リモートデスクトップ接続でログオンする
リモートデスクトップ接続でリモートPCにログオンする手順を記載します。
前提条件
- 接続先の端末PCにソフトウェアがインストールされていること
- 認証器登録が終わっていること
- 「サインインオプションの限定」ポリシーが有効になっていること
- 接続元・接続先ともにOSがWindows10、Windows11、またはWindowsServer2022以降であること
リモートデスクトップアプリケーションを起動し、ログオンしたいPCに接続します。
リモートデスクトップ接続のネットワークレベル認証(NLA)が有効な場合は、ログオンしたいPCのユーザー名・パスワードを指定してリモートデスクトップに接続してください。
YubiOn FIDO Logonはリモートデスクトップ接続後のログオン画面での認証をカスタマイズする製品のため、リモートデスクトップ接続時の認証については従来のWindows標準の認証を用います。
ネットワークレベル認証が有効の場合は、リモートデスクトップ接続後のログオンユーザーはネットワークレベル認証で指定されたユーザーに固定されます。
この指定されたユーザー以外はFIDO Logonのログオンが表示されません。
ネットワークレベル認証が無効の場合は、基本的には接続後のログオン画面でユーザー名を指定する形になります。(詳細はこちら)
接続元PCがWindows 11の場合
接続元PCがWindows 10の場合
リモートデスクトップ上での認証の際は、Windowsに標準搭載されているセキュリティ機能を利用して認証を行います。
接続元のPCのWindowsのバージョンによって、ご利用可能な認証器が異なります。
2024年6月現在、スマートフォンを認証器として用いたい場合は接続元のOSがWindows11である必要があります。
PINまたは生体情報などのFIDO2に対応したセキュリティキー、またはスマートフォンを使用している場合、
入力したWindowsパスワードは安全に保存され、次回以降の入力が省略されます。
Windowsのパスワードを変更した場合は再度入力が必要になります。
パスワードキャッシュの再生成について
パスワードキャッシュは、FIDO認証の際に取得できる情報から最適な暗号化方式を使用してキャッシュ保存が行われます。
基本的には認証情報ごとにパスワードキャッシュが生成・使用されますが、以下のような認証方法の差異・変更によってパスワードキャッシュの再生成が必要になる場合があります。
・Windowsパスワードの変更
・スマートフォン認証時のデバイスの差異
・認証経路の違い(直接ログオン・リモートデスクトップログオン)
・PC・スマートフォンのOS・ソフトウェアアップデート
パスワードキャッシュの再生成が必要な場合、ログオンのタイミングで再度Windowsパスワードの入力が要求されますので、画面の指示にしたがってパスワードを入力してください。
Windowsのログオンが成功するとデスクトップが表示されます。
リモートデスクトップでログオンする場合、「認証器取り外し時スクリーンロック」機能は対応しておりません。
オフライン状態での認証について
YubiOn FIDO Logonはオンラインでの認証を行います。
ただし、管理者が組織の設定でキャッシュログオン(オフラインでのログオン)を有効に設定している場合は、以下の条件でオフライン状態でのログオンが可能です。
・組織の設定でキャッシュログオンが有効になっていること
・端末PCでオンラインの認証が成功していること
・オンライン認証が成功してから組織の設定で指定した日数以内であること
ネットワークレベル認証が無効な場合のユーザー選択について
ネットワークレベル認証が無効の場合は基本的にリモートデスクトップ接続後のログオン画面でユーザー名を入力・選択する形式になります。
ただし、接続先に対して一度でもネットワークレベル認証を行った場合、Windows標準のリモートデスクトップアプリ側でユーザー名を記録するため、ユーザー名が固定されてしまう場合があります。
リモートデスクトップアプリのユーザー名情報は接続元PC内の以下のレジストリキーに記録されています。
\HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\(接続先IPアドレス)\UsernameHint