問題
- ドメインユーザーがRDP経由でVirtual Desktops Infrastructureクライアント(仮想マシン)に接続できるようにするには、RDPが二要素認証で保護されている必要があります。
解決方法
Virtual Desktops Infrastructure(VDI)クライアントのRDP接続を2FAで保護し、2つ目の認証要素としてワンタイムパスワード(OTP)を入力しないとRDP経由でのアクセスを許可しないようにするには、VDIテンプレートをインストールして要件に基づいて構成した後で、2つの重要な変更を行う必要があります。
VDI テンプレート(Windows 7 など)をインストールして事前設定し、お客様(または顧客)の要件に合わせてシステムをカスタマイズし、ESET Secure Authentication(ESA)のリモートデスクトッププラグインをインストールします(製品マニュアルのインストールセクションを参照)。
sysprep を実行する前に、2 つの重要な手順があります:
- ESA Credential Proxy Services サービスが起動している場合にのみ、リモートデスクトップサービスを起動するように依存関係を設定します。
これを行うには、Windows キー+Rキーの組み合わせを押して、[ファイル名を指定して実行]ダイアログに次のコマンドを入力(またはコピー&ペースト)し、Enter キーを押します:sc config TermService depend= EsaCpProxy/RpcSs - Run]ダイアログで以下のコマンドを実行し、ESA Credential Proxy Servicesサービスをドメインアカウント(ドメイン管理者アカウントなど)で実行するように設定します:
sc config EsaCpProxy obj= "domainusername" password= "password"
obj="domainユーザ名" password="パスワード" ここで、domainユーザ名は、Active Directoryドメインのドメイン名と希望するドメイン・ユーザの ユーザ名に置き換える必要がある。同様に、password は、特定のドメインユーザーのパスワードに置き換える必要がある。
この例では、以下のコードを実行した:
sc config EsaCpProxy obj= "acswin2012anexadministrator" password= "demo1234"
安全対策として、ESA クレデンシャル・プロバイダ・プロキシ・サービス(EsaCpProxy)サービスを、障害が発生した場合に自動的に再起動するように構成できます。Run」ダイアログで以下のコマンドを実行することで実現できます:
sc failure EsaCpProxy actions= restart/60000/restart /60000// reset= 120このコマンドを実行すると、EsaCpProxy サービスが 60 秒で再起動される。
ステップ No.1 と 2 の変更に成功すると、[サービス]リストで対応するサービスを表示できます:
- Ctrl」+「Shift」+「Esc」キーを押して、Windowsタスク・マネージャを開きます。
- サービス]タブに切り替え、右下の[サービス...]ボタンをクリックして[サービス] ウィンドウを開きます。
- ESA Credential Provider Proxy Servicesサービスを検索してダブルクリックし、[Log On]タブに切り替え、[This account] オプションが選択され、上記のステップ番号 2 のスクリプトで使用したドメインユーザのユーザ名が表示されます。
図 1-1
クリックすると拡大表示されます。
- Remote Desktop Servicesサービスをダブルクリックし、[Dependencies]タブに切り替えます。
図 1-2
クリックすると拡大表示されます。
