はじめに
Microsoft Entra Join(旧:Azure AD Join) を実施した "参加済み" Windows デバイス へ テナントのアカウントを使って RDP 接続 を行うための方法です。
以下の点について修正が必要です。
- デバイス側 の RDP設定で、NLAを無効化
- デバイス側 の RDP許可ユーザーに "テナントユーザー" または "Authenticated Users" を追加する
- 接続元 PC の ".rdp" ファイルの編集 (enablecredsspsupport:i:0 の行を追加)
この記事では、デバイスを テナントへ "Microsoft Entra Join" された事を "参加済み" と呼んでいます。
まだ、"参加済み" のデバイスが無い場合は、先に 以下の手順を参照して、"参加" を行ってください。
1. "参加済み" デバイス側の設定
- "参加済み" デバイスへ ローカル管理者アカウントでサインインします。
- 「スタートボタン」-「設定」を押します。
- 左ペインで「システム」を選び、下までスクロールして「リモートデスクトップ」を見つけて選択します。
- 「コンピューターの接続にネットワークレベル認証の使用を求める」のチェックを OFF にします。
- 「ネットワークレベル認証を使用しない接続を許可しますか?」と聞かれるため「このまま続行」を押します。
- 「リモートデスクトップ ユーザー」を押します。
- 以下の画面で「追加」を押します。
- 「選択するオブジェクト名を入力してください」の欄に、"Authenticated Users" と入力して「名前の選択」を押します。赤下線のような表示になったら、「OK」を押します。
- 一覧に 追加したユーザーが表示されている事を確認して「OK」を押します。
- 「スタート」-「電源」-「再起動」を押して、PC を再起動します。
2. RDPクライアント側の設定
- RDP 接続 に使っていた ".rdp" ファイルを右クリックして、「メモ帳」で開きます。
- 以下のように "enablecredsspsupport:i:0" の行を追加して、上書き保存します。
"参加済み" デバイスに RDP 接続 するためには、必ず この方法で作成した ".rdp" ファイルを使ってください。
3. RDP 接続
- 前章で保存した ".rdp" をダブルクリックして RDP 接続 を開始します。
- ユーザーアカウント欄には、緑下線("azuread¥") を入力して、続けて 橙下線(テナントのアカウント名) と 青下線(パスワード) を入力して、赤枠( → ボタン) を押します。
- サインイン後に「職場または学校にアクセスする」を表示した状態です。
以上で、"参加済み" デバイス への RDP 接続 が完了しました。
4. トラブル対応
私の環境では、以下のエラーが出て、RDP接続できない場合がありました。
これ、どこにも情報が無くて、相当ハマりました。
認証が有効になっていないため接続を続行できません。リモート コンピューターに接続するときには、認証を有効にする必要があります。
このエラーが出たときの回避策を発見しました。
- .rdp ファイルを右クリックして「編集」を開きます。
- 以下の設定を「認証が失敗した場合は警告する」に変更します。
※「認証を試行しない」になっているとダメなようです。
