リモート デスクトップ Web クライアントを使用すると、ユーザーは互換性のある Web ブラウザーを使用して組織のリモート デスクトップ インフラストラクチャにアクセスできます。 リモート アプリやデスクトップは、場所に関係なく、ローカル PC と同様に操作できます。 リモート デスクトップ Web クライアントを設定したら、ユーザーが開始する必要があるのが、クライアントにアクセスできる URL、資格情報、サポートされている Web ブラウザーです。
Important
Web クライアントは Microsoft Entra アプリケーション プロキシの使用をサポートしますが、Web アプリケーション プロキシをまったくサポートしていません。 詳細については、 アプリケーション プロキシ サービスでの RDS の使用 を参照してください。
Web クライアントを設定するために必要なもの
作業を開始する前に、次の点に注意してください。
リモート デスクトップ展開に、Windows Server 2016 または 2019 で実行されている RD ゲートウェイ、RD 接続ブローカー、および RD Web アクセスがあることを確認します。
デバイスごとではなく、ユーザーごとのクライアント アクセス ライセンス (CAL) で配置が構成されていることを確認します。そうでないと、すべてのライセンスが消費されます。
RD ゲートウェイに Windows 10 KB4025334更新プログラムをインストール します。 これ以降の累積的な更新プログラムに、この KB が含まれている場合があります。
RD ゲートウェイと RD Web アクセスの役割に対して、パブリック信頼された証明書が構成されていることを確認します。
ユーザーが接続するすべてのコンピューターで、次のいずれかの OS バージョンが実行されていることを確認します。
- Windows 10 以降
- Windows Server 2016 以降
Windows Server 2016 (またはそれ以降) や Windows 10 (バージョン 1611 以降) への接続ではパフォーマンスが向上します。
プレビュー期間中に Web クライアントを使用し、1.0.0 以前のバージョンをインストールした場合は、まず古いクライアントをアンインストールしてから新しいバージョンに移行する必要があります。 "古いバージョンの RDWebClientManagement を使用して Web クライアントがインストールされたため、まずそれを削除してから新しいバージョンを展開する必要があります" というエラーが発生した場合は、次の手順に従います。
- 管理者特権の PowerShell プロンプトを開きます。
- RDWebClientManagementUninstall-Module 実行して、新しいモジュールをアンインストールします。
- PowerShell プロンプトを閉じ、管理者特権で再度開きます。
- Install-Module RDWebClientManagement -RequiredVersion <古いバージョン>を実行して古いモジュールをインストールします。
- Uninstall-RDWebClient を実行して、古い Web クライアントをアンインストールします。
- RDWebClientManagementUninstall-Module 実行して、古いモジュールをアンインストールします。
- PowerShell プロンプトを閉じ、管理者特権で再度開きます。
- 通常のインストール手順に進みます。
リモート デスクトップ Web クライアントを発行する方法
Web クライアントを初めてインストールするには、次の手順に従います。
RD 接続ブローカー サーバーで、リモート デスクトップ接続に使用する証明書を取得し、
.cerファイルとしてエクスポートします。 RD 接続ブローカーから、RD Web の役割を実行するサーバーに.cerファイルをコピーします。RD Web アクセス サーバーで、管理者特権の PowerShell プロンプトを開きます。
Windows Server 2016 では、受信トレイのバージョンでは Web クライアント管理モジュールのインストールがサポートされていないため、PowerShellGet モジュールを更新します。 PowerShellGet を更新するには、次のコマンドレットを実行します。
Install-Module -Name PowerShellGet -ForceNote
PowerShell ギャラリーにアクセスするには、トランスポート層セキュリティ (TLS) 1.2 以降が必要です。 PowerShell セッションで TLS 1.2 を有効にするには、次のコマンドを使用します。
[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12Important
更新プログラムを有効にするには、PowerShell を再起動する必要があります。そうしないと、モジュールが動作しない可能性があります。
次のコマンドレットを使用して、PowerShell ギャラリーからリモート デスクトップ Web クライアント管理 PowerShell モジュールをインストールします。
Install-Module -Name RDWebClientManagementその後、次のコマンドレットを実行して、最新バージョンのリモート デスクトップ Web クライアントをダウンロードします。
Install-RDWebClientPackage次に、かっこに囲まれた値を、RD ブローカーからコピーした
.cerファイルのパスに置き換えて、このコマンドレットを実行します。Import-RDWebClientBrokerCert <.cer file path>最後に、次のコマンドレットを実行して、リモート デスクトップ Web クライアントを発行します。
Publish-RDWebClientPackage -Type Production -Latesthttps://server_FQDN/RDWeb/webclient/index.html形式のサーバー名を使用して、Web クライアント URL で Web クライアントにアクセスできることを確認します。 URL (通常はサーバー FQDN) の RD Web Access パブリック証明書と一致するサーバー名を使用することが重要です。Note
Publish-RDWebClientPackage コマンドレットを実行すると、展開がユーザーごとの CAL 用に構成されている場合でも、デバイスごとの CAL がサポートされていないことを示す警告が表示されることがあります。 デプロイでユーザーごとの CAL を使用している場合は、この警告を無視できます。 構成の制限を認識していることを確認するために表示されます。
ユーザーが Web クライアントにアクセスする準備ができたら、作成した Web クライアント URL を送信するだけです。
Note
RDWebClientManagement モジュールでサポートされているすべてのコマンドレットの一覧を表示するには、PowerShell で次のコマンドレットを実行します。
Get-Command -Module RDWebClientManagement
リモート デスクトップ Web クライアントを更新する方法
新しいバージョンのリモート デスクトップ Web クライアントが使用可能になったら、次の手順に従って新しいクライアントで展開を更新します。
RD Web アクセス サーバーで管理者特権の PowerShell プロンプトを開き、次のコマンドレットを実行して、使用可能な最新バージョンの Web クライアントをダウンロードします。
Install-RDWebClientPackage必要に応じて、次のコマンドレットを実行して、公式リリース前にテスト用のクライアントを発行できます。
Publish-RDWebClientPackage -Type Test -Latestクライアントは、Web クライアントの URL (たとえば、
<https://server_FQDN/RDWeb/webclient-test/index.html>) に対応するテスト URL に表示されます。次のコマンドレットを実行して、ユーザーのクライアントを発行します。
Publish-RDWebClientPackage -Type Production -Latestこれにより、Web ページを再起動したときに、すべてのユーザーのクライアントが置き換えられます。
リモート デスクトップ Web クライアントをアンインストールする方法
Web クライアントのすべてのトレースを削除するには、次の手順に従います。
RD Web アクセス サーバーで、管理者特権の PowerShell プロンプトを開きます。
テスト クライアントと運用クライアントの発行を解除し、すべてのローカル パッケージをアンインストールして、Web クライアント設定を削除します。
Uninstall-RDWebClientリモート デスクトップ Web クライアント管理 PowerShell モジュールをアンインストールします。
Uninstall-Module -Name RDWebClientManagement
インターネットに接続せずにリモート デスクトップ Web クライアントをインストールする方法
インターネットに接続されていない RD Web アクセス サーバーに Web クライアントを展開するには、次の手順に従います。
Note
インターネットに接続せずにインストールするには、バージョン 1.0.1 以降の RDWebClientManagement PowerShell モジュールを使用できます。 オフライン サーバーに転送する前に必要なファイルをダウンロードするには、インターネットにアクセスできる管理者 PC が引き続き必要です。 現時点では、エンド ユーザー PC にインターネット接続が必要です。 これは、完全なオフライン シナリオを提供するために、クライアントの将来のリリースで対処される予定です。
インターネット にアクセスできるデバイスから
PowerShell のウィンドウを開きます。
PowerShell ギャラリーからリモート デスクトップ Web クライアント管理 PowerShell モジュールをインポートします。
Import-Module -Name RDWebClientManagement別のデバイスにインストールするために、最新バージョンのリモート デスクトップ Web クライアントをダウンロードします。
Save-RDWebClientPackage "C:\WebClient\"RDWebClientManagement PowerShell モジュールの最新バージョンをダウンロードします。
Find-Module -Name "RDWebClientManagement" -Repository "PSGallery" | Save-Module -Path "C:\WebClient\""C:\WebClient" の内容を RD Web アクセス サーバーにコピーします。
RD Web アクセス サーバーから
「リモート デスクトップ Web クライアントを発行する方法」の手順に従って、手順 4 と 5 を次のように置き換えます。
最新の Web クライアント管理 PowerShell モジュールを取得するには、次の 2 つのオプションがあります。
リモート デスクトップ Web クライアントの管理 PowerShell モジュールをインポートします。
Import-Module -Name RDWebClientManagementダウンロードした RDWebClientManagement フォルダーを 、$env:psmodulePath に一覧表示されているローカル PowerShell モジュール フォルダーのいずれかにコピーするか、ダウンロードしたファイルを含むフォルダーへのパスを $env:psmodulePath に追加します。
ローカル フォルダーから最新バージョンのリモート デスクトップ Web クライアントを展開します (適切な zip ファイルに置き換えます)。
Install-RDWebClientPackage -Source "C:\WebClient\rdwebclient-1.0.1.zip"
Windows Server 2019 で RD ゲートウェイなしで RD ブローカーに接続する
このセクションでは、Windows Server 2019 で RD ゲートウェイなしで RD ブローカーへの Web クライアント接続を有効にする方法について説明します。
RD ブローカー サーバーの設定
RD ブローカー サーバーにバインドされている証明書がない場合は、次の手順に従います。
サーバー マネージャー>リモート デスクトップ サービスを開きます。
[ デプロイの概要 ] セクションで、[ タスク ] ドロップダウン メニューを選択します。
[展開プロパティの編集] を選択すると、[展開プロパティ] というタイトルの新しいウィンドウが開きます。
[ 展開のプロパティ ] ウィンドウで、左側のメニューの [証明書 ] を選択します。
[証明書レベル] の一覧で、[ RD 接続ブローカー - シングル サインオンを有効にする] を選択します。 2 つのオプションがあります。(1) 新しい証明書を作成するか、(2) 既存の証明書を作成します。
RD ブローカー サーバーに以前にバインドされた証明書がある場合は、次の手順に従います。
ブローカーにバインドされている証明書を開き、 拇印 の値をコピーします。
この証明書をセキュリティで保護されたポート 3392 にバインドするには、管理者特権の PowerShell ウィンドウを開き、次のコマンドを実行します 。"< 拇印 >" を 前の手順からコピーした値に置き換えます。
netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" certstorename="Remote Desktop" appid="{00000000-0000-0000-0000-000000000000}"Note
証明書が正しくバインドされているかどうかを確認するには、次のコマンドを実行します。
netsh http show sslcertSSL 証明書のバインドの一覧で、正しい証明書がポート 3392 にバインドされていることを確認します。
Windows レジストリ (regedit) を開き、
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcpに移動し、キー WebSocketURI を見つけます。 次に、値をhttps://+:3392/rdp/に設定します。
RD セッション ホストの設定
RD セッション ホスト サーバーが RD ブローカー サーバーと異なる場合は、次の手順に従います。
RD セッション ホスト マシンの証明書を作成して開き、 拇印 の値をコピーします。
この証明書をセキュリティで保護されたポート 3392 にバインドするには、管理者特権の PowerShell ウィンドウを開き、次のコマンドを実行します 。"< 拇印 >" を 前の手順からコピーした値に置き換えます。
netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" appid="{00000000-0000-0000-0000-000000000000}"Note
証明書が正しくバインドされているかどうかを確認するには、次のコマンドを実行します。
netsh http show sslcertSSL 証明書のバインドの一覧で、正しい証明書がポート 3392 にバインドされていることを確認します。
Windows レジストリ (regedit) を開き、
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcpに移動し、キー WebSocketURI を見つけます。 値はhttps://+:3392/rdp/に設定する必要があります。
一般的な観察
RD セッション ホストと RD ブローカー サーバーの両方が Windows Server 2019 を実行していることを確認します。
RD セッション ホストと RD ブローカー サーバーの両方に対して、パブリック信頼証明書が構成されていることを確認します。
Note
RD セッション ホストと RD ブローカー サーバーの両方が同じコンピューターを共有している場合は、RD ブローカー サーバー証明書のみを設定します。 RD セッション ホストと RD ブローカー サーバーが異なるマシンを使用する場合は、両方を一意の証明書で構成する必要があります。
各証明書の サブジェクト代替名 (SAN) は、マシンの 完全修飾ドメイン名 (FQDN) に設定する必要があります。 共通名 (CN) は、各証明書の SAN と一致する必要があります。
リモート デスクトップ Web クライアント ユーザーの設定を事前に構成する方法
このセクションでは、PowerShell を使用してリモート デスクトップ Web クライアントの展開の設定を構成する方法について説明します。 これらの PowerShell コマンドレットは、組織のセキュリティ上の懸念や意図されたワークフローに基づいて設定を変更するユーザーの機能を制御します。 次の設定はすべて、Web クライアントの [設定] サイド パネルにあります。
テレメトリを抑制する
既定では、Microsoft に送信される製品利用統計情報データの収集をユーザーが有効または無効にできます。 Microsoft が収集するテレメトリ データの詳細については、 About サイド パネルのリンクを介してプライバシーに関する声明を参照してください。
管理者は、次の PowerShell コマンドレットを使用して、デプロイのテレメトリ収集を抑制することを選択できます。
Set-RDWebClientDeploymentSetting -Name "SuppressTelemetry" $true
既定では、製品利用統計情報を有効にするか無効にするかをユーザーが選択できます。 $falseブール値は、既定のクライアント動作と一致します。 ブール値 $true はテレメトリを無効にし、ユーザーがテレメトリを有効にできないように制限します。
リモート リソース起動方法
Note
現在、この設定は RDS Web クライアントでのみ機能し、Azure Virtual Desktop Web クライアントでは機能しません。
既定では、ユーザーはリモート リソースの起動を、(1) ブラウザーで行うか、(2) .rdp ファイルをダウンロードし、コンピューターにインストールされている他のクライアントで処理するかを選択できます。 管理者は、次の PowerShell コマンドを使用して、デプロイのリモート リソース起動方法を制限することができます。
Set-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser" ($true|$false)
既定では、ユーザーは、いずれかの起動方法を選択できます。 ブール値 $true は、ユーザーがブラウザーでリソースを起動することを強制します。 ブール値 $false 、ローカルにインストールされた RDP クライアントで処理する .rdp ファイルをダウンロードして、ユーザーにリソースの起動を強制します。
RDWebClientDeploymentSetting 構成を既定値にリセットする
デプロイ レベルの Web クライアント設定を既定の構成にリセットするには、次の PowerShell コマンドレットを実行し、-name パラメーターを使用してリセットする設定を指定します。
Reset-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser"
Reset-RDWebClientDeploymentSetting -Name "SuppressTelemetry"
Troubleshooting
ユーザーが初めて Web クライアントを開くときに以下のいずれかの問題が報告される場合、以降のセクションでそれらの修正方法を説明しています。
ユーザーが Web クライアントにアクセスしようとしたときに、ユーザーのブラウザーにセキュリティ警告が表示された場合の対応
RD Web アクセスロールが信頼された証明書を使用していない可能性があります。 RD Web アクセスロールが、パブリックに信頼された証明書で構成されていることを確認します。
それでも問題が解決しない場合、Web クライアント URL のサーバー名が RD Web 証明書によって指定された名前と一致しない可能性があります。 URL で RD Web ロールをホストしているサーバーの FQDN が使用されていることを確認します。
ユーザーが [すべてのリソース] の下の項目を表示できるにもかかわらず、Web クライアントでリソースに接続できない場合の対処方法
一覧に表示されているリソースが表示されていても、Web クライアントに接続できないことをユーザーが報告した場合は、次の点を確認します。
- RD ゲートウェイロールは、信頼されたパブリック証明書を使用するように適切に構成されていますか?
- RD ゲートウェイ サーバーに必要な更新プログラムがインストールされていますか? サーバーに KB4025334更新プログラム がインストールされていることを確認します。
接続を試みたときにユーザーが "予期しないサーバー認証証明書を受け取った" というエラー メッセージを受け取る場合、メッセージは証明書の拇印を表示します。 その拇印を使用して RD ブローカー サーバーの証明書マネージャーを検索し、適切な証明書を見つけます。 リモート デスクトップ展開のプロパティ ページで、RD ブローカーの役割に使用するように証明書が構成されていることを確認します。 証明書が期限切れになっていないことを確認したら、.cer ファイル形式の証明書を RD Web アクセス サーバーにコピーし、かっこに囲まれた値は証明書のファイル パスに置き換えて、RD Web アクセス サーバーで次のコマンドを実行します。
Import-RDWebClientBrokerCert <certificate file path>
コンソール ログに関する問題を診断する
この記事のトラブルシューティング手順に基づいて問題を解決できない場合は、ブラウザーでコンソールのサインを参照することで、自分自身で問題の原因の診断を試みることができます。 Web クライアントは、Web クライアントを使用して問題の診断に役立つブラウザー コンソール ログ アクティビティを記録する方法を提供します。
- 右上隅にある省略記号を選択し、ドロップダウン メニューの [バージョン 情報] ページに移動します。
- [ サポート情報のキャプチャ ] で、[ 記録の開始 ] ボタンを選択します。
- 診断しようとしている、問題を発生させた Web クライアントで操作を行います。
- [ バージョン情報 ] ページに移動し、[ 記録の停止] を選択します。
- ブラウザーは、 RD コンソール Logs.txtというタイトルの .txt ファイルを自動的にダウンロードします。 このファイルには、ターゲットの問題の再現中に生成された完全なコンソール ログ アクティビティが含まれています。
コンソールには、ブラウザーから直接アクセスすることもできます。 コンソールは、開発者ツールの下に置かれています。 たとえば、 F12 キーを押すか、省略記号を選択し、 その他のツール>Developer Tools に移動して、Microsoft Edge のサインインにアクセスできます。
Web クライアントに関するヘルプを表示する
この記事の情報では解決できない問題が発生した場合は、 Microsoft Tech Community の Azure Virtual Desktop フォーラムで報告できます。