デジタル署名を使用して、リモート デスクトップ セッション ホスト (RD セッション ホスト) サーバーへの RemoteApp 接続で使用される .rdp ファイルに署名できます。これには、RD Web アクセスを経由して RemoteApp プログラムおよび RD セッション ホスト サーバーのデスクトップに接続する際に使用される .rdp ファイルも含まれます。

重要

デジタル署名された .rdp ファイルを使用して RemoteApp プログラムに接続するには、クライアントで少なくともリモート デスクトップ クライアント (RDC) 6.1 が動作している必要があります (RDC 6.1 クライアントは、リモート デスクトップ プロトコル 6.1 をサポートします)。

デジタル証明書を使用すると、接続ファイル上の暗号化署名によって、発行元としての身元に関する検証可能な情報が提供されます。これにより、クライアントは組織を RemoteApp プログラムまたはリモート デスクトップ接続の発信元として認識し、接続を開始するかどうかについて、より多くの情報に基づいて信頼性を判断できるようになります。これにより、悪意のあるユーザーが改ざんした .rdp ファイルの使用から保護されます。

RemoteApp 接続で使用される .rdp ファイルに署名するには、サーバー認証証明書 (Secure Sockets Layer (SSL) 証明書)、コード署名証明書、または特別に定義されたリモート デスクトップ プロトコル (RDP) 署名証明書を使用します。SSL 証明書とコード署名証明書は、公共の証明機関 (CA) または公開キー基盤階層内のエンタープライズ CA から入手します。RDP 署名証明書を使用する前に、エンタープライズ内の CA を構成して RDP 署名証明書を発行する必要があります。

既に RD セッション ホスト サーバーまたは RD ゲートウェイ接続用の SSL 証明書を使用している場合は、同じ証明書を使用して .rdp ファイルに署名できます。しかし、ユーザーが公共のコンピューターや自宅のコンピューターから RemoteApp プログラムに接続する場合は、次のいずれかを使用する必要があります。

  • Microsoft ルート証明書プログラム メンバー プログラム (https://go.microsoft.com/fwlink/?LinkID=59547 (英語の可能性あり)) に参加している公共の CA から入手した証明書。

  • エンタープライズ CA を使用している場合は、エンタープライズ CA で発行された証明書が、Microsoft ルート証明書プログラム メンバー プログラムに参加している公共の CA でも署名されている必要があります。

この手順を実行するには、構成しようとしている RD セッション ホストにおいて、ローカルの Administrators グループのメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。 適切なアカウントおよびグループ メンバーシップの使用の詳細については、https://go.microsoft.com/fwlink/?LinkId=83477 (英語の可能性あり) をご確認ください。

使用するデジタル証明書を構成するには

  1. RD セッション ホスト サーバーで、RemoteApp マネージャーを開きます。RemoteApp マネージャーを開くには、[スタート] ボタン、[管理ツール]、[リモート デスクトップ サービス]、[RemoteApp マネージャー] の順にクリックします。

  2. RemoteApp マネージャーの [操作] ウィンドウで、[デジタル署名の設定] をクリックします (または、[操作] ウィンドウの [デジタル署名の設定] の横で、[変更] をクリックします)。

  3. [デジタル証明書を使用して署名する] チェック ボックスをオンにします。

  4. [デジタル証明書の詳細] ボックスで、[変更] をクリックします。

  5. [証明書の選択] ダイアログ ボックスで、使用する証明書を選択して、[OK] をクリックします。

    [証明書の選択] ダイアログ ボックスには、ローカル コンピューターの証明書ストアまたは個人証明書ストアにある証明書が表示されます。使用する証明書は、これらいずれかのストアにある必要があります。

グループ ポリシー設定を使用してデジタル署名された .rdp ファイルを開くときのクライアントの動作を制御する

グループ ポリシーを使用して、クライアントが特定の発行元からの RemoteApp プログラムを常に信頼できるものとして認識するように構成できます。また、クライアントが外部または不明な発信元からの RemoteApp プログラムとリモート デスクトップ接続をブロックするかどうかも構成できます。これらのポリシー設定を使用することで、ユーザーが直面するセキュリティについての決定事項の数と複雑さを減らすことができます。これにより、セキュリティ上の脆弱性の原因となる、誤ったユーザー操作の機会が減ります。

関連するグループ ポリシー設定は次のとおりです。

  • .rdp の発行元に信頼された SHA1 の証明書の拇印を指定してください

  • 有効な発行元からの .rdp ファイルとユーザーの既定の .rdp 設定を許可してください

  • 不明な発行元からの .rdp ファイルを許可してください

これらのグループ ポリシー設定は、コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\リモート デスクトップ サービス\リモート デスクトップ接続のクライアント、およびユーザーの構成\ポリシー\管理用テンプレート\Windows コンポーネント\リモート デスクトップ サービス\リモート デスクトップ接続のクライアントにあります。

グループ ポリシー設定は、ローカル グループ ポリシー エディターまたはグループ ポリシー管理コンソール (GPMC) を使用して構成できます。

リモート デスクトップ サービスのグループ ポリシー設定の詳細については、リモート デスクトップ サービスのテクニカル リファレンス (英語の可能性あり)(https://go.microsoft.com/fwlink/?LinkId=138134) を参照してください。

その他の参照情報

目次