1 Azure AD で Windows 仮想マシンへログイン RDP 接続する場合 2 概要 Azure AD のお作法的なものに慣れていないこともあって、少し手間取ったのでメモ。 設定 接続 その他 3 設定 4 仮想マシン側の設定 機能の追加 VM 作成時に「管理」タブで「Azure AD でログインする」を選択することで各種設定が行われる。後からでも変更できるが、Azure CLI 等が必要なもよう(2021-06 時点)。 5 ロールの割り当て 作成後、RDP 接続に使いたいユーザーへ「仮想マシンのユーザーログイン」か「仮想マシンの管理者ログイン」ロールを割り当てる。 6 クライアント PC 側の設定 RDP で Azure AD の資格情報を使う場合、クライアント側にも追加の設定が必要となるが、時期や Windows のバージョン、オンプレミスの AD に参加しているか等で必要な要件が異なる。 Windows 10 Pro 以上でオンプレミスの AD がなければクライアント PC を Azure AD のデバイスへ「参加」させるのが簡単。Windows 10 Home でも 20H1 以降であれば、デバイスへ「登録」で RDP 接続ができるようになる。 参考: Azure Active Directory を使用して Azure 内の Windows 仮想マシンにサインインする | Microsoft Docs 7 Windows 10 Home を Azure AD へ登録する デバイスの「参加」はネット上に情報が多いので、Home(20H2)を「登録」した場合の操作。 「設定」「アカウント」「職場または学校にアクセスする」から「接続」を選択 「このデバイスを Azure Active Directory へ参加させる」は表示されないが、メールアドレスに Azure の ID を入力して進める サインインするだけでとくに確認事項はなく終了する 8 登録が完了すると以下のような画面が表示される。 Azure portal で確認すると「registered」となる。 9 接続と切断 10 RDP 接続する 資格情報 「登録」したデバイスから接続を開始し、資格情報を入力するときにAzureAD\ を付加する。 11 リモートコンピューターの ID Kerberos 認証にはなっていないので、おなじみの警告が出る(「参加」したデバイスからでも同様)。 12 接続完了 13 切断 通常の RDP と同じ(スタートメニューなどから切断する) RDS のような外部からの切断や挙動の指定はできないもよう 「My Account」「セキュリティ情報」から「すべてサインアウトしてください」を選択してもサインアウトされない 14 その他 15 課題 継続して利用する場合、以下の点は不便なので回避したい。 「電話によるサインイン」を有効にしているユーザーでもパスワードを求められる 条件付きアクセスで回避できる可能性はあるが未検証 接続時にリモートコンピューター(仮想マシン)の ID 確認が必要 Azure AD の設定で回避できないか? 利用できるクライアント環境が限定される 管理されたデバイスに限定されるのは良いのだが、できれば Android の Remote Desktop も使いたい