デジタル署名を使用して、RemoteApp とデスクトップ接続を使用した仮想デスクトップへの接続に使用される .rdp ファイルに署名することができます。これには、仮想デスクトップ プールおよび個人用仮想デスクトップへの接続に使用される .rdp ファイルが含まれます。

重要

デジタル署名された .rdp ファイルを使用して仮想デスクトップに接続するには、クライアントで少なくともリモート デスクトップ クライアント (RDC) 6.1 が動作している必要があります (RDC 6.1 クライアントは、リモート デスクトップ プロトコル 6.1 をサポートします)。

デジタル証明書を使用すると、.rdp ファイル上の暗号化署名によって、発行元としての身元に関する検証可能な情報が提供されます。これによりクライアントは、組織を仮想デスクトップ接続の発信元として認識し、接続を開始するかどうかについて、より多くの情報に基づいて信頼性を判断できるようになります。これにより、悪意のあるユーザーが改ざんした .rdp ファイルの使用から保護されます。

仮想デスクトップ接続で使用される .rdp ファイルに署名するには、サーバー認証証明書 (Secure Sockets Layer (SSL) 証明書)、コード署名証明書、特別に定義されたリモート デスクトップ プロトコル (RDP) 署名証明書を使用します。SSL 証明書とコード署名証明書は、公共の証明機関 (CA) または公開キー基盤階層内のエンタープライズ CA から入手します。RDP 署名証明書を使用する前に、エンタープライズ内の CA を構成して RDP 署名証明書を発行する必要があります。

既にリモート デスクトップ セッション ホスト (RD セッション ホスト) サーバーまたは RD ゲートウェイへの接続用の SSL 証明書を使用している場合は、同じ証明書を使用して .rdp ファイルに署名することができます。ただし、ユーザーが公共のコンピューターや自宅のコンピューターから仮想デスクトップに接続する場合は、以下のいずれかを使用する必要があります。

  • Microsoft ルート証明書プログラム メンバー プログラム (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkID=59547) に参加している公共の CA から入手した証明書。

  • エンタープライズ CA を使用している場合は、エンタープライズ CA で発行された証明書が、Microsoft ルート証明書プログラム メンバー プログラムに参加している公共の CA でも署名されている必要があります。

仮想デスクトップ接続用に .rdp ファイルの署名に使用するデジタル証明書を構成するには、次の手順を実行します。

この操作を正常に行うには、少なくとも、構成する RD 接続ブローカーのローカル Administrators グループのメンバーまたはそれと同等の権限を持つグループのメンバーである必要があります。 適切なアカウントおよびグループ メンバーシップの使用の詳細については、https://go.microsoft.com/fwlink/?LinkId=83477 (英語の可能性あり) をご確認ください。

使用するデジタル証明書を構成するには

  1. RD 接続ブローカー サーバーで、リモート デスクトップ接続マネージャーを開きます。リモート デスクトップ接続マネージャーを開くには、[スタート] ボタン、[管理ツール]、[リモート デスクトップ サービス]、[リモート デスクトップ接続マネージャー] の順にクリックします。

  2. 左側のウィンドウで、[RD 仮想化ホスト サーバー] をクリックし、[操作] メニューの [プロパティ] をクリックします。

  3. [仮想デスクトップのプロパティ] ダイアログ ボックスの [デジタル署名] タブで、[デジタル証明書を使用して署名する] チェック ボックスをオンにします。

  4. [デジタル証明書の詳細] ボックスで、[選択] をクリックします。

  5. [証明書の選択] ダイアログ ボックスで、使用する証明書を選択して、[OK] をクリックします。

    [証明書の選択] ダイアログ ボックスには、ローカル コンピューターの証明書ストアまたは個人証明書ストアにある証明書が表示されます。使用する証明書は、これらいずれかのストアにある必要があります。

  6. 完了したら、[OK] をクリックして、[仮想デスクトップのプロパティ] ダイアログ ボックスを閉じます。

RemoteApp とデスクトップ接続 のセキュリティの詳細については、「RemoteApp とデスクトップ接続のセキュリティについて」を参照してください。

グループ ポリシー設定を使用してデジタル署名された .rdp ファイルを開くときのクライアントの動作を制御する

グループ ポリシーを使用して、クライアントが特定の発行元からの仮想デスクトップ接続を常に信頼できるものとして認識するように構成することができます。また、クライアントが外部または不明な発信元からのリモート デスクトップ接続をブロックするかどうかも構成することができます。これらのポリシー設定を使用することで、ユーザーが直面するセキュリティについての決定事項の数と複雑さを減らすことができます。これにより、セキュリティ上の脆弱性の原因となる、誤ったユーザー操作の機会が減ります。

該当するグループ ポリシー設定は、次のとおりです。

  • 信頼済みの .rdp 発行元を表す証明書の SHA1 拇印を指定する

  • 有効な発行元からの .rdp ファイルと、ユーザーの既定の .rdp 設定を許可する

  • 不明な発行元からの .rdp ファイルを許可する

これらのグループ ポリシー設定は、"コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\リモート デスクトップ サービス\リモート デスクトップ接続のクライアント" および "ユーザーの構成\ポリシー\管理用テンプレート\Windows コンポーネント\リモート デスクトップ サービス\リモート デスクトップ接続のクライアント" にあります。

グループ ポリシー設定は、ローカル グループ ポリシー エディターまたはグループ ポリシー管理コンソール (GPMC) を使用して構成できます。

リモート デスクトップ サービスのグループ ポリシー設定の詳細については、リモート デスクトップ サービスのテクニカル リファレンス (英語の可能性あり)(https://go.microsoft.com/fwlink/?LinkId=138134) を参照してください。

その他の参照情報

目次