本記事はマイクロソフト社員によって公開されております。
こんにちは。 Windows Commercial Support User Exprerience チームです。
RDP ログオンに関わる基礎的な情報を本ページでご紹介いたします。
1. ログオン ユーザーの指定について
ログオン ユーザーの指定の仕方につきましては、基本的には以下の 4 通りがあります。
1 | <ユーザー名> |
ユーザー名だけ指定してうまくログオンができない場合は、上述の 3, 4 のようにドメイン名等を明示的に指定してログオンを試してください。
2. NLA について
NLA (Network Level Authentication) が無効な場合、接続先に RDP プロトコルで接続してから、接続先のログオン画面が表示されて認証を行います。
NLA が有効な場合 (既定)、接続先と RDP プロトコルで接続する前に認証を行います。認証ポップアップが表示され、認証が行われた後に接続先の画面が表示されます。
NLA が有効な場合の方がセキュリティとしては強度が強いです。しかしながらログオン時にパスワードが期限切れの場合、認証ポップアップではパスワードの変更ができません。
一方、NLA が無効の場合、認証前に接続先の画面が表示されるため、旧パスワードの入力ののち、新パスワードの入力ができ、有効期限切れでもパスワードの変更が可能というメリットが存在します。
本 Blog 執筆時点 (2023 年 6 月) でサポートされる OS では、NLA は既定で有効、かつ強制される設定となっております。切り分けやパスワード切れでもパスワード変更可能にしたいなど、NLA を無効にしたい場合など詳細は以下の弊社フォーラム記事をご参照ください。
https://social.technet.microsoft.com/Forums/office/ja-JP/63eabd55-bbbd-48f4-af88-f5253adf97da/windows-server-2012-r2-201972106912392-windows-server-2016-12398-nla?forum=Wcsupportja
3. RDP が使用する証明書について
NLA を使用する場合 SSL/TLS が前提となりますが、通常の RDP 環境では 6か月の自己署名証明書が使用されます。
この証明書の有効期間が 30 日を切ると自己署名証明書の更新を行います。この更新は Remote Desktop Configuration サービスが CNG Key Isolation サービスを使用して証明書を発行いたします。このため、これらのサービスが無効の場合証明書の期限が切れると RDP 接続ができなくなります。この場合でも NLA を無効にした場合は RDP 接続が可能になります。
4.「ログオンできるワークステーション」の制限と NLA
ドメイン ユーザーの設定で「ログオンできるワークステーション」でログオン可能なマシンを制限している場合、NLA が有効になると、接続元のマシンに対してもそのドメイン ユーザーのログオン許可がないと接続できません。
- [Active Directory ユーザーとコンピューター]
- [<ユーザー名>のプロパティ]
- [アカウント] タブ
- [ログオン先] ボタン
- [次のコンピューター] を指定している場合
- [ログオン先] ボタン
- [アカウント] タブ
- [<ユーザー名>のプロパティ]
5. シングル サインオン (SSO) での RDP 接続
ログオン ユーザーの資格情報を利用した、SSO での RDP 接続は、以下のグループ ポリシーの設定を利用することができます。
- [コンピューターの構成]
- [ポリシー]
- [管理用テンプレート]
- [システム]
- [資格情報の委任]
- [システム]
- [管理用テンプレート]
- [ポリシー]
1 | "既定の資格情報の委任を許可する" |
注意事項:
本グループ ポリシーは、ドメイン環境を前提としており、ローカル ユーザーでの SSO では利用できません。