Windows hello business(パスワードレス)を使う場合のRDPについてざっと調べた結果
はじめに
Windows hello businessを使ってパスワードレスを実現する時、RDPもパスワードレスで実装できないか?ということを思ったので調べてみた
※追ってもう少し綺麗に書き直す予定
※この記事は正確でない情報を含む可能性があります
Hybrid Joinの場合
Entra Hybrid Joinだと↓がおすすめ remote credential guard
こちらの記事が非常にわかりやすい
ざっくり言うと、RDPクライアント側でのログイン情報をRDPホスト側で利用するイメージ。そのため、RDP時には認証が不要でSSOできるような動作となる。通常のRDPよりログイン情報が盗取されにくいよう。
公式ドキュメント WHfBでのRDPシナリオにもおすすめとして書いてある。
Remote Credential Guard とは。。について詳しくはこちら
注意点としては、
・ローカル側での認証情報を利用することになるので、ローカルで使ったユーザー以外でRDPしたい場合等の回避方法がないことである。
・また、Entra参加デバイスでは利用できない。
リモート資格情報ガードは、Active Directory ドメインに参加しているデバイスに接続する場合にのみ使用できます。 Microsoft Entra ID に参加しているリモート デバイスに接続する場合は使用できません
EntraJoinの場合
Entra Joinだとこちらがおすすめ。WebAuthn
こちらの記事が非常にわかりやすい
ざっくり言うと、RDP使用とするとEntraIDでの認証に飛ばされて(=すなわちWHfBを使ったパスワードレスログインが可能)、その認証情報を使ってRDPできるイメージ。
詳細な条件はこれ https://learn.microsoft.com/ja-jp/windows/client-management/client-tools/connect-to-remote-aadj-pc?…
このメソッドを使用すると、次の場所からリモート Microsoft Entra参加済みデバイスに接続できます。
- Microsoft Entra参加済みまたはハイブリッド参加済みデバイスMicrosoft Entra。
- Active Directory 参加済みデバイス。
- ワークグループ デバイス。
デバイスついて
ここでいう”リモートEntra参加済みデバイス”というのはHybrid Joinを包含するっぽい。
・RDPクライアントはワークグループorEntra参加済みorハイブリッド参加済みである必要がある。
・RDPホストはEntra参加済みorハイブリッド参加済みである必要がある。
と想定される。
すなわち、RDPホストとなるサーバ等がHybrid Joinでなくドメイン参加のみだとできない。
ユーザーアカウントについて
・RDPをするアカウントは、EntraIDに存在するアカウントであれば可能である。すなわちオンプレADにのみ存在するアカウントでは利用できない。
Hybrid Join端末へのへのRDPをする際、オンプレADのAdministratorでRDPしたいというニーズもあるだろうから、その場合はこの方法を使ったパスワードレスのRDPはできない。通常通りパスワードを入力してRDPするイメージとなる。
※ちょっと正確でないかも。。。
Discussion