Windows 365 の ID と認証

  • [アーティクル]

クラウド PC ユーザーの ID は、そのユーザーとクラウド PC を管理するアクセス管理サービスを定義します。 この ID では次のものが定義されます:

  • ユーザーがアクセスできるクラウド PC の種類。
  • ユーザーがアクセスできるクラウド以外の PC リソースの種類。

デバイスは、Microsoft Entra ID への参加の種類によって決定される ID を持つことができます。 デバイスの場合、参加の種類により次が定義されます:

  • デバイスがドメイン コントローラーへの見通し線を必要とする場合。
  • デバイスの管理方法。
  • ユーザーがデバイスを認証する方法。

ID の種類

ID の種類は 4 つあります。

  • ハイブリッド ID: オンプレミスの Active Directory Domain Services で作成された後、Microsoft Entra ID に同期されるユーザーまたはデバイス。
  • クラウド専用 ID: 作成され、Microsoft Entra ID にのみ存在するユーザーまたはデバイス。
  • フェデレーション ID: サード パーティの ID プロバイダーで作成され、Microsoft Entra ID または Active Directory Domain Services 以外で作成されたユーザーは、Microsoft Entra ID とフェデレーションされます。
  • 外部 ID: Microsoft Entra テナントの外部で作成および管理されているが、組織のリソースにアクセスするために Microsoft Entra テナントに招待されているユーザー。

注:

  • Windows 365 では、 シングル サインオン が有効になっている場合にフェデレーション ID がサポートされます。
  • Windows 365 では、外部 ID はサポートされていません。

デバイス参加の種類

クラウド PC のプロビジョニングをするときに選択できる参加の種類は 2 つあります。

次の表は、選択した結合の種類に基づく主な機能または要件を示しています。

機能または要件 Microsoft Entra ハイブリッド参加 Microsoft Entra join
Azure サブスクリプション 必須 省略可能
ドメイン コントローラーへの見通し線がある Azure Virtual Network 必須 省略可能
ログインでサポートされているユーザー ID の種類 ハイブリッド ユーザーのみ ハイブリッド ユーザーまたはクラウド専用ユーザー
ポリシー管理 グループ ポリシー オブジェクト (GPO) または Intune MDM Intune MDM のみ
Windows Hello for Business サインインがサポートされています はい。接続するデバイスには、ダイレクト ネットワークまたは VPN を介してドメイン コントローラーへの見通し線があることが必要です はい

認証

ユーザーがクラウド PC にアクセスすると、次の 3 つの個別の認証フェーズがあります。

  • クラウド サービス認証: リソースのサブスクライブとゲートウェイへの認証を含む Windows 365 サービスへの認証は、Microsoft Entra ID を使用します。
  • リモート セッション認証: クラウド PC への認証。 推奨されるシングル サインオン (SSO) など、リモート セッションに対して認証する方法は複数あります。
  • セッション内認証: クラウド PC 内のアプリケーションと Web サイトに対する認証。

認証フェーズごとに異なるクライアントで使用できる資格情報の一覧については、 プラットフォーム間でクライアントを比較します

重要

認証を正常に機能させるには、ユーザーのローカル コンピューターが Azure Virtual Desktop の必須 URL リストの [リモート デスクトップ クライアント] セクションにある URL にアクセスできる必要があります。

Windows 365 では、シングル サインオン (Windows 365 サービス認証とクラウド PC 認証の両方を満たすことができる単一の認証プロンプトとして定義) がサービスの一部として提供されます。 詳細については、「 シングル サインオン」を参照してください。

次のセクションでは、これらの認証フェーズの詳細について説明します。

クラウド サービス認証

ユーザーは、次の場合に Windows 365 サービスで認証する必要があります:

Windows 365 サービスにアクセスするには、まず Microsoft Entra ID アカウントでサインインしてサービスに対する認証を行う必要があります。

多要素認証

条件付きアクセス ポリシーを設定する」 の手順に従って、クラウド PC に Microsoft Entra 多要素認証を適用する方法について説明します。 この記事では、ユーザーに資格情報の入力を求める頻度を構成する方法についても説明します。

パスワードレス認証

ユーザーは、 Windows Hello for Business や他の パスワードレス認証オプション (FIDO キーなど) など、Microsoft Entra ID でサポートされている任意の認証の種類を使用して、サービスに対する認証を行うことができます。

スマート カード認証

スマート カードを使用して Microsoft Entra ID に対する認証を行うには、まず Microsoft Entra 証明書ベースの認証を構成 するか、 ユーザー証明書認証用に AD FS を構成する必要があります。

サード パーティ ID プロバイダー

サード パーティの ID プロバイダーは、 Microsoft Entra ID とフェデレーションする限り使用できます。

リモート セッション認証

シングル サインオンをまだ有効にしていない場合、ユーザーが資格情報をローカルに保存していない場合は、接続を起動するときにクラウド PC に対する認証も必要です。

シングル サインオン (SSO)

シングル サインオン (SSO) を使用すると、接続で Cloud PC 資格情報プロンプトをスキップし、Microsoft Entra 認証を介してユーザーを Windows に自動的にサインインできます。 Microsoft Entra 認証には、パスワードレス認証やサードパーティ ID プロバイダーのサポートなど、その他の利点があります。 開始するには、 シングル サインオンを構成する手順を確認します。

SSO を使用しない場合、クライアントは、すべての接続に対してクラウド PC 資格情報の入力をユーザーに求めます。 メッセージが表示されないようにする唯一の方法は、クライアントに資格情報を保存することです。 セキュリティで保護されたデバイスにのみ資格情報を保存して、他のユーザーがリソースにアクセスできないようにすることをお勧めします。

セッション内認証

クラウド PC に接続すると、セッション内で認証を求められる場合があります。 このセクションでは、このシナリオでユーザー名とパスワード以外の資格情報を使用する方法について説明します。

セッション内パスワードレス認証

Windows 365 では、 Windows Hello for Business を使用したセッション内パスワードレス認証や 、Windows デスクトップ クライアントを使用する場合の FIDO キーなどのセキュリティ デバイスがサポートされています。 クラウド PC とローカル PC が次のオペレーティング システムを使用している場合、パスワードレス認証は自動的に有効になります。

有効にすると、セッション内のすべての WebAuthn 要求がローカル PC にリダイレクトされます。 Windows Hello for Business またはローカルに接続されたセキュリティ デバイスを使用して、認証プロセスを完了できます。

Windows Hello for Business またはセキュリティ デバイスを使用して Microsoft Entra リソースにアクセスするには、ユーザーの認証方法として FIDO2 セキュリティ キーを有効にする必要があります。 この方法を有効にするには、「 FIDO2 セキュリティ キーメソッドを有効にする」の手順に従います。

セッション内スマート カード認証

セッションでスマート カードを使用するには、クラウド PC にスマート カード ドライバーをインストールし、クラウド PC の RDP デバイス リダイレクトの管理の一環としてスマート カード リダイレクトを許可していることを確認します。 クライアントの比較グラフを確認して、クライアントがスマート カード リダイレクトをサポートしていることを確認します。

次の手順

クラウド PC のライフサイクルについて学習する