デバイスにアクセスするための RDP プロキシ サービスの作成
RDP サービスは、クライアント上のローカル サードパーティ RDP アプリケーションを呼び出して、デバイスに接続します。ネイティブ RDP クライアントのサポートは、任意のネイティブ RDP クライアントにアクセス制御を拡張します。
3-4
HID_ConfigRDPProxy
RDP サービスは、クライアント上のローカル サードパーティ RDP アプリケーションを呼び出して、デバイスに接続します。ネイティブ RDP クライアントのサポートは、任意のネイティブ RDP クライアントにアクセス制御を拡張します。
RDP プロキシ設定には、RDP アプリケーション設定が必要です。
RDP プロキシ サービスでは、以下の
Privileged Access Manager
ポリシーをサポートしています。- ソケット フィルタリング
- 自動ログイン
- セッション記録
- トランスペアレント ログイン
RDP プロキシ サービスを作成するには、以下の手順に従います。
- [サービス]-[TCP/UDP サービス管理]を選択します。
- 新しい TCP/UDP サービスで、[追加]を選択します。
- サービス名:サービスの名前を入力します。
- ローカル IP:有効なローカル ループバック アドレスを入力します。
- ポート:「3389」(RDP の場合)と、ローカル ポート マッピングまたはアスタリスクを入力します。例:3389:12345 または 3389:*
- プロトコルは TCP に設定されたままにする必要があります。
- [有効化] チェック ボックスを選択します。
- [アクセス]ページでサービスをボタンとして表示するには、[列で表示]を選択します。そうしない場合、サービスはドロップダウン リストに表示され、よりコンパクトになります。
- [アプリケーション プロトコル]では、ドロップダウン リストから[RDP]オプションを選択します。
- RDP アプリケーション:以前に設定されたアプリケーション サービスを選択します。これにより、RDP プロキシ サービスを使用してトランスペアレント ログインを起動できます。アプリケーション サービスを設定するには、[サービス]-[アプリケーション サービス]に移動します。このオプションは、アプリケーション プロトコルとして RDP を選択した場合にのみ表示されます。
- ラーニング モード: RDP プロキシ サービスを使用して、ラーニング モードを起動するオプションを[アクセス]ページに表示するには、このチェック ボックスをオンにします。ラーニング モードの間、Privileged Access Manager はプロビジョニングされた RDP アプリケーションの認証情報処理インターフェースを学習します。このプロセスは、Privileged Access Manager に格納されているトランスペアレント ログイン設定ファイル内の必要なシーケンスをキャプチャします。このオプションをオンにすると、[列で表示]も有効になり、[アクセス]ページに表示される RDP サービスにドロップダウン矢印が表示されます。矢印をクリックすると、ラーニング モードを有効または無効にしてサービスを起動できます。ドロップダウン矢印を使用すると、ラーニング モードが有効になっているサービスと[アクセス]ページに表示されないサービスを区別できます。[ラーニング モード]ドロップダウン矢印は、グローバル管理者またはサービス マネージャの特権を持つユーザの[アクセス]ページにのみ表示され、他のすべてのユーザに対しては非表示になります。このオプションは、アプリケーション プロトコルとして RDP を選択した場合にのみ表示されます。
- [クライアント アプリケーション]には、クライアントを自動的に起動する場合にパスに入力します。
- 有効な RDP サービスにアクセスすると、ここで指定されたパスが起動します。Windows リモート デスクトップ アプリケーション:C:\[パス]\mstsc.exe [オプション]/v:<ローカル IP>:<最初のポート>これらのリテラル文字列は、実行時に置き換えられます。
- <Local IP> は、[ローカル IP]フィールドの IP アドレスで置換されます。ここでローカル IP を繰り返さないでください。
- <最初のポート> は、[ポート]で定義されている第 1 ローカル ポート(コロンの後)で置換されます。
- [OK]を選択します。
- 接続する RDP ターゲット デバイスに対応するデバイスを作成します。
- デバイス内でのデバイス管理は、アドレスフィールドのターゲット IP アドレス(FQDN を使用しない)でデバイスを作成 します。
- [サービス]タブでコントロールを使用して、作成したサービスを[使用可能なサービス]から[Selected Services (選択されたサービス)]に移動します。
- [OK]を選択します。
- [アプリケーション名]としてターゲット アプリケーションを使用し、[ターゲット アカウント]を作成します。[アカウント名]が <User> に代入され、[パスワード]が <Password> に代入されます。詳細については、「ターゲット アプリケーションへのターゲット アカウントの追加」を参照してください。
- ターゲット デバイスをユーザまたはグループにリンクさせるポリシーを作成します。
- [サービス]タブで、作成したサービスを選択します。
- [ターゲット アカウント]列で、[編集]の虫眼鏡アイコンを使用してアカウントを選択します。
管理者設定
以下のオプションのいずれかを許可するネイティブ RDP サービスを設定することができます。
- ([クライアント アプリケーション]フィールドの)Privileged Access Managerサービス コマンド ライン仕様を使用したオプションでの RDP アプリケーションの自動呼び出し。
- 実行時にコマンドを適用するユーザによる RDP アプリケーションの手動呼び出し。アプリケーションを呼び出すには、[アクセス]ページでサービスのリンクを選択します。
手動の呼び出し
TCP/UDP サービスが
クライアント アプリケーション
を指定せずに RDP を使用するように設定されている場合、ユーザはインストール済みの任意のアプリケーション(mstsc など)を手動で呼び出すことができます。ユーザ エクスペリエンス
自動呼び出し
適切に設定されたクライアント上のユーザが[アクセス]ページの[サービス]リンクを呼び出します。RDP クライアント(PuTTY)は指定されたスイッチやコマンドで自動的に実行されます。
- ログインまたはターゲットへの自動接続の後、ユーザはターゲット上の X11 アプリケーションをすぐに実行できます。アプリケーション出力はワークステーションに転送されます。
- コマンドが指定する場合、コマンドが実行を完了するとセッションはすぐにを閉じます。