2016/06/29

Azure AD アカウントでリモート デスクトップ接続する、Azure AD アカウントをローカル グループに追加する

Windows 10 Pro/Enterprise/Education は、Azure Active Directory (Azure AD) 参加でセットアップし、Azure AD の組織アカウントでサインインするように構成できます。

先日、Azure AD 参加でセットアップした PC にリモート デスクトップ接続しようとしたところ、できない。

ちなみに、Microsoft アカウントでサインインするようにセットアップした PC の場合、Microsoft アカウントの ID (メールアドレス) とパスワードを入力すれば接続できます。同じようなことが、Azure AD の組織アカウントだとできない。

解決策を以下に見つけました! なお、この方法だとネットワーク レベル認証 (NLA) が使えないので、リモート デスクトップ接続の認証セキュリティは低下しますので、どうしてもやりたければ、プライベートなネットワーク内でのみ使うこと。


参考:
Connecting to an Azure AD joined machine with an Azure AD user account over Remote Desktop
[URL] http://morgansimonsen.com/2015/11/06/connecting-to-an-azure-ad-joined-machine-with-remote-desktop/
How do I add Azure Active Directory User to Local Administrators Group
[URL] http://superuser.com/questions/982336/how-do-i-add-azure-active-directory-user-to-local-administrators-group

簡単に説明すると...

接続される側の PC (Azure AD 参加の PC) のリモート デスクトップ接続の設定で、「ネットワーク レベル認証でリモート デスクトップを実行しているコンピューターからのみ接続を許可する(推奨)」をオフにします。Azure AD 参加をセットアップした Azure AD アカウントは Administrators ローカル グループに追加されているので (AzureAD\ユーザー名の形式)、接続される側の PC  での作業はこれでおしまい。

Administrators ローカル グループに追加されていない組織アカウントの扱いについては後程。

「リモート デスクトップ接続クライアント」(Mstsc.exe)を開き、接続先のコンピューター名と Azure AD の組織アカウントのメールアドレスを入力したら、「オプションの表示」「名前を付けて保存」をクリックして、接続設定を RDP ファイルに保存します。

保存した RDP ファイルをメモ帳で開き、「enablecredsspsupport:i:0」と「authentication level:i:2」が含まれるようにします。「authentication level:i:2」がは既定で存在すると思うので、その行の上に「enablecredsspsupport:i:0」を追加すればよいかと。

RDP ファイルをダブルクリックして接続を開始すると、Windows のサインイン画面が表示されるので (NLA や CredSSP は使われないので)、パスワードを入力してサインインします。

接続に使用する Azure AD の組織アカウントが Administrators ローカル グループのメンバーでない場合は、次の方法でメンバーとして追加します。

問題の(一般ユーザーの)  Azure AD の組織アカウントで Windows 10 に一度、サインインして、サインアウトします。

管理者アカウント (ローカル アカウントまたは Azure AD 参加をセットアップした組織アカウント) でサインインします。

単純に、「コンピューターの管理」を開いて、Administrators グループに組織アカウントを追加しようとしてもはじかれます。


あその代わりに、コマンドプロンプトを管理者として開き、次のように実行します。

net localgroup administrators AzureAD\ユーザー名 /add

管理者権限を与えたくなければ、Remote Desktop Users グループに追加することで、リモート デスクトップ接続を許可できます。

net localgroup "Remote Desktop Users" AzureAD\ユーザー名 /add

以上

2016/09/22 追記) 
Windows 10 バージョン 1607 からは、Azure AD 参加 PC の RDP 接続に正式対応したようです。

Connect to remote Azure Active Directory-joined PC
[URL] https://technet.microsoft.com/en-us/itpro/windows/manage/connect-to-remote-aadj-pc

0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。