リモートデスクトップに接続できない!? そもそも許可していますか?【Windows 10/11】:Tech TIPS(2/2 ページ)
リモートデスクトップは、あらかじめ許可しておかないと接続できない。Windows 10/11でリモートデスクトップを有効にする方法や注意点を具体的に説明する。これで、ネットワークを介して、リモートでPCを操作できるようになる。
グループポリシーでリモートデスクトップ接続ができるようにする
複数のWindows PCに対し、リモートデスクトップで接続できるようにする場合、前述のGUIで設定しようとすると手間がかかる。特にActive Directoryドメイン環境に所属するPCが対象なら、グループポリシーでリモートデスクトップ接続を有効化する方が効率的だろう。
以下では、「グループポリシーの管理」ツールで作成済みのグループポリシーオブジェクト(以下、「GPO」と略)を編集して、リモートデスクトップ接続に必要な設定を追加する、という前提で説明する。
●【グループポリシー】リモートデスクトップ接続を許可する
リモートデスクトップ接続を許可するには、次のポリシーを「有効」にする。
| 項目 | 内容 |
|---|---|
| パス (左ペイン) |
[コンピューターの構成] −[ポリシー] −[管理用テンプレート] −[Windowsコンポーネント] −[リモートデスクトップサービス] −[リモートデスクトップセッションホスト] −[接続] |
| 設定名 (右ペイン) |
ユーザーがリモートデスクトップサービスを使ってリモート接続することを許可する |
| 設定すべき値 (右ペイン) |
「有効」 |
| リモートデスクトップ接続を許可するためのポリシー | |
●【グループポリシー】ネットワークレベル認証を強制する
特段の理由がなければ、リモートデスクトップに接続しようとするクライアントに対し、ネットワークレベル認証を求める(強制する)方が安全だ。それには次のポリシーを「有効」にする。
| 項目 | 内容 |
|---|---|
| パス (左ペイン) |
[コンピューターの構成] −[ポリシー] −[管理用テンプレート] −[Windowsコンポーネント] −[リモートデスクトップサービス] −[リモートデスクトップセッションホスト] −[セキュリティ] |
| 設定名 (右ペイン) |
リモート接続にネットワークレベル認証を使用したユーザー認証を必要とする |
| 設定すべき値 (右ペイン) |
「有効」 |
| ネットワークレベル認証を強制するためのポリシー | |
●【グループポリシー】ファイアウォールでリモートデスクトップ接続の着信を許可する
前述のGUIによる設定では、リモートデスクトップ接続を許可すると、そのためのファイアウォールの受信規則も自動的に有効化され、クライアントから接続可能になる。
一方、グループポリシーでリモートデスクトップを有効化した場合は、同じ受信規則を明示的に有効化する必要がある。それには以下のようにポリシーを設定すればよい。
| 項目 | 内容 |
|---|---|
| パス (左ペイン) |
[コンピューターの構成] −[ポリシー] −[Windowsの設定] −[セキュリティの設定] −[セキュリティが強化されたWindows Defenderファイアウォール] −[セキュリティが強化されたWindows Defenderファイアウォール - <GPO>] −[受信の規則] |
| 設定内容 (右ペイン) |
定義済みの「リモートデスクトップ」の受信規則を許可 |
| ファイアウォールでリモートデスクトップ接続の着信を許可するためのポリシー | |
●【グループポリシー】リモートデスクトップのサービスを自動起動させる
グループポリシーでリモートデスクトップ接続を許可しても、環境や状況によってはリモートデスクトップのサービスプログラム「Remote Desktop Services」が起動せず、接続に失敗することがある。
そのような場合は、Windows OSの起動時に「Remote Desktop Services」が自動的に起動するよう、以下のポリシーを設定するとよい。
| 項目 | 内容 |
|---|---|
| パス (左ペイン) |
[コンピューターの構成] −[ポリシー] −[Windowsの設定] −[セキュリティの設定] −[システムサービス] |
| サービス名 (右ペイン) |
Remote Desktop Services |
| 設定すべき値 | スタートアップを「自動」にする |
| リモートデスクトップのサービスを自動起動させるためのポリシー | |
●【グループポリシー】一般ユーザーアカウントから接続可能にする
管理者ではない一般のユーザーアカウントでリモートデスクトップに接続するには、そのアカウントを「Remote Desktop Users」というローカルグループに所属させる必要がある。それには次のようにポリシーを設定すればよい。
| 項目 | 内容 |
|---|---|
| パス (左ペイン) |
[コンピューターの構成] −[ポリシー] −[Windowsの設定] −[セキュリティの設定] −[制限されたグループ] |
| 設定内容 (右ペイン) |
「Remote Desktop Users」ローカルグループに対象のユーザー/グループを追加 |
| リモートデスクトップのサービスを自動起動させるためのポリシー | |
リモートデスクトップ接続ができるか確認する
リモートデスクトップを有効にしたところで、別のWindows PCから接続できるか試してみよう。それには、以下のように「リモートデスクトップ接続」アプリを操作して接続する。
- タスクバーの検索アイコンまたは検索ボックスをクリック
- 検索ボックスに「リモート」と入力
- 見つかった「リモートデスクトップ接続」というアプリをクリックして起動
- アプリのウィンドウ左下にある[オプションの表示]ボタンをクリックして、オプションを設定するためのタブを表示させる
- [コンピューター]欄に、メモしておいたコンピュータ名を入力
- [ユーザー名]欄に、ユーザー名を入力
- [画面]タブを選択
- 画面解像度などを設定
- [接続]ボタンをクリック
- 資格情報の入力を求めるダイアログが表示されたら、設定したユーザーアカウントに対応するパスワードを入力する。Windows OSサインイン時のPINは通用しないので注意
- [OK]ボタンをクリック
- 証明書に関する警告が表示されたら、ひとまず[はい]ボタンをクリックして接続を強行する
- 接続に成功すると、リモートデスクトップのウィンドウが表示され、接続先PCのデスクトップが表示される。マウスやキーボードでの操作もできるはずだ
「リモートデスクトップ接続」アプリは以下の場所にショートカットがあるので、そこから起動してもよい。
- Windows 10: [スタート]ボタン−[Windowsアクセサリ]
- Windows 11: [スタート]ボタン−[すべてのアプリ]−[Windowsツール]
接続先PCで接続が許可されていなかったり、ファイアウォールの受信規則が未設定だったりすると、「接続しています」という画面がずっと表示され続け、最後に「リモートデスクトップはリモートコンピューターに接続できません。以下のいずれかが原因です。……」というダイアログが表示される。その場合は、接続先のPCの設定を再確認すること。
[接続]ボタンを押すと、すぐに「リモートデスクトップはコンピューター名 "<コンピュータ名>" を検出できません」というエラーが返されるなら、指定したコンピュータ名の「名前解決」ができていない恐れがある。その場合は、ドメイン名を外したコンピュータ名を指定したり、接続先PCのIPアドレスを指定したりしてみよう。Windows PCのIPアドレスは「ipconfig」コマンドの「IPv4アドレス」欄で確認できる。
接続途中で証明書に関する警告が表示されるのは、デフォルトだと正式な証明書が接続先PCに割り当てられていないことが原因だ。解決方法はTech TIPS「Windowsでリモートデスクトップ接続のサーバに『正しい』証明書を割り当てる」を参照していただきたい。
■関連リンク
- リモート デスクトップ - PC へのアクセスを許可する(Microsoft Docs)
- Active Directory Group Policy Restricted Groups(グループポリシーの「制限されたグループ」の解説)[英語](Microsoft TechNet)
■更新履歴
【2022/05/31】Windows 11に対応しました。グループポリシーでファイアウォールやサービス起動、一般ユーザー追加をする方法を追記しました。
【2019/01/15】初版公開。
Copyright© Digital Advantage Corp. All Rights Reserved.