Windows 365 の ID と認証
クラウド PC ユーザーの ID は、そのユーザーとクラウド PC を管理するアクセス管理サービスを定義します。この ID は以下を定義します:
- ユーザーがアクセスできるクラウド PC の種類。
- ユーザーがアクセスできるクラウド以外の PC リソースの種類。
デバイスには、Azure Active Directory (Azure AD) への参加の種類によって決定される ID を持たせることもできます。 デバイスの場合、参加の種類により次が定義されます:
- デバイスがドメイン コントローラーへの見通し線を必要とする場合。
- デバイスの管理方法。
- ユーザーがデバイスを認証する方法。
ID の種類
ID には次の 3 種類があります。
- Hybrid ID: オンプレミスの Windows Server Active Directory で作成され、Azure AD に同期されたユーザーまたはデバイス。
- クラウド専用 ID: Azure AD で作成され、Azure AD にのみ存在するユーザーまたはデバイス。
- 外部 ID: Azure AD テナントの外部で作成および管理されているが、組織のリソースにアクセスするために Azure AD テナントに招待されているユーザー。
注意
Windows 365 では、外部 ID はサポートされていません。
デバイス参加の種類
クラウド PC のプロビジョニングをするときに選択できる参加の種類は 2 つあります。
- Hybrid Azure AD Join: この参加の種類を選択した場合、Windows 365 は指定した Windows Server Active Directory ドメインにクラウド PC を参加させます。 その後、組織が Hybrid Azure AD Join 用に正しく構成されていれば、デバイスは Azure AD に同期されます。
- Azure AD Join: この参加の種類を選択した場合、Windows 365 は Cloud PC を直接 Azure AD に参加させます。
選択した参加の種類に基づく主な機能または要件を次の表に示します。
| 機能または要件 | Hybrid Azure AD Join | Azure AD Join |
|---|---|---|
| Azure サブスクリプション | 必須 | 省略可能 |
| ドメイン コントローラーへの見通し線がある Azure Virtual Network | 必須 | 省略可能 |
| ログインでサポートされているユーザー ID の種類 | ハイブリッド ユーザーのみ | ハイブリッド ユーザーまたはクラウド専用ユーザー |
| ポリシー管理 | グループ ポリシー オブジェクト (GPO) または Intune MDM | Intune MDM のみ |
| Windows Hello for Business サインインがサポートされています | はい。接続するデバイスには、ダイレクト ネットワークまたは VPN を介してドメイン コントローラーへの見通し線があることが必要です | はい |
認証
クラウド PC に正常にアクセスするには、ユーザーも次の両方を使用して認証を行う必要があります:
- Windows 365 サービス。
- クラウド PC。
注意
現時点では、シングル サインオン (Windows 365 サービス認証とクラウド PC 認証の両方を満たすことができる単一認証プロンプトとして定義される) はサポートされていません。
重要
認証を正常に機能させるには、ユーザーのローカル コンピューターが Azure Virtual Desktop の必須 URL リストの [リモート デスクトップ クライアント] セクションにある URL にアクセスできる必要があります。
Windows 365 サービス認証
ユーザーは、次の場合に Windows 365 サービスで認証する必要があります:
- windows365.microsoft.com にアクセスするとき。
- クラウド PC に直接マップされる URL に移動するとき。
- [リモート デスクトップ クライアント] を使用してクラウド PC を一覧表示します。
この認証により、Azure Active Directory プロンプトがトリガーされ、Azure Active Directory とお客様の OS の両方でサポートされている資格情報の種類が許可されます。
クラウド PC 認証
ユーザーは、次の場合にクラウド PC に対して認証する必要があります。
- クラウド PC に直接マップされる URL に移動するとき。
- [リモート デスクトップ クライアント] を使用して、クラウド PC に接続するとき。
この認証要求は、Azure AD Join を使用したクラウド PC の場合は Azure AD によって、Hybrid Azure AD Join を使用したクラウド PC の場合はオンプレミスの Active Directory によって処理されます。
注意
ユーザーがクラウド PC に直接マップする Web ブラウザー URL を起動すると、最初に Windows 365 サービス認証が表示され、次にクラウド PC 認証が表示されます。
クラウド PC 認証では、次の資格情報の種類がサポートされています:
- Windows デスクトップ クライアント
- ユーザー名とパスワード
- スマートカード
- Windows Hello for Business の証明書信頼
- Windows Hello for Business の証明書の主要信頼
注意
スマートカードおよび Windows Hello 認証では、Hybrid AADJ で使用する場合、Windows デスクトップ クライアントが Kerberos 認証を実行できる必要があります。 これには、物理クライアントがドメイン コントローラーへの見通し線を持っている必要があります。
- Windows ストア クライアント
- ユーザー名とパスワード
- Web クライアント
- ユーザー名とパスワード
- Android
- ユーザー名とパスワード
- iOS
- ユーザー名とパスワード
- macOS
- ユーザー名とパスワード