--- title: Windows Server へ RDP アクセスする際に Entra ID の MFA を利用する tags: #windows server #windows server 2025 #azure arc #mfa #entra id #microsoft azure author: [Kazuki Takai](https://docswell.com/user/takai) site: [Docswell](https://www.docswell.com/) thumbnail: https://bcdn.docswell.com/page/LJ3WP3ZDJ5.jpg?width=480 description: Windows Server & Cloud User Group Japan 第49回勉強会の資料です。 Azure Arc の Entra ID プラグインを利用して Windows Server 2025 を Entra ID Join することで Remote Desktop Protocol でアクセスする際に Entra ID の条件付きアクセス制御を適用して多要素認証を実施することができるようになりましたので、詳細についてデモを交えつつ解説します。 published: January 24, 26 canonical: https://docswell.com/s/takai/Z8NG49-RDP-access-with-MFA-using-Entra-ID-and-Azure-Arc-WS2025 --- # Page. 1 ![Page Image](https://bcdn.docswell.com/page/LJ3WP3ZDJ5.jpg) Windows Server へ RDP アクセスする際に Entra ID の MFA を利用する SCUGJ (wSCUGJ) 勉強会 #49 2026-01-24 Kazuki Takai Windows Server & Cloud User Group Japan # Page. 2 ![Page Image](https://bcdn.docswell.com/page/8JDKL4R2EG.jpg) 自己紹介 • たかい (Kazuki Takai) // X(旧 Twitter)@zhuky7 • 会社員 (某ISP勤務) • サービス基盤開発、技術調査・技術開発、ライセンス関連 • wSCUGJ (Windows Server & System Center User Group Japan) • Active Directory 勉強会 • 興味分野:統合管理、ID、自動化、セキュリティ、監視・運用 • Microsoft MVP - Cloud and Datacenter Management / Microsoft Azure • @IT:Windows Server 2025 連載 # Page. 3 ![Page Image](https://bcdn.docswell.com/page/VEPK2MWL78.jpg) 注意点 • 本セッションではクラウドサービスの機能について取り扱います • 機能や動作仕様については変更となる可能性があります • 最新の仕様、動作、状況は Microsoft Learn のドキュメントや Microsoft の Blog、Tech Community などをご確認ください • 本資料では、表記を「ログイン」に統一しています • 正確には「ログオン」と表記すべき箇所もありますが、便宜上それらに ついても「ログイン」と記載しています # Page. 4 ![Page Image](https://bcdn.docswell.com/page/27VVD9867Q.jpg) 本日のお話 • これの話をします # Page. 5 ![Page Image](https://bcdn.docswell.com/page/5JGLYZ527L.jpg) モチベーション • サーバーへのアクセスも、よりセキュアにしたい • Windows OS への RDP アクセス(ログイン) • これまでも多要素認証は実装可能だった • RDS(RDGW)+ NPS + 認証プロバイダ • Azure Portal や az コマンド経由でのアクセス • サードパーティの資格情報プロバイダ • もっと手軽に MFA を実装・利用したい # Page. 6 ![Page Image](https://bcdn.docswell.com/page/47QYMLZ9EP.jpg) Entra based Windows Server Login • Microsoft Entra based Windows Server Login (Azure HybridCompute Extension) • Azure Arc 対応サーバーで利用可能な拡張機能 • Windows Server 専用 • Linux OS 向けには、別の拡張機能が存在 • Entra ID ベースの OS ログイン認証を利用可能 • 2025年7月頃より、MFA の適用・利用が可能 # Page. 7 ![Page Image](https://bcdn.docswell.com/page/KE4WVDDRJ1.jpg) リモートデスクトップにおける MFA • リモートデスクトップクラ イアントで Entra ID 認証 を利用する場合、Web アカ ウント認証を有効化 • [詳細設定] – [ユーザー認証] • Web アカウントを使用して、 リモート コンピューターに サインインする # Page. 8 ![Page Image](https://bcdn.docswell.com/page/L71Y3ZZVJG.jpg) RDP とコンソールログイン • Windows Server のログイン スクリーンは、 Microsoft Entra based Windows Server Login 拡張機能による MFA に非対応 • 追加の認証要求を処理できない) • 拡張機能を利用して多要素認証ができるのは、 RDP アクセスのみ # Page. 9 ![Page Image](https://bcdn.docswell.com/page/G7WGP993E2.jpg) 拡張機能をインストールするための前提条件 • Azure Arc 対応サーバーとして Azure 登録済 • Azure Arc enabled servers の Connected Machine Agent の要件を満たし、適切に通信が可能 • Windows Server 2025(デスクトップあり) • 現時点で拡張機能がサポートするサーバー OS は Windows Server 2025 with Desktop Experience のみ • Active Directory ドメインに参加していない # Page. 10 ![Page Image](https://bcdn.docswell.com/page/4JZLK99GE3.jpg) 拡張機能と Active Directory • Microsoft Entra based Windows Server Login 拡張機能は、インストール(初期構成)時に対象 サーバーを Entra ID Join する • オンプレミス Active Directory に参加しているコン ピューター(ハイブリッド参加含む)は未サポート # Page. 11 ![Page Image](https://bcdn.docswell.com/page/YE6WQKKQEV.jpg) 拡張機能のインストール • Azure Arc リソースの [設定] – [拡張機能] から、 Microsoft Entra based Windows Server Login を 追加 • Microsoft Learn のページには、Azure Arc 対応サー バー環境で利用する場合には mdmId を空指定する入れ 子になった設定が必要と書かれているが、Portal からデ プロイする場合は既定で設定は挿入された状態となるの で、気にしなくてよい # Page. 12 ![Page Image](https://bcdn.docswell.com/page/GE5MRPP2E4.jpg) 拡張機能のインストール # Page. 13 ![Page Image](https://bcdn.docswell.com/page/9729D661JR.jpg) Entra ID 多要素認証ログイン • 拡張機能が正常にインストール・構成済 • Arc リソースの RBAC で適切なロールを付与 • アクセス元のリモート デスクトップ クライアント が Entra ID 認証に対応 • IP アドレスではなく名前でアクセス可能 • MFA が実施されるようポリシーを構成 # Page. 14 ![Page Image](https://bcdn.docswell.com/page/DJY429947M.jpg) OS へログインするための役割ロール • Entra ID アカウントで OS へログインするために は、対象リソースに対して適切なロールが必要 • 仮想マシンの管理者ログイン • 仮想マシンのユーザー ログイン • Entra ID アカウントで OS ログイン後、OS ロー カルのツールを利用して Administrators グループ へ追加する等は非推奨(サポート対象外) # Page. 15 ![Page Image](https://bcdn.docswell.com/page/V7NY8LL6E8.jpg) Azure 職務ロール • 仮想マシンの管理者ログイン • 対象リソースへ管理者ユーザーとしてログイン可能 • ログイン後、Administrators グループに所属 • net localgroup でも whoami /groups でも見える • 仮想マシンのユーザー ログイン • 対象リソースへ一般ユーザーとしてログイン可能 • ログイン後、Remote Desktop Users グループに所属 • net localgroup では見えないが whoami /groups だと見える # Page. 16 ![Page Image](https://bcdn.docswell.com/page/YJ9PK44R73.jpg) リモート デスクトップ クライアントの要件 • Web アカウント認証に対応しているクライアント • 以下の OS であれば概ね利用可能 • Windows Server 2025 • Windows Server 2022 with 2022-10 CU • Windows 11 with 2022-10 CU • Windows 10 20H2 with 2022-10 CU ※Windows Server 2019, 2016 は未確認 # Page. 17 ![Page Image](https://bcdn.docswell.com/page/GJ8DRQQGJD.jpg) 名前によるアクセス • Web アカウント認証は IP アドレスでのアクセス 先ホスト指定をサポートしない • 対象サーバー名(コンピューター名 = Entra ID Join して Entra ID 上の登録デバイス名)でアク セスできる必要がある • コンピューター名で名前解決できる必要がある • hosts ファイル等でも OK # Page. 18 ![Page Image](https://bcdn.docswell.com/page/LJLMKXXXER.jpg) MFA が実施されるようポリシーを構成 • 前項までの条件・構成で Entra ID 認証によるリ モートデスクトップ経由での OS ログインが可能 • ログイン(認可)時に多要素認証が要求されるか どうかは、Entra ID の設定に依存 • 条件付きアクセス制御で多要素認証や認証強度を要求 • 条件付きアクセス制御が以外でも、付与されているラ イセンスや Entra ID の構成・設定に応じて、Entra ID が必要だと判断すれば多要素認証が実施される # Page. 19 ![Page Image](https://bcdn.docswell.com/page/47MY2LL37W.jpg) 条件付きアクセス制御による MFA 要求 • ターゲット リソース • Microsoft Remote Desktop • アクセス制御 • 許可 – 多要素認証を要求する or 認証強度が必要 # Page. 20 ![Page Image](https://bcdn.docswell.com/page/P7R9MKKRE9.jpg) 本日の Demo 環境 • Azure Arc Jumpstart ArcBox • IPPro flavor で構成 • ArcBox-Win2K25 : RDP with MFA 接続先サーバーとして設定 • ArcBox-Client : RDP Client # Page. 21 ![Page Image](https://bcdn.docswell.com/page/PJXQVLLY7X.jpg) Demo # Page. 22 ![Page Image](https://bcdn.docswell.com/page/3JK9QLL4JD.jpg) Tips: 多要素認証が要求されない • 事象 • 初回のログイン時しか多要素認証が要求されない • そもそも、2回目以降は認証情報無しでログインできる • 原因 • RDP クライアント(mstsc.exe)で Web アカウント認証を利 用する場合、デフォルトでは認証情報が保存される • 2回目以降は保存されている認証情報が自動で再利用される • 対策 • RDP クライアントをパブリックモードで利用 • mstsc.exe /public # Page. 23 ![Page Image](https://bcdn.docswell.com/page/LE3WP33DE5.jpg) Tips: Arc Jumpstart ArcBox を展開できない • 事象 • ArcBox IPPro flavor を Azure 東日本リージョンに展開しよう とすると失敗する • 原因 • ArcBox ITPro は Standard_D8s_v5 仮想マシンを展開して、 その上で Nested Hyper-V による環境を構築する • Standard_D8s_v5 を利用できないと展開に失敗する • 対策 • 東日本リージョンで検証を行う場合は Standard_D8s_v6 を使 用する(bicep の構成を書き換えて展開) # Page. 24 ![Page Image](https://bcdn.docswell.com/page/8EDKL4427G.jpg) まとめ • Azure Arc 対応サーバーの拡張機能を利用することで、 RDP アクセス時の多要素認証を簡単に実装可能 • ワークグループ環境で DMZ や出島等、インターネット経 由で管理アクセスを行っている場合は、有効性が高い • その他のシナリオや不足している機能があれば、ぜひ フィードバックを # Page. 25 ![Page Image](https://bcdn.docswell.com/page/V7PK2MMLJ8.jpg) 参考資料 • Microsoft Entra ID と Azure ロールベースのアクセス制御 を使用して、Azure または Arc 対応 Windows Server の Windows 仮想マシンにサインインします(Microsoft Learn) • Microsoft Entra ハイブリッド参加済みデバイスのトラブル シューティング(Microsoft Learn) • dsregcmd コマンドを使用したデバイスのトラブルシュー ティング(Microsoft Learn)