当社は小規模な会社 (ユーザー 4 名、デバイス 7 台) で、最近、PC 上のローカル アカウントの混乱から Office 365 用の Azure AD の使用に移行しました。計画では、ユーザーごとにアカウントを作成し、そのアカウントを使用して誰でもどのマシンにもログオンできるようにし、それに応じて一部のマシン上のファイルへのアクセスを制御していました。Microsoft 365 Business Standard に無料で付属するもの以外のライセンスは所有していません (また、必要ないことを願います)。これまでのところ順調です。
また、一部の従業員がオフィス内のマシンの 1 つにリモート接続できるようにしたいと考えています。以前は、OpenVPN で接続してから、標準の Windows 10 RDP クライアントを使用してこれを実行していました。現在、AAD が導入されているため、クライアントが AAD に参加している場合にのみ機能するようです。クライアントが AAD に登録されている場合、「資格情報が機能しませんでした」と「ログオンに失敗しました」という画面が表示されます。個人所有のデバイスに参加したくないのですが、登録するのが「正しい」方法のように思えます。
マイクロソフトはページこれを機能させるための要件があり、それらを満たしていると思います。クライアントはテナントに登録されており、Azure ポータルにもそのように表示されます。関係するすべてのデバイスは 21H1 以降です。ユーザーはホスト上の適切なグループに属しています (参加しているデバイスからリモートでアクセスできます)。他にも何かあるはずですが、何が足りないのでしょうか?
答え1
14 か月後... 今では問題なく動作します。AzureAD テナントの構成に変更はなかったと思いますが、リモート PC とクライアント PC の両方が Windows 10 21H2 に移行しました。以前使用していた同じ PC を参加解除し、登録してリモート接続することができました。おそらく、Microsoft 側で何かが変更されたのでしょう。
動作させるための手順:
- クライアントPCをドメインに登録する
- PCを再起動する
- OpenVPN 経由で TAP モードでリモート AzureAD 参加マシンに接続します (別の物理ネットワーク上にいるため、AzureAD や RDP とは関係ない可能性があります)
- リモートデスクトップクライアントで接続してみる
- 資格情報の入力を求められた場合は、 形式でユーザー名を入力します。 ドキュメントにも動作するはずだと書かれていますが、私の環境では動作しませんでした。
AzureAD\[email protected][email protected]