リモートデスクトップに接続できない!?　そもそも許可していますか？【Windows 10／11】：Tech TIPS（2/2 ページ）

» 2022年05月31日 05時00分公開

グループポリシーでリモートデスクトップ接続ができるようにする

　複数のWindows PCに対し、リモートデスクトップで接続できるようにする場合、前述のGUIで設定しようとすると手間がかかる。特にActive Directoryドメイン環境に所属するPCが対象なら、グループポリシーでリモートデスクトップ接続を有効化する方が効率的だろう。

　以下では、「グループポリシーの管理」ツールで作成済みのグループポリシーオブジェクト（以下、「GPO」と略）を編集して、リモートデスクトップ接続に必要な設定を追加する、という前提で説明する。

●【グループポリシー】リモートデスクトップ接続を許可する

　リモートデスクトップ接続を許可するには、次のポリシーを「有効」にする。


項目	内容
パス（左ペイン）	［コンピューターの構成］　−［ポリシー］　　−［管理用テンプレート］　　　−［Windowsコンポーネント］　　　　−［リモートデスクトップサービス］　　　　　−［リモートデスクトップセッションホスト］　　　　　　−［接続］
設定名（右ペイン）	ユーザーがリモートデスクトップサービスを使ってリモート接続することを許可する
設定すべき値（右ペイン）	「有効」
リモートデスクトップ接続を許可するためのポリシー

【グループポリシー】リモートデスクトップ接続を許可する（1/2）

▼

【グループポリシー】リモートデスクトップ接続を許可する（2/2）

●【グループポリシー】ネットワークレベル認証を強制する

　特段の理由がなければ、リモートデスクトップに接続しようとするクライアントに対し、ネットワークレベル認証を求める（強制する）方が安全だ。それには次のポリシーを「有効」にする。


項目	内容
パス（左ペイン）	［コンピューターの構成］　−［ポリシー］　　−［管理用テンプレート］　　　−［Windowsコンポーネント］　　　　−［リモートデスクトップサービス］　　　　　−［リモートデスクトップセッションホスト］　　　　　　−［セキュリティ］
設定名（右ペイン）	リモート接続にネットワークレベル認証を使用したユーザー認証を必要とする
設定すべき値（右ペイン）	「有効」
ネットワークレベル認証を強制するためのポリシー

【グループポリシー】ネットワークレベル認証を強制する

●【グループポリシー】ファイアウォールでリモートデスクトップ接続の着信を許可する

　前述のGUIによる設定では、リモートデスクトップ接続を許可すると、そのためのファイアウォールの受信規則も自動的に有効化され、クライアントから接続可能になる。

　一方、グループポリシーでリモートデスクトップを有効化した場合は、同じ受信規則を明示的に有効化する必要がある。それには以下のようにポリシーを設定すればよい。


項目	内容
パス（左ペイン）	［コンピューターの構成］　−［ポリシー］　　−［Windowsの設定］　　　−［セキュリティの設定］　　　　−［セキュリティが強化されたWindows Defenderファイアウォール］　　　　　−［セキュリティが強化されたWindows Defenderファイアウォール - ＜GPO＞］　　　　　　−［受信の規則］
設定内容（右ペイン）	定義済みの「リモートデスクトップ」の受信規則を許可
ファイアウォールでリモートデスクトップ接続の着信を許可するためのポリシー

【グループポリシー】ファイアウォールでリモートデスクトップ接続の着信を許可する（1/3）

▼

【グループポリシー】ファイアウォールでリモートデスクトップ接続の着信を許可する（2/3）

▼

【グループポリシー】ファイアウォールでリモートデスクトップ接続の着信を許可する（3/3）

●【グループポリシー】リモートデスクトップのサービスを自動起動させる

　グループポリシーでリモートデスクトップ接続を許可しても、環境や状況によってはリモートデスクトップのサービスプログラム「Remote Desktop Services」が起動せず、接続に失敗することがある。

　そのような場合は、Windows OSの起動時に「Remote Desktop Services」が自動的に起動するよう、以下のポリシーを設定するとよい。


項目	内容
パス（左ペイン）	［コンピューターの構成］　−［ポリシー］　　−［Windowsの設定］　　　−［セキュリティの設定］　　　　−［システムサービス］
サービス名（右ペイン）	Remote Desktop Services
設定すべき値	スタートアップを「自動」にする
リモートデスクトップのサービスを自動起動させるためのポリシー

【グループポリシー】リモートデスクトップのサービスを自動起動する（1/2）

▼

【グループポリシー】リモートデスクトップのサービスを自動起動する（2/2）

●【グループポリシー】一般ユーザーアカウントから接続可能にする

　管理者ではない一般のユーザーアカウントでリモートデスクトップに接続するには、そのアカウントを「Remote Desktop Users」というローカルグループに所属させる必要がある。それには次のようにポリシーを設定すればよい。


項目	内容
パス（左ペイン）	［コンピューターの構成］　−［ポリシー］　　−［Windowsの設定］　　　−［セキュリティの設定］　　　　−［制限されたグループ］
設定内容（右ペイン）	「Remote Desktop Users」ローカルグループに対象のユーザー／グループを追加
リモートデスクトップのサービスを自動起動させるためのポリシー

【グループポリシー】一般ユーザーアカウントから接続可能にする（1/4）

▼

【グループポリシー】一般ユーザーアカウントから接続可能にする（2/4）

▼

【グループポリシー】一般ユーザーアカウントから接続可能にする（3/4）

▼

【グループポリシー】一般ユーザーアカウントから接続可能にする（4/4）

リモートデスクトップ接続ができるか確認する

　リモートデスクトップを有効にしたところで、別のWindows PCから接続できるか試してみよう。それには、以下のように「リモートデスクトップ接続」アプリを操作して接続する。

タスクバーの検索アイコンまたは検索ボックスをクリック
検索ボックスに「リモート」と入力
見つかった「リモートデスクトップ接続」というアプリをクリックして起動
アプリのウィンドウ左下にある［オプションの表示］ボタンをクリックして、オプションを設定するためのタブを表示させる
［コンピューター］欄に、メモしておいたコンピュータ名を入力
［ユーザー名］欄に、ユーザー名を入力
［画面］タブを選択
画面解像度などを設定
［接続］ボタンをクリック
資格情報の入力を求めるダイアログが表示されたら、設定したユーザーアカウントに対応するパスワードを入力する。Windows OSサインイン時のPINは通用しないので注意
［OK］ボタンをクリック
証明書に関する警告が表示されたら、ひとまず［はい］ボタンをクリックして接続を強行する
接続に成功すると、リモートデスクトップのウィンドウが表示され、接続先PCのデスクトップが表示される。マウスやキーボードでの操作もできるはずだ

　「リモートデスクトップ接続」アプリは以下の場所にショートカットがあるので、そこから起動してもよい。

Windows 10：［スタート］ボタン−［Windowsアクセサリ］
Windows 11：［スタート］ボタン−［すべてのアプリ］−［Windowsツール］

リモートデスクトップ接続ができるか確認する（1/6）

▼

リモートデスクトップ接続ができるか確認する（2/6）

▼

リモートデスクトップ接続ができるか確認する（3/6）

▼

リモートデスクトップ接続ができるか確認する（4/6）

▼

リモートデスクトップ接続ができるか確認する（5/6）

▼

リモートデスクトップ接続ができるか確認する（6/6）

　接続先PCで接続が許可されていなかったり、ファイアウォールの受信規則が未設定だったりすると、「接続しています」という画面がずっと表示され続け、最後に「リモートデスクトップはリモートコンピューターに接続できません。以下のいずれかが原因です。……」というダイアログが表示される。その場合は、接続先のPCの設定を再確認すること。

　［接続］ボタンを押すと、すぐに「リモートデスクトップはコンピューター名 "＜コンピュータ名＞" を検出できません」というエラーが返されるなら、指定したコンピュータ名の「名前解決」ができていない恐れがある。その場合は、ドメイン名を外したコンピュータ名を指定したり、接続先PCのIPアドレスを指定したりしてみよう。Windows PCのIPアドレスは「ipconfig」コマンドの「IPv4アドレス」欄で確認できる。

　接続途中で証明書に関する警告が表示されるのは、デフォルトだと正式な証明書が接続先PCに割り当てられていないことが原因だ。解決方法はTech TIPS「Windowsでリモートデスクトップ接続のサーバに『正しい』証明書を割り当てる」を参照していただきたい。

■関連リンク