ポリシー CSP - RemoteDesktopServices
ヒント
この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML のデータ型を として <Format>chr</Format>指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。
SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。
重要
この CSP には、開発中であり、Windows Insider Preview ビルド にのみ適用される一部の設定が含まれています。 これらの設定は変更する可能性があり、プレビューで他の機能やサービスに依存する場合があります。
AllowUsersToConnectRemotely
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/AllowUsersToConnectRemotely
このポリシー設定を使用すると、リモート デスクトップ サービスを使用してコンピューターへのリモート アクセスを構成できます。
このポリシー設定を有効にした場合、ターゲット コンピューターのリモート デスクトップ ユーザー グループのメンバーであるユーザーは、リモート デスクトップ サービスを使用してターゲット コンピューターにリモート接続できます。
このポリシー設定を無効にした場合、ユーザーはリモート デスクトップ サービスを使用してターゲット コンピューターにリモート接続できません。 ターゲット コンピューターは現在の接続を維持しますが、新しい受信接続は受け入れません。
このポリシー設定を構成しない場合、リモート デスクトップ サービスはターゲット コンピューターのリモート デスクトップ設定を使用して、リモート接続が許可されているかどうかを判断します。 この設定は、[システムのプロパティ] シートの [リモート] タブにあります。 既定では、リモート接続は許可されません。
注
リモート デスクトップ サービスを使用してリモート接続できるクライアントを制限するには、コンピューターの構成\管理用テンプレート\Windows コンポーネント\リモート デスクトップ サービス\リモート デスクトップ セッション ホスト\セキュリティ\ネットワーク レベル認証を使用してリモート接続に対するユーザー認証を要求するポリシー設定を構成します。
同時に接続できるユーザーの数を制限するには、コンピューターの構成\管理用テンプレート\Windows コンポーネント\リモート デスクトップ サービス\リモート デスクトップ セッション ホスト\Connections\接続数の制限に関するページでポリシー設定を構成するか、リモート デスクトップ セッション ホスト WMI プロバイダーを使用してポリシー設定の [最大Connections] を構成します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | TS_DISABLE_CONNECTIONS |
| フレンドリ名 | リモート デスクトップ サービスを使用してユーザーがリモートで接続できるようにする |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > リモート デスクトップ サービス > リモート デスクトップ セッション ホスト > Connections |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| ADMX ファイル名 | TerminalServer.admx |
ClientConnectionEncryptionLevel
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/ClientConnectionEncryptionLevel
リモート デスクトップ プロトコル (RDP) 接続中にクライアント コンピューターと RD セッション ホスト サーバー間の通信をセキュリティで保護するために、特定の暗号化レベルを使用する必要があるかどうかを指定します。 このポリシーは、ネイティブ RDP 暗号化を使用している場合にのみ適用されます。 ただし、ネイティブ RDP 暗号化 (SSL 暗号化ではなく) は推奨されません。 このポリシーは SSL 暗号化には適用されません。
- このポリシー設定を有効にした場合、リモート接続中のクライアントと RD セッション ホスト サーバー間のすべての通信では、この設定で指定された暗号化方法を使用する必要があります。 既定では、暗号化レベルは [高] に設定されています。 次の暗号化方法を使用できます。
High: High 設定は、強力な 128 ビット暗号化を使用して、クライアントからサーバー、およびサーバーからクライアントに送信されるデータを暗号化します。 この暗号化レベルは、128 ビット クライアント (たとえば、リモート デスクトップ接続を実行するクライアント) のみを含む環境で使用します。 この暗号化レベルをサポートしていないクライアントは、RD セッション ホスト サーバーに接続できません。
クライアント互換: クライアント互換設定は、クライアントがサポートする最大キー強度で、クライアントとサーバーの間で送信されるデータを暗号化します。 128 ビット暗号化をサポートしていないクライアントを含む環境では、この暗号化レベルを使用します。
低: 低設定では、56 ビット暗号化を使用してクライアントからサーバーに送信されたデータのみが暗号化されます。
- この設定を無効にした場合、または構成しない場合、RD セッション ホスト サーバーへのリモート接続に使用する暗号化レベルは、グループ ポリシーによって適用されません。
重要:
FIPS コンプライアンスは、システム暗号化を使用して構成できます。 グループ ポリシーの暗号化、ハッシュ、署名の設定に FIPS 準拠のアルゴリズムを使用します ([コンピューターの構成]、[Windows の設定]、[セキュリティ設定]、[ローカル ポリシー]、[セキュリティ オプション] の下)。 FIPS 準拠の設定では、Microsoft 暗号化モジュールを使用して、連邦情報処理標準 (FIPS) 140 暗号化アルゴリズムを使用して、クライアントからサーバー、およびサーバーからクライアントに送信されたデータを暗号化および暗号化解除します。 クライアントと RD セッション ホスト サーバー間の通信で最高レベルの暗号化が必要な場合は、この暗号化レベルを使用します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | TS_ENCRYPTION_POLICY |
| フレンドリ名 | クライアント接続の暗号化レベルを設定する |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > リモート デスクトップ サービス > リモート デスクトップ セッション ホスト > セキュリティ |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| ADMX ファイル名 | TerminalServer.admx |
DisconnectOnLockLegacyAuthn
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DisconnectOnLockLegacyAuthn
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | TS_DISCONNECT_ON_LOCK_POLICY |
| ADMX ファイル名 | terminalserver.admx |
DisconnectOnLockMicrosoftIdentityAuthn
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DisconnectOnLockMicrosoftIdentityAuthn
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | TS_DISCONNECT_ON_LOCK_AAD_POLICY |
| ADMX ファイル名 | terminalserver.admx |
DoNotAllowDriveRedirection
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowDriveRedirection
このポリシー設定では、リモート デスクトップ サービス セッション (ドライブ リダイレクト) でのクライアント ドライブのマッピングを禁止するかどうかを指定します。
既定では、RD セッション ホスト サーバーは接続時にクライアント ドライブを自動的にマップします。 マップされたドライブは、セッション フォルダー ツリーの エクスプローラー または コンピューター の形式<driveletter><computername>で表示されます。 このポリシー設定を使用して、この動作をオーバーライドできます。
このポリシー設定を有効にした場合、クライアント ドライブのリダイレクトはリモート デスクトップ サービス セッションでは許可されません。また、Windows XP、Windows Server 2003、Windows Server 2012 (以降) またはWindows 8 (以降) を実行しているコンピューターでは、クリップボードファイルコピーリダイレクトは許可されません。
このポリシー設定を無効にすると、クライアント ドライブのリダイレクトは常に許可されます。 さらに、クリップボードのリダイレクトが許可されている場合、クリップボード ファイル のコピー リダイレクトは常に許可されます。
このポリシー設定を構成しない場合、クライアント ドライブのリダイレクトとクリップボード ファイル コピー リダイレクトは、グループ ポリシー レベルでは指定されません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | TS_CLIENT_DRIVE_M |
| フレンドリ名 | ドライブリダイレクトを許可しない |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > リモート デスクトップ サービス > リモート デスクトップ セッション ホスト > デバイスとリソース リダイレクト |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| レジストリ値の名前 | fDisableCdm |
| ADMX ファイル名 | TerminalServer.admx |
DoNotAllowPasswordSaving
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowPasswordSaving
リモート デスクトップ接続からこのコンピューターにパスワードを保存できるかどうかを制御します。
この設定を有効にすると、リモート デスクトップ接続の [パスワードの保存] チェック ボックスが無効になり、ユーザーはパスワードを保存できなくなります。 ユーザーがリモート デスクトップ接続を使用して RDP ファイルを開き、設定を保存すると、RDP ファイルに以前に存在していたパスワードはすべて削除されます。
この設定を無効にするか、未構成のままにすると、ユーザーはリモート デスクトップ接続を使用してパスワードを保存できます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | TS_CLIENT_DISABLE_PASSWORD_SAVING_2 |
| フレンドリ名 | パスワードの保存を許可しない |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > リモート デスクトップ サービス > リモート デスクトップ接続クライアント |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| レジストリ値の名前 | DisablePasswordSaving |
| ADMX ファイル名 | TerminalServer.admx |
DoNotAllowWebAuthnRedirection
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11バージョン 22H2 [10.0.22621] 以降 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowWebAuthnRedirection
このポリシー設定を使用すると、リモート デスクトップ セッションからローカル デバイスへの Web 認証 (WebAuthn) 要求のリダイレクトを制御できます。 このリダイレクトにより、ユーザーはローカル認証システム (Windows Hello for Business、セキュリティ キーなど) を使用して、リモート デスクトップ セッション内のリソースに対して認証を行うことができます。
既定では、リモート デスクトップでは WebAuthn 要求のリダイレクトが許可されます。
このポリシー設定を有効にした場合、ユーザーはリモート デスクトップ セッション内でローカル認証子を使用できません。
このポリシー設定を無効にするか、構成しない場合、ユーザーはリモート デスクトップ セッション内でローカル認証を使用できます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | TS_WEBAUTHN |
| フレンドリ名 | WebAuthn リダイレクトを許可しない |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > リモート デスクトップ サービス > リモート デスクトップ セッション ホスト > デバイスとリソース リダイレクト |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| レジストリ値の名前 | fDisableWebAuthn |
| ADMX ファイル名 | TerminalServer.admx |
LimitClientToServerClipboardRedirection
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ✅ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows Insider Preview |
./User/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | TS_CLIENT_CLIPBOARDRESTRICTION_CS |
| ADMX ファイル名 | terminalserver.admx |
LimitServerToClientClipboardRedirection
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ✅ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows Insider Preview |
./User/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | TS_CLIENT_CLIPBOARDRESTRICTION_SC |
| ADMX ファイル名 | terminalserver.admx |
PromptForPasswordUponConnection
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/PromptForPasswordUponConnection
このポリシー設定では、接続時にリモート デスクトップ サービスが常にクライアントにパスワードの入力を求めるかどうかを指定します。
この設定を使用すると、リモート デスクトップ 接続クライアントでパスワードが既に指定されている場合でも、リモート デスクトップ サービスにログオンするユーザーにパスワード プロンプトを適用できます。
既定では、リモート デスクトップ サービスを使用すると、ユーザーはリモート デスクトップ接続クライアントにパスワードを入力して自動的にログオンできます。
このポリシー設定を有効にした場合、ユーザーはリモート デスクトップ接続クライアントでパスワードを指定してリモート デスクトップ サービスに自動的にログオンすることはできません。 ログオンするためのパスワードの入力を求められます。
このポリシー設定を無効にした場合、ユーザーはリモート デスクトップ接続クライアントでパスワードを指定することで、常にリモート デスクトップ サービスに自動的にログオンできます。
このポリシー設定を構成しない場合、自動ログオンはグループ ポリシー レベルでは指定されません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | TS_PASSWORD |
| フレンドリ名 | 接続時に常にパスワードの入力を求める |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > リモート デスクトップ サービス > リモート デスクトップ セッション ホスト > セキュリティ |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| レジストリ値の名前 | fPromptForPassword |
| ADMX ファイル名 | TerminalServer.admx |
RequireSecureRPCCommunication
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/RequireSecureRPCCommunication
リモート デスクトップ セッション ホスト サーバーが、すべてのクライアントとの安全な RPC 通信を必要とするか、セキュリティで保護されていない通信を許可するかを指定します。
この設定を使用すると、認証された要求と暗号化された要求のみを許可することで、クライアントとの RPC 通信のセキュリティを強化できます。
状態が [有効] に設定されている場合、リモート デスクトップ サービスは、セキュリティで保護された要求をサポートする RPC クライアントからの要求を受け入れ、信頼されていないクライアントとのセキュリティで保護されていない通信を許可しません。
状態が [無効] に設定されている場合、リモート デスクトップ サービスは常にすべての RPC トラフィックのセキュリティを要求します。 ただし、要求に応答しない RPC クライアントでは、セキュリティで保護されていない通信が許可されます。
状態が [未構成] に設定されている場合、セキュリティで保護されていない通信が許可されます。
注
RPC インターフェイスは、リモート デスクトップ サービスの管理と構成に使用されます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | TS_RPC_ENCRYPTION |
| フレンドリ名 | セキュリティで保護された RPC 通信を要求する |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > リモート デスクトップ サービス > リモート デスクトップ セッション ホスト > セキュリティ |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| レジストリ値の名前 | fEncryptRPCTraffic |
| ADMX ファイル名 | TerminalServer.admx |
関連記事
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示