クリップボード転送の方向と Azure Virtual Desktop 内でコピーできるデータの種類を構成する

[アーティクル]
08/16/2024

Azure Virtual Desktop でクリップボードのリダイレクトを使用すると、ユーザーはテキスト、画像、ファイルなどのコンテンツをコピーして、ユーザーのデバイスとリモートセッションの間で、どちらの方向でも貼り付けることができます。データ流出や悪意のあるファイルがセッションホストにコピーされるのを防ぐために、ユーザーのクリップボードの方向を制限したい場合があります。次のオプションから、ユーザーがセッションホストからクライアント、クライアントからセッションホストのいずれの方向でクリップボードを使用できるかと、コピーできるデータの種類を構成できます。

セッションホストからクライアントへのクリップボードの転送、クライアントからセッションホストへの転送、またはその両方を無効にする
プレーンテキストのみ許可する
プレーンテキストと画像のみを許可する
プレーンテキスト、画像、リッチテキスト形式のみを許可する
プレーンテキスト、画像、リッチテキスト形式、HTML のみを許可する

セッションホストに設定を適用します。特定のリモートデスクトップクライアントまたはそのバージョンに依存することはありません。この記事では、クリップボードの方向と、Microsoft Intune またはグループポリシーを使用してコピーできるデータの種類を構成する方法について説明します。

前提条件

クリップボードの転送方向を構成するには、以下のものが必要です。

ホストプールの RDP プロパティでは、クリップボードのリダイレクトを許可する必要があります。そうしないと、完全にブロックされます。
セッションホストは、以下のいずれかのオペレーティングシステムを実行している必要があります。
- 2024-06 cumulative update (KB5039212) 以降がインストールされた Windows 11 Enterprise または Enterprise multi-session、バージョン 22H2 または 23H2。
- 2024-06 cumulative update (KB5039213) 以降がインストールされた Windows 11 Enterprise または Enterprise multi-session、バージョン 21H2。
- 2024-07 cumulative update (KB5040437) 以降がインストールされた Windows Server 2022。
クリップボードの転送方向の構成に使用する方法による:
- Intune の場合は、設定を構成して適用するためのアクセス許可が必要です。詳細については、「Azure Virtual Desktop 向けの管理用テンプレート」を参照してください。
- セッションホストのローカルグループポリシーまたはレジストリを構成する場合は、ローカルの管理者グループのメンバーであるアカウントが必要です。

クリップボードの転送方向を構成する

クリップボードの転送方向とコピーできるデータの種類を構成する方法を次に示します。お使いのシナリオに関連するタブを選択します。

Intune を使用してクリップボードを構成するには、次の手順に従います。このプロセスにより、Intune の設定カタログポリシーが作成されます。

Microsoft Intune 管理センターにサインインします。
設定カタログ プロファイル型で、Windows 10 以降のデバイスの構成プロファイルを作成または編集します。
設定ピッカーで、[管理用テンプレート]>[Windows コンポーネント]>[リモートデスクトップサービス]>[リモートデスクトップセッションホスト]>[デバイスとリソースのリダイレクト] に移動します。
以下の設定のボックスにチェックを入れ、自分の要件に適したスコープの設定を選択していることを確認した後、設定ピッカーを閉じます。どのスコープが自分のシナリオに適しているかを判断するには、「設定カタログ - デバイススコープとユーザースコープ設定」を参照してください。
- デバイススコープ設定:
  - サーバーからクライアントへのクリップボード転送を制限する
  - クライアントからサーバーへのクリップボード転送を制限する
- ユーザースコープ設定:
  - サーバーからクライアントへのクリップボード転送を制限する (ユーザー)
  - クライアントからサーバーへのクリップボード転送を制限する (ユーザー)
[管理用テンプレート] カテゴリを展開した後、追加した各設定のスイッチを [有効] に切り替えます。
各設定が有効になると、ドロップダウンリストが表示され、そこからコピーできるデータの種類を選択できます。次のオプションを選択します。
- サーバーからクライアントへのクリップボード転送を無効にするまたはクライアントからサーバーへのクリップボード転送を無効にする
- プレーンテキストを許可する
- プレーンテキストと画像を許可する
- プレーンテキスト、画像、リッチテキスト形式を許可する
- プレーンテキスト、画像、リッチテキスト形式、HTML を許可する
[次へ] を選択します。
省略可能: [スコープタグ] タブで、プロファイルをフィルター処理するスコープのタグを選択します。スコープのタグの詳細については、分散 IT のためのロールベースのアクセス制御(RBAC) とスコープのタグの使用に関するページをご覧ください。
[割り当て] タブで、構成するリモートセッションを提供するコンピューターを含むグループを選択し、[次へ] を選択します。
[確認 + 作成] タブで設定を確認し、[作成] を選択します。
リモートセッションを提供するコンピューターにポリシーが適用されたら、再起動して設定を有効にします。
サポートされているクライアントを使用してリモートセッションに接続し、異なる種類のコンテンツをコピーして貼り付けることで構成したクリップボード設定が機能していることをテストします。

Active Directory ドメイン内のグループポリシーを使用してクリップボードを構成するには、以下の手順に従います。

重要

このポリシー設定は、[コンピューターの構成] と [ユーザーの構成] のどちらにも表示されます。両方のポリシー設定が構成されている場合は、より厳密な制限が使用されます。

グループポリシー設定が利用できるのは、Windows 11 バージョン 23H2 以降だけです。環境に応じて、管理用テンプレートファイルの C:\Windows\PolicyDefinitions\terminalserver.admx および C:\Windows\PolicyDefinitions\en-US\terminalserver.adml をセッションホストからドメインコントローラー上の同じ場所またはグループポリシーセントラルストアにコピーする必要があります。別の言語を使用している場合は、terminalserver.adml 用のファイルパスで en-US を適切な言語コードに置き換えます。
グループポリシーの管理に使用するデバイスで、グループポリシー管理コンソール (GPMC) を開き、セッションホストをターゲットにするポリシーを作成または編集します。
次のいずれかのポリシーセクションに移動します。ターゲットとするセッションホストに [コンピューターの構成] のポリシーセクションを使用し、ターゲットとする特定のユーザーには、適用する [ユーザー構成] のポリシーセクションを使用します。
- マシン: Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection
- ユーザー: User Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Device and Resource Redirection
セッションホスト (サーバー) からクライアント、またはクライアントからセッションホストのどちらにクリップボードを構成するかに応じて、次のいずれかのポリシーセットを開きます。
- セッションホストからクライアントにクリップボードを構成するには、ポリシー設定 [サーバーからクライアントへのクリップボードの転送を制限する] を開き、[有効] を選択します。次のオプションを選択します。
  - サーバーからクライアントへのクリップボードの転送を無効にする
  - プレーンテキストを許可する
  - プレーンテキストと画像を許可する
  - プレーンテキスト、画像、リッチテキスト形式を許可する
  - プレーンテキスト、画像、リッチテキスト形式、HTML を許可する
- クライアントからセッションホストにクリップボードを構成するには、ポリシー設定 [クライアントからサーバーへのクリップボードの転送を制限する] を開き、[有効] を選択します。次のオプションを選択します。
  - クライアントからサーバーへのクリップボードの転送を無効にする。
  - プレーンテキストを許可する
  - プレーンテキストと画像を許可する
  - プレーンテキスト、画像、リッチテキスト形式を許可する
  - プレーンテキスト、画像、リッチテキスト形式、HTML を許可する
[OK] を選択して変更を保存します。
設定の構成が完了したら、ポリシーがセッションホストに適用されていることを確認した後、設定が有効になるようにセッションホスト上のグループポリシーを更新してセッションホストを再起動します
サポートされているクライアントを使用してリモートセッションに接続し、異なる種類のコンテンツをコピーして貼り付けることで構成したクリップボード設定が機能していることをテストします。

セッションホスト上のレジストリを使用してクリップボードを構成するには、次の手順に従います。

[スタート] メニューから、または regedit.exe を実行して、レジストリエディターを開きます。

セッションホストからクライアント、またはクライアントからセッションホストのどちらにクリップボードを構成するかに応じて、次のいずれかのレジストリキーとその値を設定します。

セッションホストからクライアントにクリップボードを構成するには、次のいずれかのレジストリキーとその値を設定します。コンピューターの値を使用すると、すべてのユーザーに適用され、ユーザーの値を使用すると、現在のユーザーにのみ適用されます。

キー:
- マシン: HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services
- ユーザー: HKCU\Software\Policies\Microsoft\Windows NT\Terminal Services
型: REG_DWORD
値の名前: SCClipLevel

値データ: 次の表の値を入力します。

値のデータ	説明
`0`	セッションホストからクライアントへのクリップボード転送を無効にします。
`1`	プレーンテキストを許可します。
`2`	プレーンテキストと画像を許可する
`3`	プレーンテキスト、画像、リッチテキスト形式を許可する
`4`	プレーンテキスト、画像、リッチテキスト形式、HTML を許可します。

クライアントからセッションホストにクリップボーをド構成するには、次のいずれかのレジストリキーとその値を設定します。コンピューターの値を使用すると、すべてのユーザーに適用され、ユーザーの値を使用すると、現在のユーザーにのみ適用されます。

キー:
- マシン: HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services
- ユーザー: HKCU\Software\Policies\Microsoft\Windows NT\Terminal Services
型: REG_DWORD
値の名前: CSClipLevel

値データ: 次の表の値を入力します。

値のデータ	説明
`0`	クライアントからセッションホストへのクリップボードの転送を無効にします。
`1`	プレーンテキストを許可します。
`2`	プレーンテキストと画像を許可する
`3`	プレーンテキスト、画像、リッチテキスト形式を許可する
`4`	プレーンテキスト、画像、リッチテキスト形式、HTML を許可します。

セッションホストを再起動します。
サポートされているクライアントを使用してリモートセッションに接続し、異なる種類のコンテンツをコピーして貼り付けることで構成したクリップボード設定が機能していることをテストします。

透かしを構成する。
画面キャプチャの保護を構成する。
セキュリティのベストプラクティスで Azure Virtual Desktop デプロイをセキュリティで保護する方法について説明します。

次の方法で共有

クリップボード転送の方向と Azure Virtual Desktop 内でコピーできるデータの種類を構成する

前提条件

クリップボードの転送方向を構成する

フィードバック

その他のリソース

次の方法で共有

クリップボード転送の方向と Azure Virtual Desktop 内でコピーできるデータの種類を構成する

前提条件

クリップボードの転送方向を構成する

関連するコンテンツ

フィードバック

その他のリソース