RD ゲートウェイ役割サービスをインストールして、RD ゲートウェイ サーバー用の証明書を構成した後、リモート デスクトップの接続承認ポリシー (RD CAP)、コンピューター グループ、およびリモート デスクトップのリソース承認ポリシー (RD RAP) を作成する必要があります。
このトピックでは、RD CAP、コンピューター グループ、および RD RAP を使用して、リモート ユーザーが RD ゲートウェイを通じてインターネット経由で内部ネットワークに接続する際の、内部ネットワーク リソース (コンピューター) へのアクセスを制御する方法について説明します。
RD CAP
RD CAP を使用すると、RD ゲートウェイ サーバーへの接続を許可するユーザーを指定できます。ローカルの RD ゲートウェイ サーバーまたは Active Directory ドメイン サービスに存在するユーザー グループを指定できます。また、RD ゲートウェイ サーバーにアクセスするためにユーザーが満たす必要があるその他の条件も指定できます。RD CAP ごとに、個別に複数の条件を指定できます。たとえば、ユーザーのグループに対して、スマート カードを使用して RD ゲートウェイ経由で接続することを義務付けることができます。
 | 重要 |
RD CAP で指定された条件を満たすユーザーには、RD ゲートウェイ サーバーへのアクセス権が付与されます。また、リモート デスクトップのリソース承認ポリシー (RD RAP) を作成する必要もあります。RD RAP を使用すると、ユーザーが RD ゲートウェイ経由で接続できるネットワーク リソース (コンピューター) を指定できます。RD CAP と RD RAP の両方を作成しない限り、ユーザーはこの RD ゲートウェイ サーバーを経由してネットワーク リソースに接続することができません。 |
RD CAP の作成方法の詳細については、「リモート デスクトップの接続承認ポリシー (RD CAP) を管理する」を参照してください。
RD RAP
RD RAP を使用すると、リモート ユーザーが RD ゲートウェイ サーバーを経由して接続できる内部ネットワーク リソースを指定できます。RD RAP を作成する際に、コンピューター グループを作成して RD RAP に関連付けることができます。コンピューター グループとは、リモート ユーザーの接続先として指定する、内部ネットワークのコンピューターの一覧です。
少なくとも 1 つの RD CAP と 1 つの RD RAP で指定された条件を満たす場合、RD ゲートウェイ サーバーを経由して内部ネットワークに接続するリモート ユーザーには、ネットワークのコンピューターに対するアクセス権が付与されます。
 | 注 |
RD ゲートウェイで管理されるコンピューター グループを RD RAP に関連付ける際に、完全修飾ドメイン名 (FQDN) と NetBIOS 名の両方を RD ゲートウェイで管理されるコンピューター グループに別々に追加することで、これら両方の名前をサポートできます。クライアントが接続する内部ネットワーク コンピューターが RD ゲートウェイ サーバーと同じドメインに属している場合は、Active Directory セキュリティ グループを RD RAP に関連付ける際に、FQDN と NetBIOS の両方の名前が自動的にサポートされます。内部ネットワーク コンピューターが RD ゲートウェイ サーバーとは異なるドメインに属している場合、ユーザーは内部ネットワーク コンピューターの FQDN を指定する必要があります。 |
RD RAP の作成方法の詳細については、「リモート デスクトップ リソース承認ポリシー (RD RAP) を管理する」を参照してください。
RD CAP と RD RAP は 2 つの異なる承認レベルを提供します。これらの承認レベルを使用することにより、内部ネットワーク上のコンピューターに対するアクセス制御をより具体的に構成できます。
RD RAP に関連付けられた、ネットワーク リソース グループおよび RD ゲートウェイで管理されたコンピューター グループ
リモート ユーザーは、セキュリティ グループまたは RD ゲートウェイで管理されたコンピューター グループにある内部ネットワーク リソースに、RD ゲートウェイを経由して接続できます。次のようなグループがあります。
- Active Directory ドメイン サービスのネットワーク リソース グループを選択する。Active Directory ドメイン サービスの既存のネットワーク リソース グループです。
- RD ゲートウェイで管理される既存のコンピューター グループを選択するか、新しいグループを作成する。インストール後にリモート デスクトップ ゲートウェイ マネージャーを使用して、RD ゲートウェイで管理されたコンピューター グループを構成するか、既存のグループを選択できます。
RD ゲートウェイで管理されたコンピューター グループは、RD ゲートウェイ サーバー上の [ローカル ユーザーとグループ] には表示されません。また、[ローカル ユーザーとグループ] を使用して構成することもできません。 - ユーザーによる任意のネットワーク リソースへの接続を許可する。この場合、ユーザーは、リモート デスクトップ接続を使用する場合に接続できる内部ネットワーク上の任意のコンピューターに接続することができます。