御フロー。

Azure Arc 対応 Windows サーバーの場合は、 Arc に接続されたサーバーのドキュメントで、より多くのネットワーク要件が提供されています。

認証の要件

Microsoft Entra ゲスト アカウント は、Microsoft Entra 認証を使用して、Azure VM、Azure Bastion 対応 VM、または Arc 対応 Windows サーバーに接続できません。

Azure または Arc 対応 Windows Server で Windows 仮想マシンに対して Microsoft Entra サインインを有効にする

Azure または Arc 対応 Windows Server の Windows 仮想マシンに Microsoft Entra サインインを使用するには、次の手順を実行する必要があります。

1. デバイスの Microsoft Entra サインイン拡張機能を有効にします。
2. ユーザーの Azure ロールの割り当てを構成します。

Microsoft Entra サインイン拡張機能を有効にする

詳細な展開方法とサンプルについては、デバイスの適切なリンクに従ってください。

• Windows を実行している Azure 仮想マシン
• Arc 対応 Windows Server

Microsoft Entra サインイン仮想マシン拡張機能をインストールする前に、Azure 仮想マシンまたは Arc 対応 Windows Server でシステム割り当てマネージド ID を有効にする必要があります。 マネージド ID は単一の Microsoft Entra テナントに格納され、現在、クロス ディレクトリ シナリオはサポートされていません。

次のサンプルは、Arc 対応 Windows Server 用の Azure 仮想マシン拡張機能と拡張機能用の Azure テンプレートを示しています。

{
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    }
  },
  "resources": [
    {
      "name": "[concat(parameters('vmName'),'/AADLogin')]",
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "location": "[parameters('location')]",
      "apiVersion": "2015-06-15",
      "properties": {
        "publisher": "Microsoft.Azure.ActiveDirectory",
        "type": "AADLoginForWindows",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion": true
      }
    }
  ]
}

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    }
  },
  "resources": [
    {
      "name": "[concat(parameters('vmName'),'/AADLogin')]",
      "type": "Microsoft.HybridCompute/machines/extensions",
      "location": "[parameters('location')]",
      "apiVersion": "2024-07-10",
      "properties": {
        "publisher": "Microsoft.Azure.ActiveDirectory",
        "type": "AADLoginForWindows",
        "typeHandlerVersion": "2.1.0.0",
        "autoUpgradeMinorVersion": true,
        "settings": {
            "mdmId": ""
        }
      }
    }
  ]
}

注意

Arc 対応 Windows Server の Microsoft Entra サインイン拡張機能には、mdmId内に入れ子になった settings プロパティが必要です。 プロパティの値は空の文字列として残すことができます。

拡張機能がデバイスにインストールされると、 provisioningState に Succeededが表示されます。

ロールの割り当てを構成する

ユーザーが Azure 仮想マシンまたは Arc に接続された Windows Server へのサインインを許可される前に、Microsoft Entra のユーザー アカウントを Azure のロールの割り当てに追加する必要があります。 Azure 仮想マシンと Arc 対応 Windows Server の両方に同じロールが使用されます。

ユーザー ロールを割り当てるには、仮想マシン データ アクセス管理者ロール、またはロール ベースのアクセスMicrosoft.Authorization/roleAssignments/write管理者ロールなどのアクションを含むロールが必要です。 ただし、仮想マシン データ アクセス管理者以外のロールを使用している場合、ロールの割り当てを作成するアクセス許可を減らす条件を追加することをお勧めします。

• 仮想マシンの管理者ログイン: このロールを割り当てられたユーザーは、管理者特権を持つユーザーとして Azure 仮想マシンにサインインできます。
• 仮想マシンのユーザー ログイン: このロールが割り当てられたユーザーは、正規ユーザーの特権を持つユーザーとして Azure 仮想マシンにサインインできます。

注意

ローカル管理者グループのメンバーにユーザーを追加するか、コマンドを実行してユーザーをデバイスのローカル管理者に手動で昇格 net localgroup administrators /add "AzureAD\UserUpn" サポートされていません。 サインインを承認するには、Azure のロールを使用する必要があります。

注意

所有者または共同作成者ロールが割り当てられている Azure ユーザーには、デバイスにサインインする権限が自動的に付与されません。 その理由は、仮想マシンを管理するユーザーと仮想マシンにアクセスできるユーザーを監査上分離するためです。

次のドキュメントでは、Azure のロールの割り当てにユーザー アカウントを追加する手順について詳しく説明します。

• Azure portal を使用して Azure ロールを割り当てる
• Azure CLI を使用して Azure ロールを割り当てる
• Azure PowerShell を使用して Azure ロールを割り当てる

Microsoft Entra 資格情報を使用して Windows VM にサインインする

RDP 経由のサインインには、以下の 2 つの方法があります。

• パスワードレス (サポートされている Microsoft Entra 資格情報のいずれかを使用) (推奨)
• パスワード/制限付きパスワードレス (証明書信頼モデルを使用してデプロイされた Windows Hello for Business を使用)

Microsoft Entra ID でパスワードレス認証を使用してサインインする

Azure の Windows VM にパスワードレス認証を使用するには、次のオペレーティング システム上に Windows クライアント マシンとセッション ホスト (VM) が必要です。

• Windows 11 では、Windows 11 用の 2022-10 累積的な更新プログラム (KB5018418) またはそれ以降のバージョンがインストールされていること。
• Windows 10 用の 2022-10 累積的な更新プログラム (KB5018410) 以降がインストールされた Windows 10 バージョン 20H2 以降。
• Microsoft サーバー オペレーティング システム用の 2022-10 累積的な更新プログラム (KB5018421) 以降がインストールされた Windows Server 2022。

注意

[リモート コンピューターにサインインするための Web アカウント] オプションを使っているときは、ローカル デバイスをドメインまたは Microsoft Entra ID に参加させる必要はありません。

リモート コンピュータに接続するには:

• Windows Search から、または を実行して、リモート デスクトップ接続mstsc.exeを起動します。
• [詳細設定] タブの [Web アカウントを使用してリモート コンピューターにサインインする] オプションを選択します。このオプションは enablerdsaadauth RDP プロパティに相当します。 詳細については、「リモート デスクトップ サービスでサポートされる RDP プロパティ」を参照してください。
• リモート コンピューターの名前を指定し、[接続] を選択します。

重要

IP アドレスは、[ Web アカウントを使用してリモート コンピューターにサインインする ] オプションでは使用できません。 この名前は、Microsoft Entra ID のリモート デバイスのホスト名と一致し、ネットワークでアドレス指定可能で、リモート デバイスの IP アドレスに解決される必要があります。

• 資格情報の入力を求められたら、ユーザー名を user@domain.com 形式で指定します。
• その後、新しい PC に接続する際に、リモート デスクトップ接続を許可するように求められます。 Microsoft Entra では、このプロンプトが再び表示されるまでの 30 日間にわたって、最大 15 個のホストが記憶されます。 このダイアログが表示された場合は、[はい] を選択して接続します。

重要

組織で Microsoft Entra 条件付きアクセスを使用している場合、リモート コンピューターへの接続を許可するには、デバイスが条件付きアクセスの要件を満たしている必要があります。 条件付きアクセス ポリシーは、アクセスを制御するためにアプリケーション Microsoft リモート デスクトップ (a4a365df-50f1-4397-bc59-1a1564b8bb9c) に適用できます。

注意

リモート セッションの Windows ロック画面では、Microsoft Entra 認証トークンや、FIDO キーなどのパスワードレス認証方法はサポートされていません。 これらの認証方法がサポートされていないということは、ユーザーがリモート セッションで画面のロックを解除できないことを意味します。 ユーザー アクションまたはシステム ポリシーを使用してリモート セッションをロックしようとすると、セッションは切断され、サービスはユーザーにメッセージを送信します。 セッションを切断すると、一定期間操作がない後に接続が再開されたときに、適用される条件付きアクセス ポリシーが Microsoft Entra ID によって確実に再評価されるようにすることができます。

Microsoft Entra ID でパスワード/制限付きパスワードレス認証を使用してサインインする

重要

Microsoft Entra 参加済みの VM にリモート接続できるのは、VM として "同じ" ディレクトリに Microsoft Entra 登録済み (最低限必要なビルドは 20H1)、Microsoft Entra 参加済み、または Microsoft Entra ハイブリッド参加済みの Windows 10 以降の PC からのみです。 さらに、Microsoft Entra 資格情報を使用して RDP 接続するには、ユーザーは 2 つの Azure ロールのいずれか (仮想マシンの管理者ログイン、または仮想マシンのユーザー ログイン) に属している必要があります。

Microsoft Entra 登録済みの Windows 10 以降の PC を使用している場合は、資格情報を AzureAD\UPN の形式で入力する必要があります (例: AzureAD\john@contoso.com)。 現時点では、Azure Bastion を使用して、Azure CLI とネイティブ RDP クライアント mstsc を使用して Microsoft Entra 認証でサインインできます。

Microsoft Entra ID を使用して Windows Server 2019 仮想マシンにサインインするには、次の操作を行います。

1. Microsoft Entra サインインで有効になっている仮想マシンの概要ページに移動します。
2. [接続] を選び、[仮想マシンに接続する] ペインを開きます。
3. [RDP ファイルのダウンロード] を選択します。
4. [開く] を選び、リモート デスクトップ接続クライアントを開きます。
5. [ 接続 ] を選択して、Windows サインイン ダイアログを開きます。
6. Microsoft Entra 資格情報を使用してサインインします。

以上で、割り当てられたロール (VM ユーザーまたは VM 管理者など) のアクセス許可を持つユーザーとして、Windows Server 2019 Azure 仮想マシンにサインインしました。

注意

azure portal の仮想マシンの概要ページに移動して接続オプションを使用する代わりに、 .RDP ファイルをコンピューターにローカルに保存して、仮想マシンへの今後のリモート デスクトップ接続を開始できます。

条件付きアクセス ポリシーを適用する

ユーザーが Azure または Arc 対応 Windows Server の Windows デバイスにアクセスする前に、条件付きアクセス ポリシー ("フィッシング耐性 MFA" やユーザー サインイン リスク チェックなど) を適用できます。 条件付きアクセス ポリシーを適用するには、クラウド アプリまたはアクションの割り当てオプションから Microsoft Azure Windows 仮想マシン サインイン アプリを選びます。

Windows Server デバイスから接続する場合、デバイス構成規則を使用してサインインを制限する条件付きアクセス ポリシーはサポートされません。

注意

コントロールとして MFA が必要な場合は、ターゲット Windows デバイスへの RDP セッションを開始するクライアントの一部として MFA 要求を指定する必要があります。 Windows のリモート デスクトップ アプリケーションは条件付きアクセス ポリシーをサポートしていますが、Web サインインを使用している場合は、Windows Hello for Business PIN または生体認証を使用する必要があります。 生体認証のサポートは、Windows 10 バージョン 1809 で RDP クライアントに追加されています。 Windows Hello for Business 認証を使用するリモート デスクトップは、証明書信頼モデルを使用する展開でのみ使用でき、キー信頼モデルでは使用できません。

Azure Policy を使用して、標準および評価コンプライアンスを満たす

Azure Policy を使用して次のことを行います。

• 新規および既存の Windows デバイスに対して Microsoft Entra サインインが有効になっていることを確認します。
• コンプライアンス ダッシュボードで環境のコンプライアンスを大規模に評価する。

この機能により、さまざまなレベルの適用を使用できます。 Microsoft Entra サインインが有効になっていない環境内の新規および既存の Windows デバイスにフラグを設定できます。 Azure Policy を使用して、Microsoft Entra 拡張機能を Azure または Arc 対応 Windows Server の Windows 仮想マシンにデプロイすることもできます。

これらの機能に加えて、Azure Policy を使用して、デバイスで未承認のローカル アカウントが作成された Windows マシンを検出してフラグを設定できます。 詳細については、Azure Policy に関するページを確認してください。

デプロイの問題に関するトラブルシューティング

デバイスが Microsoft Entra 参加プロセスを完了するには、AADLoginForWindows 拡張機能が正常にインストールされている必要があります。 拡張機能が正しくインストールされない場合は、次の手順を実行します。

1. デバイスに接続し、C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1 の下にあるCommandExecution.log ファイルを調べます。

   最初の失敗後に拡張機能を再起動すると、デプロイ エラーを含むログが、CommandExecution_YYYYMMDDHHMMSSSSS.log として保存されます。

2. デバイスで PowerShell ウィンドウを開きます。 ホスト上で実行されている Azure Instance Metadata Service エンドポイントに対する次のクエリで、期待される出力が返されることを確認します。

   Azure 仮想マシンの場合:

   実行するコマンド	想定される出力
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01"	Azure 仮想マシンに関する正しい情報
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01"	Azure サブスクリプションに関連付けられている有効なテナント ID
   curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"	この仮想マシンに割り当てられているマネージド ID に対して Microsoft Entra ID によって発行された有効なアクセス トークン

   Arc 対応 Windows サーバーの場合:

   実行するコマンド	想定される出力
   curl.exe -H Metadata:true "http://localhost:40342/metadata/instance?api-version=2017-08-01"	Azure Arc 対応 Windows Server に関する正しい情報
   curl.exe -H Metadata:true "http://localhost:40342/metadata/identity/info?api-version=2018-02-01"	Azure サブスクリプションに関連付けられている有効なテナント ID
   curl.exe -H Metadata:true "http://localhost:40342/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01"	この Azure Arc 対応 Windows Server に割り当てられているマネージド ID に対して Microsoft Entra ID によって発行された有効なアクセス トークン

   アクセス トークンは、https://jwt.ms/ などのツールを使用してデコードできます。 アクセス トークンの oid 値がデバイスのマネージド ID と一致することを確認します。

3. PowerShell を使用して、必要なエンドポイントにデバイスからアクセスできることを確認します。

   • curl.exe https://login.microsoftonline.com/ -D -
   • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
   • curl.exe https://enterpriseregistration.windows.net/ -D -
   • curl.exe https://device.login.microsoftonline.com/ -D -
   • curl.exe https://pas.windows.net/ -D -

   <TenantID>を、Azure サブスクリプションに関連付けられている Microsoft Entra テナント ID に置き換えます。 login.microsoftonline.com/<TenantID>、enterpriseregistration.windows.net、pas.windows.net から "404 見つかりません" が返されますが、これは想定されている動作です。

4. dsregcmd /status を実行してデバイスの状態を表示します。 目標は、デバイスの状態で AzureAdJoined : YES と表示されることです。

   Microsoft Entra 参加アクティビティは、Event Viewer (local)\Applications および Services Logs\Microsoft\Windows\User Device Registration\Admin の下の User Device Registration\Admin ログの下のイベント ビューアーでキャプチャされます。

AADLoginForWindows 拡張機能がエラー コードで失敗した場合、次の手順を行うことができます。

デバイス名は既に存在します

Azure 仮想マシンのホスト名と同じ displayName を持つデバイス オブジェクトが存在する場合、デバイスはホスト名の重複エラーで Microsoft Entra に参加できません。 重複を回避するためにホスト名を変更してください。

ターミナル エラー コード 1007 と終了コード -2145648574

ターミナル エラー コード 1007 と終了コード -2145648574 は DSREG_E_MSI_TENANTID_UNAVAILABLE に変換されます。 この拡張機能は、Microsoft Entra テナント情報に対してクエリを実行できません。

ローカル管理者としてデバイスに接続し、エンドポイントが Azure Instance Metadata Service から有効なテナント ID を返していることを確認します。 デバイスの管理者特権の PowerShell ウィンドウから次のコマンドを実行します。

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

この問題は、管理者が AADLoginForWindows 拡張機能のインストールを試みたが、デバイスにシステム割り当てマネージド ID がない場合にも発生する可能性があります。 その場合は、デバイスの [ID ] ウィンドウに移動します。 [システム割り当て済み] タブで、[状態] トグルが [オン] に設定されていることを確認します。

終了コード -2145648607

終了コード -2145648607 は DSREG_AUTOJOIN_DISC_FAILED に変換されます。 拡張機能は https://enterpriseregistration.windows.net エンドポイントに到達できません。

1. PowerShell を使用して、必要なエンドポイントにデバイスからアクセス可能であることを確認します。

   • curl https://login.microsoftonline.com/ -D -
   • curl https://login.microsoftonline.com/<TenantID>/ -D -
   • curl https://enterpriseregistration.windows.net/ -D -
   • curl https://device.login.microsoftonline.com/ -D -
   • curl https://pas.windows.net/ -D -

   <TenantID>を Azure サブスクリプションの Microsoft Entra テナント ID に置き換えます。 テナント ID を見つける必要がある場合は、アカウント名にカーソルを合わせるか、Entra ID>Overview>Properties>Tenant ID を選択します。

   enterpriseregistration.windows.net に接続しようとすると、404 Not Found が返される場合があります。これは想定されている動作です。 pas.windows.net に接続しようとすると、PIN 資格情報の入力を求められたり、404 Not Found が返されたりする場合があります。 (PIN を入力する必要はありません)。URL に到達可能であることを確認するには、いずれか 1 つで十分です。

2. いずれかのコマンドが "ホスト <URL>を解決できませんでした" で失敗した場合は、次のコマンドを実行して、Windows が使用している DNS サーバーを特定してみてください。

   nslookup <URL>

   <URL> を、エンドポイントで使用される完全修飾ドメイン名 (login.microsoftonline.com など) に置き換えます。

3. パブリック DNS サーバーを指定してコマンドを正常に実行できるかどうかを確認します。

   nslookup <URL> 208.67.222.222

4. 必要に応じて、デバイスが属するネットワーク セキュリティ グループに割り当てられている DNS サーバーを変更します。

終了コード 51

終了コード 51 は、"この拡張機能は、このオペレーティング システムではサポートされていません" に変換されます。

AADLoginForWindows 拡張機能は、オペレーティング システムが Windows Server 2019 以降または Windows 10 1809 以降の Azure 仮想マシンと、Arc 対応 Windows Server 上のオペレーティング システム Windows Server 2025 または Windows 11 24H2 の Arc 対応 Windows Server にのみインストールされることを目的としています。 Windows のバージョンまたはビルドがサポートされていることを確認します。 サポートされていない場合は、拡張機能をアンインストールします。

サインインに関する問題のトラブルシューティング

次の情報を使用して、サインインの問題を修正してください。

dsregcmd /status を実行すると、デバイスとシングル サインオン (SSO) の状態を表示できます。 目標は、デバイスの状態が AzureAdJoined : YES として表示され、SSO の状態が AzureAdPrt : YES と表示されることです。

Microsoft Entra アカウントによる RDP サインインは、イベント ビューアーで Applications and Services Logs\Microsoft\Windows\AAD\Operational イベント ログに取り込まれます。

Azure ロールが割り当てられていない

デバイスへのリモート デスクトップ接続を開始すると、次のエラー メッセージが表示されることがあります: 「お使いのアカウントは、このデバイスの使用を妨げるように設定されています。」 詳細については、システム管理者にお問い合わせください。"

ユーザーに仮想マシン管理者ログインロールまたは仮想マシン ユーザー ログイン ロールを付与する Azure ロールベースのアクセス制御ポリシー を確認します。

Azure ロールの割り当てに問題がある場合は、「 Azure ロールベースのアクセス制御のトラブルシューティング」を参照してください。

承認されていないクライアントまたはパスワードの変更が必要

デバイスへのリモート デスクトップ接続を開始すると、"資格情報が機能しませんでした" というエラー メッセージが表示されることがあります。

次の解決策をお試しください。

• リモート デスクトップ接続を開始するために使用している Windows 10 以降の PC は、同じ Microsoft Entra ディレクトリに Microsoft Entra 参加済み、または Microsoft Entra ハイブリッド参加済みである必要があります。 デバイス ID の詳細については、「デバイス ID とは」の記事を参照してください。

  Windows 10 ビルド 20H1 では、デバイスへの RDP 接続を開始するための Microsoft Entra 登録済み PC のサポートが追加されました。 デバイスへの接続を開始するために、MICROSOFT Entra 登録済み (Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みではない) PC を RDP クライアントとして使用している場合は、 AzureAD\UPN 形式 ( AzureAD\john@contoso.com など) で資格情報を入力する必要があります。

  Microsoft Entra への参加が完了した後に AADLoginForWindows 拡張機能がアンインストールされていないことを確認します。

  また、サーバーとクライアントの "両方" で、セキュリティ ポリシー ネットワーク セキュリティ: このコンピューターに対する PKU2U 認証要求でオンライン ID を使用することを許可する が有効になっていることを確認します。

• ユーザーが使用しているパスワードが一時パスワードではないことを確認してください。 一時パスワードを使用して、リモート デスクトップ接続にサインインすることはできません。

  Web ブラウザーでユーザー アカウントを使用してサインインします。 たとえば、プライベート ブラウズ ウィンドウで Azure portal にサインインします。 パスワードの変更を求めるメッセージが表示されたら、新しいパスワードを設定します。 その後、接続を再試行してください。

MFA サインイン方法が必要

デバイスへのリモート デスクトップ接続を開始すると、次のエラー メッセージが表示されることがあります。"使用しようとしているサインイン方法は許可されていません。 別のサインイン方法を試すか、システム管理者に問い合わせてください。"

MFA を必要とする条件付きアクセス ポリシーを構成する場合は、接続を開始するデバイスが Windows Hello などの強力な認証を使用していることを確認する必要があります。

もう 1 つの MFA 関連のエラー メッセージは、前述の「資格情報が機能しませんでした」です。

従来のユーザーごとの 有効/強制 Microsoft Entra 多要素認証 設定を構成し、エラーが表示された場合は、ユーザーごとの MFA 設定を削除することで問題を解決できます。 詳細については、「ユーザーごとのMicrosoft Entra 多要素認証イベントを有効にしてサインイン イベントをセキュリティで保護する」に関する記事を参照してください。

Windows Hello for Business がオプションでない場合は、Microsoft Azure Windows 仮想マシン サインイン アプリを除外する条件付きアクセス ポリシーを構成します。 Windows Hello for Business の詳細については、Windows Hello for Business の概要に関するページを参照してください。

RDP を使用した生体認証のサポートは、Windows 10 バージョン 1809 で追加されました。 証明書信頼モデルまたはキー信頼モデルを使用するデプロイでは、RDP 中に Windows Hello for Business 認証を使用できます。

Microsoft Entra フィードバック フォーラムで、この機能に関するフィードバックを共有したり、この機能の使用に関する問題を報告したりしてください。

アプリケーションが見つかりません

Microsoft Azure Windows 仮想マシン サインイン アプリケーションが条件付きアクセスに含まれていない場合は、アプリケーションがテナントに存在することを確認します。

1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
2. Entra ID>エンタープライズアプリケーションに移動します。
3. フィルターを削除してすべてのアプリケーションを表示し、VM を検索します。 結果に Microsoft Azure Windows 仮想マシン サインインが表示されない場合は、テナントにサービス プリンシパルは含まれていません。

それを確認するもう 1 つの方法は、Graph PowerShell を使用することです。

1. Graph PowerShell SDK をインストールします。
2. Connect-MgGraph -Scopes "ServicePrincipalEndpoint.ReadWrite.All"を実行し、その後に"Application.ReadWrite.All"を実行します。
3. グローバル管理者アカウントでサインインします。
4. アクセス許可プロンプトに同意します。
5. Get-MgServicePrincipal -ConsistencyLevel eventual -Search '"DisplayName:Azure Windows VM Sign-In"' を実行します。

   • このコマンドで出力が行われず、PowerShell プロンプトに戻る場合は、次の Graph PowerShell コマンドを使用してサービス プリンシパルを作成できます。

     New-MgServicePrincipal -AppId 372140e0-b3b7-4226-8ef9-d57986796201

   • 正常な出力は、Microsoft Azure Windows 仮想マシンサインイン アプリとその ID が作成されたことを示しています。

6. Disconnect-MgGraph コマンドを使用して Graph PowerShell からサインアウトします。

一部のテナントでは、Microsoft Azure Windows 仮想マシン サインインではなく、Azure Windows VM サインインという名前のアプリケーションが表示されることがあります。 アプリケーションのアプリケーション ID は 372140e0-b3b7-4226-8ef9-d57986796201 と同じです。

準拠しているデバイスの条件付きアクセス ポリシーが Azure Windows VM サインイン リソースに適用されていて、Windows Server デバイスから接続している場合は、この機能を使用できません

条件付きアクセス ポリシーの Windows Server デバイス コンプライアンス構成はサポートされていません。

次のステップ

Microsoft Entra ID の詳細については、「Microsoft Entra ID とは」を参照してください。