Windows Server へ RDP アクセスする際に Entra ID の MFA を利用する

Windows Server へ RDP アクセスする際に Entra ID の MFA を利用する SCUGJ (wSCUGJ) 勉強会 #49 2026-01-24 Kazuki Takai Windows Server & Cloud User Group Japan

自己紹介 • たかい （Kazuki Takai） // X（旧 Twitter）@zhuky7 • 会社員 （某ISP勤務） • サービス基盤開発、技術調査・技術開発、ライセンス関連 • wSCUGJ （Windows Server & System Center User Group Japan） • Active Directory 勉強会 • 興味分野：統合管理、ID、自動化、セキュリティ、監視・運用 • Microsoft MVP - Cloud and Datacenter Management / Microsoft Azure • @IT：Windows Server 2025 連載

• https://twitter.com/zhuky7

注意点 • 本セッションではクラウドサービスの機能について取り扱います • 機能や動作仕様については変更となる可能性があります • 最新の仕様、動作、状況は Microsoft Learn のドキュメントや Microsoft の Blog、Tech Community などをご確認ください • 本資料では、表記を「ログイン」に統一しています • 正確には「ログオン」と表記すべき箇所もありますが、便宜上それらに ついても「ログイン」と記載しています

本日のお話 • これの話をします

モチベーション • サーバーへのアクセスも、よりセキュアにしたい • Windows OS への RDP アクセス（ログイン） • これまでも多要素認証は実装可能だった • RDS（RDGW）+ NPS + 認証プロバイダ • Azure Portal や az コマンド経由でのアクセス • サードパーティの資格情報プロバイダ • もっと手軽に MFA を実装・利用したい

Entra based Windows Server Login • Microsoft Entra based Windows Server Login （Azure HybridCompute Extension） • Azure Arc 対応サーバーで利用可能な拡張機能 • Windows Server 専用 • Linux OS 向けには、別の拡張機能が存在 • Entra ID ベースの OS ログイン認証を利用可能 • 2025年7月頃より、MFA の適用・利用が可能

リモートデスクトップにおける MFA • リモートデスクトップクラ イアントで Entra ID 認証 を利用する場合、Web アカ ウント認証を有効化 • [詳細設定] – [ユーザー認証] • Web アカウントを使用して、 リモート コンピューターに サインインする

RDP とコンソールログイン • Windows Server のログイン スクリーンは、 Microsoft Entra based Windows Server Login 拡張機能による MFA に非対応 • 追加の認証要求を処理できない） • 拡張機能を利用して多要素認証ができるのは、 RDP アクセスのみ

拡張機能をインストールするための前提条件 • Azure Arc 対応サーバーとして Azure 登録済 • Azure Arc enabled servers の Connected Machine Agent の要件を満たし、適切に通信が可能 • Windows Server 2025（デスクトップあり） • 現時点で拡張機能がサポートするサーバー OS は Windows Server 2025 with Desktop Experience のみ • Active Directory ドメインに参加していない

拡張機能と Active Directory • Microsoft Entra based Windows Server Login 拡張機能は、インストール（初期構成）時に対象 サーバーを Entra ID Join する • オンプレミス Active Directory に参加しているコン ピューター（ハイブリッド参加含む）は未サポート

拡張機能のインストール • Azure Arc リソースの [設定] – [拡張機能] から、 Microsoft Entra based Windows Server Login を 追加 • Microsoft Learn のページには、Azure Arc 対応サー バー環境で利用する場合には mdmId を空指定する入れ 子になった設定が必要と書かれているが、Portal からデ プロイする場合は既定で設定は挿入された状態となるの で、気にしなくてよい

拡張機能のインストール

Entra ID 多要素認証ログイン • 拡張機能が正常にインストール・構成済 • Arc リソースの RBAC で適切なロールを付与 • アクセス元のリモート デスクトップ クライアント が Entra ID 認証に対応 • IP アドレスではなく名前でアクセス可能 • MFA が実施されるようポリシーを構成

OS へログインするための役割ロール • Entra ID アカウントで OS へログインするために は、対象リソースに対して適切なロールが必要 • 仮想マシンの管理者ログイン • 仮想マシンのユーザー ログイン • Entra ID アカウントで OS ログイン後、OS ロー カルのツールを利用して Administrators グループ へ追加する等は非推奨（サポート対象外）

Azure 職務ロール • 仮想マシンの管理者ログイン • 対象リソースへ管理者ユーザーとしてログイン可能 • ログイン後、Administrators グループに所属 • net localgroup でも whoami /groups でも見える • 仮想マシンのユーザー ログイン • 対象リソースへ一般ユーザーとしてログイン可能 • ログイン後、Remote Desktop Users グループに所属 • net localgroup では見えないが whoami /groups だと見える

リモート デスクトップ クライアントの要件 • Web アカウント認証に対応しているクライアント • 以下の OS であれば概ね利用可能 • Windows Server 2025 • Windows Server 2022 with 2022-10 CU • Windows 11 with 2022-10 CU • Windows 10 20H2 with 2022-10 CU ※Windows Server 2019, 2016 は未確認

名前によるアクセス • Web アカウント認証は IP アドレスでのアクセス 先ホスト指定をサポートしない • 対象サーバー名（コンピューター名 = Entra ID Join して Entra ID 上の登録デバイス名）でアク セスできる必要がある • コンピューター名で名前解決できる必要がある • hosts ファイル等でも OK

MFA が実施されるようポリシーを構成 • 前項までの条件・構成で Entra ID 認証によるリ モートデスクトップ経由での OS ログインが可能 • ログイン（認可）時に多要素認証が要求されるか どうかは、Entra ID の設定に依存 • 条件付きアクセス制御で多要素認証や認証強度を要求 • 条件付きアクセス制御が以外でも、付与されているラ イセンスや Entra ID の構成・設定に応じて、Entra ID が必要だと判断すれば多要素認証が実施される

条件付きアクセス制御による MFA 要求 • ターゲット リソース • Microsoft Remote Desktop • アクセス制御 • 許可 – 多要素認証を要求する or 認証強度が必要

本日の Demo 環境 • Azure Arc Jumpstart ArcBox • IPPro flavor で構成 • ArcBox-Win2K25 : RDP with MFA 接続先サーバーとして設定 • ArcBox-Client : RDP Client

Demo

Tips: 多要素認証が要求されない • 事象 • 初回のログイン時しか多要素認証が要求されない • そもそも、2回目以降は認証情報無しでログインできる • 原因 • RDP クライアント（mstsc.exe）で Web アカウント認証を利 用する場合、デフォルトでは認証情報が保存される • 2回目以降は保存されている認証情報が自動で再利用される • 対策 • RDP クライアントをパブリックモードで利用 • mstsc.exe /public

Tips: Arc Jumpstart ArcBox を展開できない • 事象 • ArcBox IPPro flavor を Azure 東日本リージョンに展開しよう とすると失敗する • 原因 • ArcBox ITPro は Standard_D8s_v5 仮想マシンを展開して、 その上で Nested Hyper-V による環境を構築する • Standard_D8s_v5 を利用できないと展開に失敗する • 対策 • 東日本リージョンで検証を行う場合は Standard_D8s_v6 を使 用する（bicep の構成を書き換えて展開）

まとめ • Azure Arc 対応サーバーの拡張機能を利用することで、 RDP アクセス時の多要素認証を簡単に実装可能 • ワークグループ環境で DMZ や出島等、インターネット経 由で管理アクセスを行っている場合は、有効性が高い • その他のシナリオや不足している機能があれば、ぜひ フィードバックを

参考資料 • Microsoft Entra ID と Azure ロールベースのアクセス制御 を使用して、Azure または Arc 対応 Windows Server の Windows 仮想マシンにサインインします（Microsoft Learn） • Microsoft Entra ハイブリッド参加済みデバイスのトラブル シューティング（Microsoft Learn） • dsregcmd コマンドを使用したデバイスのトラブルシュー ティング（Microsoft Learn）

• https://learn.microsoft.com/entra/identity/devices/howto-vm-sign-in-azure-ad-windows?pivots=identity-extension-hybrid
• https://learn.microsoft.com/entra/identity/devices/troubleshoot-hybrid-join-windows-current
• https://learn.microsoft.com/entra/identity/devices/troubleshoot-device-dsregcmd