👻

AADアカウントでRDPするとき

2021/02/07に公開

MS365E3のライセンスが当たっているEntra(AzureAD)アカウントでログオンしているPCにRDP接続しようとしたらできなくてちょっと調べていたら、MSKKにいる人のブログにつながっているエントリが見つかった。

Azure AD に参加した端末へのRDP接続

それによると、RDP接続設定ファイルを自分で書いていた。曰く、下記の設定だった。

full address:s:192.0.2.1:3389
prompt for credentials:i:0
enablecredsspsupport:i:0
authentication level:i:2

結論からするとこの設定書いたらつながったのでこれでいいのだけど、設定がなんなのかわからなかったのでリファレンスをあたった。

Supported Remote Desktop RDP file settings

  • full address:s: はIPアドレスでの指定が必要。
  • prompt for credentials:i: これはなんだろう?docsにはなかった。
  • enablecredsspsupport:i: はCredSSPを認証に試用するかどうかを決める。今回は使わない。
  • authentication level:i: は認証レベル。認証レベルというのはどういう挙動をするか、の設定である。今回は 2 なので下記の挙動になる。

2:サーバー認証が失敗したら、警告を表示して、接続するか接続を拒否するかをユーザーに決定させる (警告する)`

prompt for creadentialsのみ見つからなかったが、別のサイトにはレジストリの情報としてこのパラメーターがあった。

クライアント コンピューターで資格情報を要求する

自分のOSのみではあるが、 SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services にはパラメーターが無かったので、恐らくWindows 10より過去のバージョンで廃止になったのでは無いだろうかと推察する。

Prompt for credentials on client

Windows Server 2008 R2のみの設定項目のようだった。

レッツ! Windows 7 - リモートデスクトップ編(2)

prompt for credentials:i
接続時の資格情報確認を制御するパラメータです。簡単に述べれば、Windows 7に保存されている接続用ユーザー名およびパスワードを使用するか、その都度入力するか、というもの。<全般>タブの「ログオン設定」セクションにある<資格情報を常に確認する>と連動しており、値が「0」の場合は同項目のチェックが外れ、保存された資格情報を使用します。値が「1」の場合は同項目にチェックが入り、資格情報の入力を行ないます(図06)。

マイナビにある解説を見ると少なくともWindows7世代には設定があることがわかる。ただまあ、資格情報を常に入力するかどうかという挙動については特に影響はしないような気がする。

冒頭のエントリの話に絡めると、Windows10世代の話としてされているようなので、廃止されたけどそれを知らずに書いているか、アンドキュメントの状態で実は設定が効いているか、のどちらかだろうと推察できる。

サポートかコミュニティで聞くのが正しいかもしれない。

Discussion