次の方法で共有

Windows 365 の ID と認証

クラウド PC ユーザーの ID は、そのユーザーとクラウド PC を管理するアクセス管理サービスを定義します。 この ID では次のものが定義されます:

  • ユーザーがアクセスできるクラウド PC の種類。
  • ユーザーがアクセスできるクラウド以外の PC リソースの種類。

デバイスは、Microsoft Entra IDへの参加の種類によって決定される ID を持つことができます。 デバイスの場合、参加の種類により次が定義されます:

  • デバイスがドメイン コントローラーへの見通し線を必要とする場合。
  • デバイスの管理方法。
  • ユーザーがデバイスを認証する方法。

ID の種類

ID の種類は 4 つあります。

  • ハイブリッド ID: オンプレミスの Active Directory Domain Servicesで作成された後、Microsoft Entra IDに同期されるユーザーまたはデバイス。
  • クラウド専用 ID: 作成され、Microsoft Entra IDにのみ存在するユーザーまたはデバイス。
  • フェデレーション ID: Microsoft Entra IDまたはActive Directory Domain Services以外のサード パーティの ID プロバイダーで作成された後、Microsoft Entra IDとフェデレーションされたユーザー。
  • 外部 ID: Microsoft Entra テナントの外部で作成および管理されているが、organizationのリソースにアクセスするためにMicrosoft Entra テナントに招待されているユーザー。

注:

  • Windows 365では、シングル サインオンが有効になっている場合にフェデレーション ID がサポートされます。
  • Windows 365では、シングル サインオンが有効になっている場合に外部 ID がサポートされます。 すべての要件と制限事項については、「 外部 ID」を 参照してください。

外部 ID

外部 ID のサポートを使用すると、Entra ID テナントにユーザーを招待し、クラウド PC を提供できます。 クラウド PC を外部 ID に提供する場合、いくつかの要件と制限があります。

  • 要件
    • クラウド PC オペレーティング システム: クラウド PC は、Windows 11 (KB5065789) 以降のインストール用の 2025-09 累積Updatesを使用して、Windows 11 Enterpriseバージョン 24H2 以降を実行している必要があります。
    • クラウド PC 参加の種類: クラウド PC は Entra 参加済みである必要があります。
    • シングル サインオン: クラウド PC 用 にシングル サインオン を構成する必要があります。
    • Windows App クライアント: 外部 ID は、Windows または Web ブラウザーのWindows Appから接続する必要があります。
    • ライセンス: クラウド PC 上のソフトウェアとサービスに対して外部 ID に適切な権利があることを確認します。 詳細については、「Windows 365 ライセンス ガイダンス」を参照してください。
  • 制限事項

    • Intuneデバイス構成ポリシー: 外部 ID に割り当てられたデバイス構成ポリシーは、ユーザーのクラウド PC には適用されません。 代わりに、デバイス構成ポリシーをデバイスに割り当てます。

    • Windows 365 Government の可用性: Windows 365商用 (Enterprise、Business、Frontline) エディションのみがサポートされています。 Windows 365 Government はサポートされていません。

    • クロスクラウド招待: クロスクラウド ユーザーはサポートされていません。 クラウド PC は、ソーシャル ID プロバイダーから招待したユーザー、Microsoft Azure 商用クラウドのMicrosoft Entraユーザー、または従業員テナントに登録されているその他の ID プロバイダーにのみ提供できます。 21Vianet が運営する Microsoft Azure Government または Microsoft Azureから招待したユーザーにクラウド PC をプロビジョニングすることはできません。

    • トークン保護: Microsoft Entraには、外部 ID のトークン保護に関する一定の制限がありますプラットフォーム別のトークン保護Windows Appサポートの詳細を確認してください。

    • Kerberos 認証: 外部 ID は、Kerberos または NTLM プロトコルを使用してオンプレミス リソースに対して認証できません。

    • Windows App クライアント: Windows でWindows Appを使用する場合、クライアントの最新のパブリック リリースを実行していない場合は、Windows Appを実行しているデバイスでレジストリ キーを設定してログインを完了する必要がある場合があります。 必要なレジストリ キーについて詳しくは、こちらをご覧ください。

    • Microsoft 365 アプリ: 次の場合にのみ、Windows デスクトップ バージョンの Microsoft 365 アプリにログインできます。

      1. 招待されたユーザーは、Entra ベースのアカウントか、Microsoft 365 Appsのライセンスが付与された Microsoft アカウントです。
      2. 招待されたユーザーは、ホーム organizationからの条件付きアクセス ポリシーによって Microsoft 365 アプリへのアクセスをブロックされません。

      招待されたアカウントに関係なく、クラウド PC の Web ブラウザーで適切な Microsoft 365 アプリを使用して、共有されている Microsoft 365 ファイルにアクセスできます。

外部 ID 用の環境の構成に関する推奨事項とWindows 365ライセンス ガイダンスについては、「Microsoft Entra B2B のベスト プラクティス」を参照してください。

デバイス参加の種類

クラウド PC のプロビジョニングをするときに選択できる参加の種類は 2 つあります。

次の表は、選択した結合の種類に基づく主な機能または要件を示しています。

機能または要件 ハイブリッド結合Microsoft Entra Microsoft Entra参加
Azure サブスクリプション 必須 省略可能
ドメイン コントローラーへの見通し線がある Azure Virtual Network 必須 省略可能
ログインでサポートされているユーザー ID の種類 ハイブリッド ユーザーのみ ハイブリッド ユーザー、クラウド専用ユーザー、または外部 ID
ポリシー管理 グループ ポリシー オブジェクト (GPO) または Intune MDM Intune MDM のみ
Windows Hello for Business サインインがサポートされています はい。接続するデバイスには、ダイレクト ネットワークまたは VPN を介してドメイン コントローラーへの見通し線があることが必要です はい

認証

ユーザーがクラウド PC にアクセスすると、次の 3 つの個別の認証フェーズがあります。

  • クラウド サービス認証: リソースのサブスクライブとゲートウェイへの認証を含むWindows 365 サービスへの認証は、Microsoft Entra IDです。
  • リモート セッション認証: クラウド PC への認証。 推奨されるシングル サインオン (SSO) など、リモート セッションに対して認証する方法は複数あります。
  • セッション内認証: クラウド PC 内のアプリケーションと Web サイトに対する認証。

認証フェーズごとに異なるクライアントで使用できる資格情報の一覧については、 プラットフォーム間でクライアントを比較します

重要

認証を正常に機能させるには、ユーザーのローカル コンピューターが Azure Virtual Desktop の必須 URL リストの [リモート デスクトップ クライアント] セクションにある URL にアクセスできる必要があります。

Windows 365では、シングル サインオン (Windows 365 サービス認証とクラウド PC 認証の両方を満たすことができる単一認証プロンプトとして定義) がサービスの一部として提供されます。 詳細については、「 シングル サインオン」を参照してください。

次のセクションでは、これらの認証フェーズの詳細について説明します。

クラウド サービス認証

ユーザーは、次の場合に Windows 365 サービスで認証する必要があります:

Windows 365 サービスにアクセスするには、まず、Microsoft Entra ID アカウントでサインインしてサービスに対する認証を行う必要があります。

多要素認証

「条件付きアクセス ポリシーの設定」の手順に従って、クラウド PC に多要素認証Microsoft Entra適用する方法について説明します。 この記事では、ユーザーに資格情報の入力を求める頻度を構成する方法についても説明します。

パスワードレス認証

ユーザーは、Microsoft Entra IDでサポートされている任意の認証の種類 (Windows Hello for Businessや他のパスワードレス認証オプション (FIDO キーなど) を使用して、サービスに対する認証を行うことができます。

スマート カード認証

スマート カードを使用してMicrosoft Entra IDを認証するには、最初に証明書ベースの認証Microsoft Entra構成するか、ユーザー証明書認証用に AD FS を構成する必要があります。

サード パーティ ID プロバイダー

サード パーティの ID プロバイダーは、Microsoft Entra IDとフェデレーションする限り使用できます。

リモート セッション認証

シングル サインオンをまだ有効にしていない場合、ユーザーが資格情報をローカルに保存していない場合は、接続を起動するときにクラウド PC に対する認証も必要です。

シングル サインオン (SSO)

シングル サインオン (SSO) を使用すると、接続で Cloud PC 資格情報プロンプトをスキップし、Microsoft Entra認証によってユーザーを Windows に自動的にサインインできます。 Microsoft Entra認証には、パスワードレス認証やサードパーティ ID プロバイダーのサポートなど、その他の利点があります。 開始するには、 シングル サインオンを構成する手順を確認します。

重要

外部 ID がクラウド PC にログインするように SSO を構成する必要があります。 SSO が構成されていない場合、ユーザーはリモート セッション認証プロンプトでスタックします。

SSO を使用しない場合、クライアントは、すべての接続に対してクラウド PC 資格情報の入力をユーザーに求めます。 メッセージが表示されないようにする唯一の方法は、クライアントに資格情報を保存することです。 セキュリティで保護されたデバイスにのみ資格情報を保存して、他のユーザーがリソースにアクセスできないようにすることをお勧めします。

セッション内認証

クラウド PC に接続すると、セッション内で認証を求められる場合があります。 このセクションでは、このシナリオでユーザー名とパスワード以外の資格情報を使用する方法について説明します。

セッション内パスワードレス認証

Windows 365では、Windows デスクトップ クライアントを使用する場合、Windows Hello for Businessや FIDO キーなどのセキュリティ デバイスを使用したセッション内パスワードレス認証がサポートされます。 クラウド PC とローカル PC が次のオペレーティング システムを使用している場合、パスワードレス認証は自動的に有効になります。

有効にすると、セッション内のすべての WebAuthn 要求がローカル PC にリダイレクトされます。 Windows Hello for Businessまたはローカルに接続されたセキュリティ デバイスを使用して、認証プロセスを完了できます。

Windows Hello for Businessまたはセキュリティ デバイスMicrosoft Entraリソースにアクセスするには、ユーザーの認証方法として FIDO2 セキュリティ キーを有効にする必要があります。 この方法を有効にするには、「 FIDO2 セキュリティ キーメソッドを有効にする」の手順に従います。

セッション内スマート カード認証

セッションでスマート カードを使用するには、クラウド PC にスマート カード ドライバーをインストールし、クラウド PC の RDP デバイス リダイレクトの管理の一環としてスマート カード リダイレクトを許可します。 クライアントの比較グラフを確認して、クライアントがスマート カード リダイレクトをサポートしていることを確認します。

次の手順

クラウド PC のライフサイクルについて学習する

  • Last updated on