次の方法で共有


リモートの Microsoft Entra 参加済みデバイスに接続する

Windows では、Active Directory に参加しているデバイスと、リモート デスクトップ プロトコル (RDP) を使用して Microsoft Entra ID に参加しているデバイスへのリモート接続がサポートされています。

前提条件

  • デバイス (ローカルとリモート) の両方が、サポートされているバージョンの Windows を実行している必要があります。
  • リモート デバイスでは、[設定]、[システム]、[リモート デスクトップ] の [リモート デスクトップ] オプションを選択して、別のデバイスからこの PC に接続>使用する必要があります>リモート デスクトップ
    • [ ネットワーク レベル認証を使用して接続するデバイスを要求する ] オプションを選択することをお勧めします。
  • デバイスを Microsoft Entra ID に参加させたユーザーがリモート接続を行う唯一のユーザーである場合、他の構成は必要ありません。 より多くのユーザーまたはグループがデバイスにリモートで接続できるようにするには、リモート デバイス のリモート デスクトップ ユーザー グループにユーザーを追加 する必要があります。
  • リモート デバイスへの接続に使用しているデバイスで、 リモート資格情報ガード がオフになっていることを確認します。

Microsoft Entra 認証で接続する

Microsoft Entra 認証は、ローカル デバイスとリモート デバイスの両方で次のオペレーティング システムで使用できます。

ローカル デバイスをドメインまたは Microsoft Entra ID に参加させる必要はありません。 その結果、このメソッドを使用すると、次の場所からリモートの Microsoft Entra 参加済みデバイスに接続できます。

Microsoft Entra 認証を使用して、Microsoft Entra ハイブリッド参加済みデバイスに接続することもできます。

リモート コンピューターに接続するには:

  • Windows Search から リモート デスクトップ接続 を起動するか、 mstsc.exeを実行します。

  • [詳細設定] タブの [Web アカウントを使用してリモート コンピューターにサインインする] オプションを選択します。このオプションは、enablerdsaadauth RDP プロパティと同じです。 詳細については、「 リモート デスクトップ サービスでサポートされる RDP プロパティ」を参照してください。

  • リモート コンピューターの名前を指定し、[ 接続] を選択します。

    [Web アカウントを使用してリモート コンピューターにサインインする] オプションを使用する場合、IP アドレスを使用できません。 この名前は、Microsoft Entra ID のリモート デバイスのホスト名と一致し、リモート デバイスの IP アドレスに解決されるネットワーク アドレス可能である必要があります。

  • 資格情報の入力を求められたら、 user@domain.com 形式でユーザー名を指定します。

  • その後、新しい PC に接続するときにリモート デスクトップ接続を許可するように求められます。 Microsoft Entra は、もう一度メッセージを表示する前に、最大 15 ホストを 30 日間記憶しています。 このダイアログが表示されたら、[ はい ] を選択して接続します。

重要

組織が構成されていて、 Microsoft Entra 条件付きアクセスを使用している場合、リモート コンピューターへの接続を許可するには、デバイスが条件付きアクセス要件を満たす必要があります。 許可制御セッション制御を含む条件付きアクセス ポリシーは、制御されたアクセス用のアプリケーション Microsoft Remote Desktop (a4a365df-50f1-4397-bc59-1a1564b8bb9c) に適用できます。

セッションがロックされている場合の切断

リモート セッションの Windows ロック画面では、Microsoft Entra 認証トークンや FIDO キーなどのパスワードレス認証方法はサポートされていません。 これらの認証方法がサポートされていないということは、ユーザーがリモート セッションで画面のロックを解除できないことを意味します。 ユーザー アクションまたはシステム ポリシーを使用してリモート セッションをロックしようとすると、セッションは代わりに切断され、サービスは切断されたことを説明するメッセージをユーザーに送信します。

また、セッションを切断すると、一定の非アクティブ状態の後に接続が再起動されると、Microsoft Entra ID によって適用される条件付きアクセス ポリシーが再評価されます。

Microsoft Entra 認証なしで接続する

既定では、リモート PC でサポートされている場合でも、RDP は Microsoft Entra 認証を使用しません。 このメソッドを使用すると、次の場所からリモートの Microsoft Entra 参加済みデバイスに接続できます。

ローカル デバイスとリモート デバイスの両方が同じ Microsoft Entra テナントに存在する必要があります。 Microsoft Entra B2B ゲストは、リモート デスクトップではサポートされていません。

リモート コンピューターに接続するには:

  • Windows Search から リモート デスクトップ接続 を起動するか、 mstsc.exeを実行します。
  • リモート コンピューターの名前を指定します。
  • 資格情報の入力を求められたら、 user@domain.com または AzureAD\user@domain.com 形式でユーザー名を指定します。

ヒント

ユーザー名を domain\user 形式で指定した場合、 リモート マシンが Microsoft Entra 参加済みであることを示すメッセージでログオン試行が失敗したことを示すエラーが表示される場合があります。職場アカウントにサインインする場合は、職場のメール アドレスを使用してみてください

Windows 10 バージョン 1703 以前を実行しているデバイスの場合、ユーザーはリモート接続を試みる前に、まずリモート デバイスにサインインする必要があります。

サポートされている構成

次の表に、Microsoft Entra 認証を使用せずに Microsoft Entra 参加済みデバイスにリモート接続するためのサポートされている構成を示します。

条件 クライアント オペレーティング システム サポートされている資格情報
Microsoft Entra 登録済みデバイスからの RDP Windows 10 バージョン 2004 以降 パスワード、スマート カード
Microsoft Entra 参加済みデバイスからの RDP Windows 10 バージョン 1607 以降 パスワード、スマート カード、Windows Hello for Business 証明書の信頼
Microsoft Entra ハイブリッド参加済みデバイスからの RDP Windows 10 バージョン 1607 以降 パスワード、スマート カード、Windows Hello for Business 証明書の信頼

RDP クライアントが Windows Server 2016 または Windows Server 2019 を実行している場合、Microsoft Entra 参加済みデバイスに接続できるようにするには、 公開キー暗号化ベースのユーザー間 (PKU2U) 認証要求でオンライン ID を使用できるようにする必要があります。

Microsoft Entra グループが Windows デバイスの リモート デスクトップ ユーザー グループに追加された場合、Microsoft Entra グループに属するユーザーが RDP 経由でログインすると、リモート接続の確立に失敗する場合は適用されません。 このシナリオでは、ネットワーク レベル認証を無効にして接続を許可する必要があります。

リモート デスクトップ ユーザー グループにユーザーを追加する

リモート デスクトップ ユーザー グループは、デバイスにリモート接続するためのアクセス許可をユーザーとグループに付与するために使用されます。 ユーザーは、手動または MDM ポリシーを使用して追加できます。

  • ユーザーを手動で追加する:

    リモート接続用の個々の Microsoft Entra アカウントを指定する場合は、次のコマンドを実行します。ここで、 <userUPN> はユーザーの UPN です (例: user@domain.com)。

    net localgroup "Remote Desktop Users" /add "AzureAD\<userUPN>"
    

    このコマンドを実行するには、ローカルの Administrators グループのメンバーである必要があります。 そうしないと、 There is no such global user or group: <name>のようなエラーが表示されることがあります。

  • ポリシーを使用したユーザーの追加:

    Windows 10 バージョン 2004 以降では、「 Microsoft Entra 参加済みデバイスでローカル管理者グループを管理する方法」の説明に従って、MDM ポリシーを使用してリモート デスクトップ ユーザーにユーザーを追加できます。

リモート デスクトップの使い方