Microsoft Entra ID(以下Entra ID)に参加した仮想マシンの端末が、テナント上のアカウントを使用して端末にログインできないエラーが発生しました。
本記事では、このエラーの原因と解決方法について解説します。
前提条件
Azure上にWindows11の仮想マシンを作成し、当該仮想マシンをMicrosoft Entra IDに参加させた構成を想定します。
事象
作成した仮想マシンに対してリモートデスクトップ接続し、Entra IDのユーザーでサインインを試みたところ、下記の画像のようにサインインできない事象が発生しました。
以下では、このケースを例として対処方法を説明します。
切り分けの実施方針
本章では、前提に記載した事象が発生した際に確認する切り分けのポイントを下記のように実施します。
以下の3つの手順は順番に実施する手順ではありません。端末・ユーザーごとに設定状況が異なるため、事前に設定の有無を確認し、未設定または要件を満たしていない項目のみを実施してください。
CredSSPの無効化
この切り分けでは、Microsoft Entra Join端末へEntra ID資格情報でRDPをする際に、RDPクライアント側のCredSSPによる事前認証が上手く連携せず接続前に資格情報が弾かれていないかどうかを確認します。
RDP設定ファイルにenablecredsspsupport:i:0を追記して、クライアントのCredSSPを無効化にします。
NLAの無効化
この切り分けでは、RDPの事前認証を担うNLA(Network Level Authentication)とEntra ID認証の連携がうまくいってないことが原因で、接続前の資格情報検証フェーズで失敗していないかどうかを確認します。
NLAを無効化にして、接続先のログオン画面で認証する経路に切り替えを実施いたします。
認証されたユーザーグループの追加
この切り分けでは、Entra IDユーザーがRDP接続時に使用する権限が、端末側に十分に付与されているかどうかを確認します。
対象端末のリモートデスクトップユーザーに「Authenticated Users」を追加して、認証済みのユーザーであればRDPログオンを許可にする確認を行います。
切り分けの実施手順
CredSSPの無効化
下記にその方法を記載します。
- リモートデスクトップ用のファイルを右クリックし、[メモ帳で編集]をクリックします。
- 先頭行に
enablecredsspsupport:i:0と追記します。
NLAの無効化
NLA無効化手順は下記となります。
- Windowsボタンをクリックして、[設定]を起動します。
- [システム]-[リモートデスクトップ]をクリックします。
- [リモートデスクトップ]を展開して、[デバイスが接続にネットワークレベルの認証を使用することを要求する(推奨)]のチェックを外します。
認証されたユーザーグループの追加
Aunthenticated Usersの権限追加手順は下記になります。
- [システム]-[リモートデスクトップ]をクリックします。
- [リモートデスクトップユーザー]をクリックします。
- [追加]をクリックします。
- オブジェクト名の箇所に「authenticated」と入力し、[名前の確認]をクリックします。
- 「Authenticated Users」と入力されていることを確認したら、[OK]をクリックします。
- デスクトップユーザーに「Authenticated Users」が追加されていることが確認できたら、[OK]をクリックします。
動作確認
本章ではテナント上のアカウントを使用してサインインする方法について記載します。
- リモートデスクトップのファイルを起動し、[接続]をクリックします。
- サインインの画面が表示されたらテナント上の「ユーザーアカウント名」、「パスワード」を入力します。入力する際は下記のように入力し、サインインします。
- ユーザー名:azuread\<ユーザーアカウント名>
- パスワード:ユーザーアカウントのパスワード
最後に
今回は仮想マシンでEntra IDに参加した際に、テナント上のアカウントでサインインする方法について紹介しました。
本記事が参考になれば幸いです。
金山 翔太(日本ビジネスシステムズ株式会社)
Microsoft製品(主にMicrosoft 365やIntune)などの設計に携わったことがあります。趣味はゲームとキャンプです。業務上で学んだことを発信していきます。
担当記事一覧