Microsoft Entra 認証を使用して Windows 365 Business のシングル サインオンを構成する
この記事では、Microsoft Entra 認証を使用して Windows 365 のシングル サインオン (SSO) を構成するプロセスについて説明します。 SSO を有効にすると、ユーザーはパスワードレス認証と、Microsoft Entra ID とフェデレーションするサードパーティ ID プロバイダーを使用してクラウド PC にサインインできます。 この機能を有効にすると、クラウド PC への認証時と、Microsoft Entra ID ベースのアプリと Web サイトにアクセスするときのセッション内の両方で SSO エクスペリエンスが提供されます。
Microsoft Entra ID 認証を使用して SSO を有効にするには、次の 4 つのタスクを実行する必要があります。
ターゲット デバイス グループを構成します。
条件付きアクセス ポリシーを確認します。
SSO を有効にするように組織の設定を構成します。
SSO を有効にする前に
SSO を有効にする前に、環境内で使用するための次の情報を確認してください。
セッションがロックされている場合の切断
SSO が有効になっている場合、ユーザーは Microsoft Entra ID 認証トークンを使用して Windows にサインインします。これにより、Windows へのパスワードレス認証がサポートされます。 リモート セッションの Windows ロック画面では、MICROSOFT Entra ID 認証トークンや、FIDO キーなどのパスワードレス認証方法はサポートされていません。 セッションがロックされているときにリモート ロック画面を表示する前の動作の代わりに、セッションが切断され、ユーザーに通知されます。 セッションを切断すると、次のことが保証されます。
- ユーザーはシングル サインオン エクスペリエンスの恩恵を受け、許可されている場合は認証プロンプトなしで再接続できます。
- ユーザーは、FIDO キーなどのパスワードレス認証を使用してセッションにサインインし直すことができます。
- 多要素認証やサインイン頻度を含む条件付きアクセス ポリシーは、ユーザーがセッションに再接続したときに再評価されます。
前提条件
SSO を有効にする前に、次の前提条件を満たす必要があります。
Microsoft Entra テナントを構成するには、次のいずれかの Microsoft Entra 組み込みロールを割り当てる必要があります。
クラウド PC は、関連する累積的な更新プログラムがインストールされた次のいずれかのオペレーティング システムを実行している必要があります。
- Windows 11 ( KB5018418) 以降の 2022-10 累積的な更新プログラムがインストールされている Windows 11 Enterprise。
- Windows 10 Enterprise 2022-10 累積的な更新プログラム (KB5018410) 以降がインストールされています。
Microsoft Graph PowerShell SDK バージョン 2.9.0 以降をローカル デバイスまたは Azure Cloud Shell にインストールします。
RDP の Microsoft Entra 認証を有効にする
まず、Microsoft Entra テナントで Windows の Microsoft Entra 認証を許可する必要があります。これにより、ユーザーがクラウド PC にサインインできるようにする RDP アクセス トークンを発行できます。 この変更は、次の Microsoft Entra アプリケーションのサービス プリンシパルで行う必要があります。
| Application Name | アプリケーション ID |
|---|---|
| Microsoft リモート デスクトップ | a4a365df-50f1-4397-bc59-1a1564b8bb9c |
| Windows クラウド ログイン | 270efc09-cd0d-444b-a71f-39af4910ec45 |
重要
今後の変更の一環として、2024 年から Microsoft リモート デスクトップから Windows クラウド ログインに移行します。 両方のアプリケーションを構成すると、変更の準備が整うようになりました。
Entra 認証を許可するには、 Microsoft Graph PowerShell SDK を使用して、サービス プリンシパルに新しい remoteDesktopSecurityConfiguration オブジェクト を作成し、プロパティ isRemoteDesktopProtocolEnabled を true に設定します。 グラフ エクスプローラーなどのツールで Microsoft Graph API を使用することもできます。
PowerShell を使用して変更を行うには、次の手順に従います。
PowerShell ターミナルの種類を使用して Azure portal で Azure Cloud Shell を起動するか、ローカル デバイスで PowerShell を実行します。
Cloud Shell を使用している場合は、Azure コンテキストが使用するサブスクリプションに設定されていることを確認します。
PowerShell をローカルで使用している場合は、まず Azure PowerShell でサインインしてから、使用するサブスクリプションに Azure コンテキストが設定されていることを確認します。
前提条件から Microsoft Graph PowerShell SDK がインストールされていることを確認 します。 次に、 認証 と アプリケーション Microsoft Graph モジュールをインポートし、次のコマンドを実行して、
Application.Read.AllスコープとApplication-RemoteDesktopConfig.ReadWrite.Allスコープを使用して Microsoft Graph に接続します。Import-Module Microsoft.Graph.Authentication Import-Module Microsoft.Graph.Applications Connect-MgGraph -Scopes "Application.Read.All","Application-RemoteDesktopConfig.ReadWrite.All"各サービス プリンシパルのオブジェクト ID を取得し、次のコマンドを実行して変数に格納します。
$MSRDspId = (Get-MgServicePrincipal -Filter "AppId eq 'a4a365df-50f1-4397-bc59-1a1564b8bb9c'").Id $WCLspId = (Get-MgServicePrincipal -Filter "AppId eq '270efc09-cd0d-444b-a71f-39af4910ec45'").Id次のコマンドを実行して、プロパティ
isRemoteDesktopProtocolEnabledをtrueに設定します。 これらのコマンドからの出力はありません。$params = @{ "@odata.type" = "#microsoft.graph.remoteDesktopSecurityConfiguration" isRemoteDesktopProtocolEnabled = $true } If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params } If ((Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId) -ne $true) { Update-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId -IsRemoteDesktopProtocolEnabled -BodyParameter $params }次のコマンドを実行して、プロパティ
isRemoteDesktopProtocolEnabledがtrueに設定されていることを確認します。Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $MSRDspId Get-MgServicePrincipalRemoteDesktopSecurityConfiguration -ServicePrincipalId $WCLspId出力は次のようになります。
Id IsRemoteDesktopProtocolEnabled -- ------------------------------ id True
ターゲット デバイス グループを構成する
RDP で Microsoft Entra 認証を有効にした後、ターゲット デバイス グループを構成する必要があります。 SSO を有効にすると、ユーザーは既定で Microsoft Entra ID に対する認証を求め、新しいクラウド PC への接続を起動するときにリモート デスクトップ接続を許可するように求められます。 Microsoft Entra は、もう一度メッセージを表示する前に、最大 15 ホストを 30 日間記憶しています。 リモート デスクトップ接続を許可するダイアログが表示された場合は、[ はい ] を選択して接続する必要があります。
このダイアログを非表示にするには、クラウド PC を含む Microsoft Entra ID に 1 つ以上のグループを作成し、前のセクションで使用した同じ Microsoft Remote Desktop アプリケーションと Windows Cloud Login アプリケーションのサービス プリンシパルにプロパティを設定する必要があります。
ヒント
動的グループを使用し、すべてのクラウド PC を含む動的メンバーシップ規則を構成することをお勧めします。 このグループではデバイス名を使用できますが、より安全なオプションの場合は、Microsoft Graph API を使用してデバイス拡張属性を設定して使用できます。 動的グループは通常、5 ~ 10 分以内に更新されますが、大規模なテナントには最大 24 時間かかることがあります。
動的グループには、Microsoft Entra ID P1 ライセンスまたは Intune for Education ライセンスが必要です。 詳細については、「 グループの動的メンバーシップ 規則」を参照してください。
サービス プリンシパルを構成するには、 Microsoft Graph PowerShell SDK を使用して、動的グループのオブジェクト ID と表示名を使用して、サービス プリンシパルに新しい targetDeviceGroup オブジェクトを作成します。 グラフ エクスプローラーなどのツールで Microsoft Graph API を使用することもできます。
ダイアログを非表示にするクラウド PC を含む動的グループを Microsoft Entra ID に作成します。 次の手順では、グループのオブジェクト ID を書き留めます。
同じ PowerShell セッションで、次のコマンドを実行して
targetDeviceGroupオブジェクトを作成し、<placeholders>を独自の値に置き換えます。$tdg = New-Object -TypeName Microsoft.Graph.PowerShell.Models.MicrosoftGraphTargetDeviceGroup $tdg.Id = "<Group object ID>" $tdg.DisplayName = "<Group display name>"次のコマンドを実行して、グループを
targetDeviceGroupオブジェクトに追加します。New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -BodyParameter $tdg New-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -BodyParameter $tdg出力は次のようになります。
Id DisplayName -- ----------- 12345678-abcd-1234-abcd-1234567890ab Contoso-Cloud-PCtargetDeviceGroupオブジェクトに追加するグループごとに手順 2 と 3 を繰り返します。最大 10 グループまでです。後で
targetDeviceGroupオブジェクトからデバイス グループを削除する必要がある場合は、次のコマンドを実行し、<placeholders>を独自の値に置き換えます。Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $MSRDspId -TargetDeviceGroupId "<Group object ID>" Remove-MgServicePrincipalRemoteDesktopSecurityConfigurationTargetDeviceGroup -ServicePrincipalId $WCLspId -TargetDeviceGroupId "<Group object ID>"
条件付きアクセス ポリシーを確認する
SSO を有効にすると、クラウド PC に対してユーザーを認証するための新しい Microsoft Entra ID アプリが導入されます。 Windows 365 にアクセスするときに適用される条件付きアクセス ポリシーがある場合は、推奨事項を確認して、Windows 365 の 条件付きアクセス ポリシーを設定 して、ユーザーが目的のエクスペリエンスを持っていることを確認し、環境をセキュリティで保護します。
アカウント内のすべてのクラウド PC の SSO を有効にする
- Windows 365 管理者ロールを持つアカウントで windows365.microsoft.com にサインインします。
- [ 組織のクラウド PC] を選択し、[組織の 設定の更新] を選択します。
- [クラウド PC 設定] の [シングル サインオン] オプションを選択します。