はじめに
リモートデスクトップ接続を行っているときに、リモートホスト側が画面ロックすることがあります。
以下のような状態です。
通常であれば、パスワード欄 にパスワードを入力すれば、ロック解除 することができます。
完全パスワードレスな運用 での課題
ところが、FIDO2 を使った 完全パスワードレスな環境を構成していた場合は、利用者は パスワードを持っていないため、この画面で ロックを解除することができません。
完全パスワードレスな運用 とは?
私が以下の記事で紹介していますが、ユーザーは アカウントのパスワード を持たずに FIDO2 セキュリティーキーのみを所持して Windows へのログオン 運用をさせることが可能です。
オンプレドメインの 初回ログオンから 完全パスワードレスの運用 (物理 PC 対応版)
https://qiita.com/carol0226/items/bb985634fde0a5445310
パスワードレスな RDP 接続 とは?
上記のような 完全パスワードレスな運用 を行っている際に、冒頭で説明した リモートホスト側 で 画面ロック が発生した状態が、本記事で説明している事象となります。
そもそも パスワードレス で、RDP 接続 なんて出来るの? と思われた方は、以下の私の記事を参照ください。
このような方法を使うことで、RDP 接続 も含めて 完全パスワードレスな運用が実現できるのです。
[WHfB / FIDO2] RDP で SSO を実現! Remote Credential Guard とは?
https://qiita.com/carol0226/items/7ea3fe17a6327e18eb0a
パスワードレス & RDP で ドメインログオンする (Webauthn)
https://qiita.com/carol0226/items/6bfbc94a0625d5755329
暫定対処
完全パスワードレス運用で、リモートホスト側が 画面ロック してしまった場合は、一度 RDP を切断してから、再接続 を行う必要があります。
一応これで 業務を継続することはできるので、困ることはありませんが、ちょっとスマートではないし、利用者にやさしくないですね。
推奨策
今回紹介する方法を使うと、より 自然な形で 利用者が再接続を試みるための導線を与えることが可能になります。
後述するポリシー を活用することで、リモートホストが ロック した場合に、以下のような メッセージが表示されるため、利用者が状況を把握しやすくなります。
メッセージ:セッションがロックされていたため、切断されました。リモートコンピューターに接続してください。
OK ボタンを押したあとに 自動切断されるため、利用者は 再接続 を行うだけで スムーズに RDP の再接続によって リモートホスト の操作を継続させることが可能になります。
対象となるポリシー
以下のポリシーを有効化することで、対応することができます。
ポリシーを適用するのは、RDP ホスト側です。
RDP ホストが ドメインに参加していれば GPO で適用するのが良いと思います。
ポリシーは、RDP の接続元が ① Hybrid Join デバイス なのか、② Entra Join デバイス なのかで2種類あります。
社内に、Hybrid Join と Entra Join のクライアントが混在していることもあると思いますので、① と ② の両方を設定してしまって構いません。
RDP ホストが ドメインに参加している場合
GPO または ローカルグループポリシー で設定できます。
① Hybrid Join デバイス からの接続に対応 (RDP ホスト側にポリシー適用)
[コンピューターの構成]-[管理用テンプレート]-[Windows コンポーネント]-[リモートデスクトップセッションホスト]-[セキュリティ]
レガシ認証のロック時にリモートセッションを切断する
GPO のヘルプ欄の内容を見るには ココ をクリック
このポリシー設定を使用すると、リモート デスクトップ セッションがユーザーまたはポリシーによってロックされたときのユーザー エクスペリエンスを構成できます。リモート セッションがロックされたときに、リモート ロック画面を表示するか、または切断するかを指定できます。リモート セッションを切断すると、リモート セッションをロック画面のまま放置したり、ネットワーク接続が失われたことにより自動的に再接続したりすることがなくなります。このポリシーは、リモート PC への認証にレガシ認証を使用する場合にのみ適用されます。レガシ認証は、ユーザー名とパスワード、またはスマートカードなどの証明書に制限されています。レガシ認証は、Microsoft Entra ID などの Microsoft ID プラットフォームを利用しません。レガシ認証には、NTLM、CredSSP、RDSTLS、TLS、RDP 基本認証プロトコルが含まれます。
このポリシー設定を有効にした場合、レガシ認証を使用したリモート デスクトップ接続では、リモート セッションがロックされるとリモート セッションが切断されます。ユーザーは準備ができたら再接続し、メッセージが表示されたら資格情報を再入力できます。
このポリシー設定を無効にしたか構成しなかった場合、レガシ認証を使用したリモート デスクトップ接続では、リモート セッションがロックされるとリモート ロック画面が表示されます。ユーザーは、ユーザー名とパスワード、または証明書を使用してリモート セッションのロックを解除できます。
② Entra Join デバイス からの接続に対応 (RDP ホスト側にポリシー適用)
[コンピューターの構成]-[管理用テンプレート]-[Windows コンポーネント]-[リモートデスクトップセッションホスト]-[セキュリティ]
Microsoft ID プラットフォーム認証のロック時にリモートセッションを切断する
GPO のヘルプ欄の内容を見るには ココ をクリック
このポリシー設定を使用すると、リモート デスクトップ セッションがユーザーまたはポリシーによってロックされている場合のユーザー エクスペリエンスを構成できます。リモート セッションがロックされているときにリモート ロック画面を表示するか、または切断するかを指定できます。リモート セッションを切断すると、リモート セッションがロック画面に残らないようにし、ネットワーク接続が失われたことが原因で自動的に再接続できなくなります。このポリシーは、リモート PC への認証にMicrosoft Entra IDなどのMicrosoft ID プラットフォームを使用する ID プロバイダーを使用する場合にのみ適用されます。NTLM、CredSSP、RDSTLS、TLS、RDP 基本認証プロトコルを含むレガシ認証を使用する場合、このポリシーは適用されません。
このポリシー設定を有効にするか、未構成にした場合、Microsoft ID プラットフォームを使用したリモート デスクトップ接続は、リモート セッションがロックされたときにリモート セッションを切断します。ユーザーは準備ができたら再接続でき、パスワードレス認証を使用できます (構成されている場合)。
このポリシー設定を無効にすると、Microsoft ID プラットフォームを使用したリモート デスクトップ接続は、リモート セッションがロックされたときにリモート ロック画面を表示します。ユーザーは、ユーザー名とパスワード、または証明書を使用してリモート セッションのロックを解除できます。
RDP ホストが Intune に登録されている場合
RDP のホスト側ってことは、ドメインのメンバーサーバーであることが殆どですね。
そのため、Intune に登録されているかどうか微妙ですが、Intune で展開するための ポリシー CSP は、以下で公開されています。
① Hybrid Join デバイス からの接続に対応
公開情報:DisconnectOnLockLegacyAuthn
https://learn.microsoft.com/ja-jp/windows/client-management/mdm/policy-csp-remotedesktopservices?wt.mc_id=MVP_407731#disconnectonlocklegacyauthn
② Entra Join からの接続に対応
公開情報:DisconnectOnLockMicrosoftIdentityAuthn
https://learn.microsoft.com/ja-jp/windows/client-management/mdm/policy-csp-remotedesktopservices?wt.mc_id=MVP_407731#disconnectonlockmicrosoftidentityauthn
前提条件
この機能を利用するためには、リモートホスト側 が 以下のバージョンである必要があります。
なお、GPO の GUI で示されている表示と、CSP の 公開情報 で示されているバージョンに差異があり、どちらが正しいのか、私もまだ 突き止めきれていませんので、本機能を採用する際には ご注意ください。
GPO:GUI 画面 の記載
CSP:公開情報の記載
私は、Windows Server 2022 22H2 の GPO で検証して、問題なく機能することを確認済みです。
動作確認方法
ポリシーを有効にすれば、対処としては 完了です。
しかし、本機能を検証しようとしても、リモートホストのロックが掛かるのを待つ必要があります。
そのため、意図的に この状況を作り出す手順を考えました。
リモートホストのロック 再現方法
ソフトウェアキーボード起動させ、[Windows] と [L] を順に押します。
すると、以下の状態を作り出せます。
対象のポリシーを適用後に 再度 リモートホストのロック を行った場合に、以下の画面になることを確認できれば OK です。
OK を押してから、再度 RDP 接続を開始して、元のリモートセッションに戻ってください。