リモート デスクトップ サービス クライアントのユーザーは、特定の要件を満たしている場合に限り RD ゲートウェイに接続することができます。次の要件があります。
- サポートされている Windows 認証方法 (必須)。リモート デスクトップ ゲートウェイ マネージャーを使用して、RD ゲートウェイ サーバーで許可される認証方法を構成できます。クライアントでは、グループ ポリシーを使用して、RD ゲートウェイ サーバーへの接続に使用される認証方法を構成できます。
重要 クライアントと、クライアントの接続先である RD ゲートウェイ サーバーには、共通の認証方法が 1 つ以上必要です。共通の認証方法がない場合、クライアントから RD ゲートウェイ サーバーへの接続は失敗します。
注 グループ ポリシーを使用してクライアントの認証方法を構成する場合は、リモート デスクトップ サービス クライアント接続のグループ ポリシー設定を 2 つのうちいずれかの方法で適用できることに注意してください。つまり、これらのポリシー設定は、提示するか (つまり、有効にはできますが、強制はしません)、または有効にして強制することができます。詳細については、「グループ ポリシーを使用してリモート デスクトップ ゲートウェイ経由のクライアント接続を管理する」を参照してください。
- ユーザー グループ メンバーシップ (必須)。リモート デスクトップ ゲートウェイ マネージャーを使用して、ユーザー グループ メンバーシップの要件を構成できます。
- クライアント コンピューター グループ メンバーシップ (オプション)。リモート デスクトップ ゲートウェイ マネージャーを使用して、クライアント コンピューター グループ メンバーシップの要件を構成できます。
- リモート デスクトップ ゲートウェイ マネージャーでは、これらの要件をリモート デスクトップの接続承認ポリシー (RD CAP) の [要件] タブで構成できます。詳細については、「RD CAP を作成する」を参照してください。
サポートされている Windows 認証方法
サポートされている Windows 認証方法をリモート デスクトップ ゲートウェイ マネージャーを使用して構成する場合、ユーザーがパスワードかスマート カード、またはその両方を使用するように指定できます。両方の方法を選択した場合は、どちらかを使用して接続できます。
サポートされている Windows 認証方法をグループ ポリシーを使用して構成する場合は、次のオプションを選択できます。
- 資格情報を要求する、NTLM プロトコルを使用する (Windows NT チャレンジ/レスポンス プロトコル)。NTLM プロトコルの詳細については、ログオンと認証のテクノロジに関するページ (英語の可能性あり) (
https://go.microsoft.com/fwlink/?LinkId=94215 ) および Microsoft NTLM に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=94216 ) を参照してください。 - 資格情報を要求する、基本プロトコルを使用する。基本認証方法は、ユーザー名とパスワードの情報を収集する業界標準の方法として広く利用されています。ただし、パスワードは Base64 エンコード形式で送信され、暗号化されないため、安全性は低くなります。詳細については、基本認証に関するページ (英語の可能性あり) (
https://go.microsoft.com/fwlink/?LinkId=94217 ) を参照してください。 - ローカルでログオンしている資格情報を使用する。この場合は、ユーザーが自分のローカル コンピューターにログオンする際に入力したものと同じ資格情報が RD ゲートウェイ サーバーへの接続に使用されます。このオプションを選択しても、ユーザーがそれ以前に同じ RD ゲートウェイ サーバーに接続したことがあり、ユーザー自身のクライアント コンピューターの [RD ゲートウェイ サーバー設定] ダイアログ ボックスで [資格情報を記憶する] チェック ボックスをオンにしている場合は、保存されている資格情報が RD ゲートウェイ サーバーへの接続に使用されます。
- スマート カードを使用する。スマート カードにはマイクロコンピューターと少量のメモリが搭載されており、秘密キーと X.509 セキュリティ証明書を格納するための記憶域があります。この記憶域はセキュリティで保護され、改ざん防止機能を備えています。スマート カードは 2 要素認証の形式になっています。ユーザーは、ネットワーク リソースにアクセスする際に、スマート カードを使用するとともに、PIN を入力する必要があります。詳細については、スマート カードを使用した安全なアクセスの計画ガイドのページ (英語の可能性あり) (
https://go.microsoft.com/fwlink/?LinkId=94218 ) を参照してください。 - ユーザーがこれらすべての資格情報を利用できる場合で、RD ゲートウェイ サーバーにアクセスする際に自分の資格情報を保存することを指定しているときには、資格情報が次の順序で使用されます。
- 保存されている資格情報
- ローカルでログオンしている資格情報
- ユーザーが入力した他のパスワードまたはスマート カード資格情報
その他の参照情報
- RD ゲートウェイでサポートされている Windows 認証方法をグループ ポリシーを使用して構成する方法については、「リモート デスクトップ ゲートウェイ サーバーの認証方法を設定する」を参照してください。
- サポートされている Windows 認証方法をリモート デスクトップ ゲートウェイ マネージャーを使用して構成する方法の詳細については、「RD CAP を作成する」を参照してください。
- ユーザー グループおよびクライアント コンピューター グループのメンバーシップの要件をリモート デスクトップ ゲートウェイ マネージャーを使用して構成する方法については、「RD CAP を作成する」を参照してください。
- リモート デスクトップの接続承認ポリシー (RD CAP) を管理する