RADIUS MFA プロバイダーの追加

RADIUS MFA プロバイダーを追加するには、以下の操作を実行します。

1. [サイト設定] > [接続] > [多要素認証] に移動します。

2. プラス記号のアイコンをクリックし、追加したいプロバイダーを選択します。

3. 次の要素を指定します。

   • 名前: プロバイダーの名前です。

   • 説明: プロバイダーの説明です。

   • [テーマ] テーブルで、この MFA プロバイダーを使用するテーマを選択します。

4. [次へ] をクリックします。

5. 次の要素を指定します。

   • 表示名: クライアント側のログオン画面に表示される接続タイプの名前を指定します。ユーザーにとって理解しやすい名前を指定する必要があります。

   • プライマリサーバーおよびセカンダリサーバー: この 2 つのフィールドでは、構成に含める RADIUS サーバーを 1 台または 2 台指定できます。2 台のサーバーを指定すると、RADIUS ホストの高可用性を構成することができます（下記参照）。ホスト名または IP アドレスを入力してサーバーを指定するか、[...] ボタンをクリックして Active Directory 経由でサーバーを選択します。

     RADIUS サーバーが 2 台指定されている場合は、[HA モード] ドロップダウンリストから次の高可用性モードのいずれかを選択します。[アクティブ - アクティブ（パラレル）] は、コマンドが両方のサーバーに同時に送信され、最初に応答した方が使用されます。[アクティブ - パッシブ（フェイルオーバー）] は、フェイルオーバー動作を意味し、タイムアウトが 2 倍になり、Parallels RAS は両方のホストからの応答を待ちます。

   • HA モード: 上記のプライマリサーバーおよびセカンダリサーバーを参照してください。プライマリサーバーのみを指定した場合、このフィールドは無効になります。

   • ポート: RADIUS サーバーのポート番号を入力します。デフォルト値を使用するには、[デフォルト] ボタンをクリックします。

   • タイムアウト: パケットタイムアウトを秒単位で指定します。

   • 再試行: 接続の確立を試みる場合の再試行回数を指定します。

   • 秘密鍵: 秘密鍵を入力します。

   • パスワードのエンコード: RADIUS サーバーで指定した設定に従って [PAP]（パスワード認証プロトコル）または [CHAP]（チャレンジハンドシェイク認証プロトコル）から選択します。

   • ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。

   • RADIUS サーバーにユーザー名のみを送る: 必要に応じてこのオプションを選択します。

   • 最初のパスワードを Windows 認証プロバイダーに転送する: このオプションを選択すると、パスワードを 2 回入力するプロンプトを回避できます（RADIUS と Windows AD）。Azure MFA サーバーでは、このオプションは常に有効にされていて、解除できないことに注意してください。

6. 完了したら、[作成] をクリックします。

RADIUS MFA プロバイダーを構成する

RADIUS MFA プロバイダーを構成するには、以下の操作を実行します。

1. [サイト設定] > [接続] > [多要素認証] に移動します。

2. 構成するプロバイダーの名前をダブルクリックします。

3. [編集] ボタンをクリックします。

4. 設定可能なカテゴリーは以下の通りです。

   • [概要] および [接続] カテゴリー: 上記を参照してください。

   • 属性: https://download.parallels.com/ras/v19/docs/en_US/Parallels-RAS-19-Administrators-Guide/46769.htm を参照してください。

• 自動化: https://download.parallels.com/ras/v19/docs/en_US/Parallels-RAS-19-Administrators-Guide/46770.htm を参照してください。

• 制限: 多要素認証ルールの構成を参照してください。

1. 完了したら、[保存] をクリックします。

注: 既存の FSLogix プロファイルコンテナー構成があり、その構成を Parallels RAS で管理したい場合は、「Parallels RAS で既存プロファイルの管理を構成する」の追加説明を参照してください。

Microsoft FSLogix プロファイルコンテナーは、ローミングプロファイルおよびユーザープロファイルディスク（UPD）の後継技術として利用されることの多いプロファイル管理ソリューションです。これは、パーシスタントでない環境でユーザーコンテキストを維持し、サインイン時間を最小限に抑え、互換性の問題を排除するネイティブプロファイルのユーザーエクスペリエンスを提供できるように構成されています。

Parallels はバージョン 18 以降、FSLogix プロファイルコンテナーを統合、構成、メンテナンス、およびサポートする機能を提供し、Storage Spaces Direct、Azure Files、Azure NetApp ファイル、SMB および Cloud Cache などでサポートされるプロトコルに基づいて、耐障害性と可用性をサポートします。

サポートされる FSLogix プロファイルコンテナーのリリース

Parallels RAS は、リリース 2105 までの FSLogix プロファイルコンテナーリリースでテストされています。

前提条件

FSLogix プロファイルコンテナーのライセンス資格は、以下のライセンスのいずれかを取得している場合に利用できます。

• Microsoft 365 E3、E5

• Microsoft 365 A3、A5、学生使用特典

• Microsoft 365 F1、F3

• Microsoft 365 Business

• Windows 10 Enterprise E3、E5

• Windows 10 Education A3、A5

• Windows 10 VDA（ユーザー単位）

• リモートデスクトップサービス（RDS）クライアントアクセスライセンス（CAL）

• リモートデスクトップサービス（RDS）サブスクライバーアクセスライセンス（SAL）

その他の前提条件は以下の通りです。

• FSLogix の推奨項目に応じて構成されたプロファイルコンテナーストレージ。

• Parallels RAS が FSLogix 設定を管理するホストでは、FSLogix に関連する GPO ポリシーを無効にしておく必要があります。

Parallels RAS に FSLogix プロファイルコンテナーアプリケーションをインストールする

Parallels RAS 管理ポータルに FSLogix プロファイルコンテナーアプリケーションをインストールするには、次の操作を実行します。

1. [サイト設定] > [FSLogix] に移動します。

2. 右ペインで [編集] をクリックし、以下のインストール方法を選択します。

   • 手動でインストールする: ホストにインストールされた FSLogix プロファイルコンテナーアプリケーションを手動で使用します（Parallels RAS では FSLogix エージェントはインストールされません）。

   • オンラインでインストールする: Microsoft のウェブサイトから FSLogix プロファイルコンテナーをインストールします。ドロップダウンリストで、サポートされている任意のバージョンを選択します。カスタムの URL を指定するには、[カスタム URL] を選択して、所定のフィールドで URL を指定します。最新のサポート対象バージョンを自動的に検出する場合は、[最新情報を検出] をクリックします。最新バージョンが識別され、 [オンラインでインストールする] ドロップダウンリストに追加されます。

   • ネットワーク共有からインストールする: ローカルで利用可能な FSLogix エージェントをインストールします（Parallels RAS には Microsoft から提供される公式 ZIP アーカイブが必要です）。

   • RAS Connection Broker からプッシュする: 最新バージョンの FSLogix エージェントがダウンロードされ、RAS Connection Broker 側に保存されて、ターゲットセッションホストにプッシュされます。

FSLogix プロファイルコンテナーを使用するためのセッションホストの構成

なお、本ガイドの執筆時点で RAS 管理ポータルは、FSLogix プロファイルコンテナーの使用に供する RD セッションホストの構成目的でのみ利用できます。その他のホストタイプの場合は、デスクトップベースの RAS Console をご利用ください。

セッションホストを構成するには、次の操作を実行します。

1. [インフラストラクチャ] > [RD セッションホスト] に移動します。

2. リストからホストをクリックして、[プロパティ] をクリックします。

3. 中央のペインで [ユーザープロファイル] をクリックします。

4. [編集] をクリックして、編集を有効にします。サイトまたはホストプールのデフォルト値を上書きするには、[デフォルトを継承] を解除して、独自の設定を指定します。サイトまたはホストプールのデフォルトを変更するには、対応するリンクをクリックし、それぞれのビューで編集を行います。

5. ニーズに合わせて設定を指定します。

このセクションでは、Google Authenticator を構成する方法を説明します。

Google Authenticator を構成するには、以下の手順を実行します。

1. [サイト設定] > [接続] > [多要素認証] に移動します。

2. 構成する Google Authenticator プロバイダーの名前をダブルクリックします。

3. [編集] ボタンをクリックします。

4. 次の要素を指定します。

   • 名前: プロバイダーの名前です。

   • 説明: プロバイダーの説明です。

   • [テーマ] テーブルで、この MFA プロバイダーを使用するテーマを選択します。

   • 表示名: この場合のデフォルト名は「Google Authenticator」です。その名前は、Parallels Client の登録ダイアログの”Google Authenticator アプリを iOS または Android のデバイスにインストールしてください”という部分に表示されます。名前を変更すると、“iOS または Android 端末に <new-name> アプリをインストールしてください”のように、文中に指定した名前が表示されます。技術面からすると、どの認証アプリでも使用できますが（つまり、名前を変更することも可能ですが）、この資料の執筆時点では Google Authenticator アプリだけが正式にサポートされています。

   • ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。

   • 必要に応じて、デフォルトの TOTP 許容範囲を変更します。

   • [登録] セクションでは、必要に応じて Google Authenticator のユーザー登録を制限できます。すべてのユーザーが制限なしで登録できるようにしたり（ [許可] オプション）、指定した日時までに限り登録できるようにしたり（[次の日時まで許可]）、登録を完全に無効にしたり（[許可しない] オプション）できます。有効期限が切れていたり、[許可しない] オプションが選択されていたりして、登録が無効になっている場合にユーザーがログインを試みると、登録が無効化されていることを示すエラーメッセージが表示され、システム管理者に問い合わせるよう促されます。登録を制限したり無効にしたりしても、Google 認証機能や他の TOTP プロバイダーを使用することができますが、それ以上のユーザーの登録を許可しないようなセキュリティが追加されています。これは、危殆化した認証情報を持つユーザーが MFA に登録する可能性を軽減するためのセキュリティ対策です。

   • 未登録ユーザーに情報を表示: 未登録のユーザーが間違った資格情報を入力したときに、ユーザー名またはパスワードが正しくありませんというエラーを表示するかどうかを選択します。

     • なし（もっとも安全）: 未登録のユーザーには、エラーではなく TOTP プロンプトが表示されます。

     • 登録が許可された場合: ユーザー登録が許可されている場合、未登録のユーザーにはエラーが表示されます。そうでない場合は、TOTP プロンプトが表示されます。

     • 常に: 未登録のユーザーには必ずエラーが表示されます。

   • [ユーザー管理] セクションの [ユーザーをリセット] フィールドでは、ユーザーが Google 認証を使用して Parallels RAS に初めてログインしたときに受け取ったトークンをリセットできます。ユーザーをリセットすると、ユーザーは登録手続きを再び実行しなければならなくなります（詳細については、下記の**「Parallels Client での Google 認証の使用」**を参照）。特定のユーザーを検索することも、すべてのユーザーをリセットすることも、ユーザーのリストを CSV ファイルからインポートすることも可能です。

   • 制限: 多要素認証ルールの構成を参照してください。

5. 完了したら、[保存] をクリックします。

Parallels Client での Google Authenticator の使用

Google Authenticator は、サポートされているいずれのプラットフォームで実行している Parallels Client でも利用できます（モバイル、デスクトップ、Web Client でサポートされています）。

Google 認証を使用するには、ユーザーが認証アプリを自分の iOS デバイスまたは Android デバイスにインストールしなければなりません。Google Play または App Store にアクセスして、アプリをインストールしてください。認証アプリをインストールしたら、二要素認証を使用して Parallels RAS に接続する準備が整ったことになります。

Parallels RAS に接続するには、以下の手順を実行します。

1. Parallels Client またはユーザーポータルを開き、自分の資格情報を使用してログインします。

2. 多要素認証ダイアログが開き、バーコード（QR コード）と秘密鍵が表示されます。

3. モバイルデバイスで Google 認証アプリを開きます。

   • 初めて使用する場合は、[開始] をタップし、[バーコードをスキャンする] をタップします。

   • Google 認証の別のアカウントを持っている場合は、プラス記号のアイコンをタップし、[バーコードをスキャンする] を選択します。

4. Parallels Client のログインダイアログに表示されているバーコードをスキャンします。

   何かの理由でうまくスキャンできない場合は、アプリに戻り、[秘密鍵を入力する] を選択し、アカウント名と Parallels Client のログインダイアログに表示されている秘密鍵を入力します。

5. アプリで [アカウントを追加する] をタップすると、アカウントが作成され、ワンタイムパスワードが表示されます。

6. Parallels Client に戻り、[次へ] をクリックし、[OTP] フィールドにワンタイムパスワードを入力します。

その後のログインでは、資格情報（[パスワードの保存] オプションが選択されている場合は不要）と、Google 認証アプリで取得したワンタイムパスワードを入力するだけで十分です（アプリによって新しいパスワードが生成されます）。RAS 管理者がユーザーをリセットすると（このセクションの最初にある [ユーザーをリセット] フィールドの説明を参照）、ユーザーが上記の登録手順を繰り返さなければならなくなります。

サイトは、ファーム階層内における次のレベルのグループです。接続やリモートアプリケーションサービスを提供する、コアコンポーネント、セッションホスト、およびその他のオブジェクトが含まれます。

サイトのグローバル設定を管理するには、サイドバーで [サイト設定] カテゴリーをクリックします。

このトピックでは、Parallels RAS で既存の FSLogix プロファイルコンテナーの管理を構成する方法について説明します。FSLogix プロファイルコンテナーの構成により、プロファイルをリダイレクトされる場所と方法を定義できます。通常、プロファイルの設定はレジストリ設定や GPO で行います。Parallels RAS では、外部ツールを使用せずに、Parallels RAS Console または RAS 管理ポータルからプロファイルを構成することができます。

ご利用いただく前に

Parallels RAS で FSLogix プロファイルコンテナーを構成する前に、以下の点に注意してください。

• プロファイル自体を変更する必要はなく、既存のプロファイルをそのまま使用できます。

• FSLogix プロファイルコンテナーのロケーションとして、SMB ネットワーク共有やクラウドキャッシュなど、既存のロケーションを引き続き使用できます。

準備

準備として以下の手順を実行します。

1. 既存のプロファイルをバックアップします。プロファイルデータが喪失または破損することはほとんどありませんが、プロファイル構成を変更する前に有効なバックアップを取得しておくことをお勧めします。

2. FSLogix プロファイルコンテナーの GPO 構成をオフにします。GPO からの FSLogix プロファイル管理と Parallels RAS からの管理を同時に有効にすることはできません。それで、この手順が重要になります。

3. RAS ファーム内のサーバーで FSLogix プロファイルを設定する前に、サーバーでユーザーセッションが実行されていないことを確認してください。業務時間外のメンテナンス期間に移行作業を行うことも考慮できるでしょう。

GPO と FSLogix の構成を複製する

Parallels RAS で既存の FSLogix プロファイルコンテナーを構成するには、既存の GPO を Parallels RAS の FSLogix 構成に複製する必要があります。これは、Parallels RAS Console または Parallels 管理ポータルで実行できます。

RAS 管理ポータルでプロファイルを構成するには:

1. [インフラストラクチャ] > [RD セッションホスト] に移動します。

2. リストからホストをクリックして、[プロパティ] をクリックします。

3. 中央のペインで [ユーザープロファイル] をクリックします。

4. [プロファイルディスクの場所] リストボックスで、FSLogix プロファイルを保存する既存の SMB またはクラウドキャッシュの場所を指定します。さらに、プロファイルディスクのフォーマット、割り当てタイプ、既定サイズを指定します。

5. 中央のペインで、[ユーザーとグループ]、[フォルダー]、[詳細設定] 項目をクリックして、ユーザーの除外やフォルダーの除外など、サーバー上にある FSLogix の他の設定を行います。

なお、本ガイドの執筆時点で RAS 管理ポータルは、FSLogix プロファイルコンテナーの使用に供する RD セッションホストの構成目的でのみ利用できます。その他のホストタイプの場合は、デスクトップベースの RAS Console をご利用ください（以下を参照）。

RAS Console でプロファイルを設定するには:

1. ホスト、サイトのデフォルト値、またはテンプレートの [プロパティ] ダイアログで、[ユーザープロファイル] タブを開きます。

2. [プロファイルディスクの場所] リストボックスで、FSLogix プロファイルを保存する既存の SMB またはクラウドキャッシュの場所を指定します。さらに、プロファイルディスクのフォーマット、割り当てタイプ、既定サイズを指定します。

3. [詳細設定] ボタンをクリックして、ユーザーの除外やフォルダーの除外など、サーバー上にある FSLogix の他の設定を行います。

推奨事項とテスト

前のセクションの手順を実行する場合、RAS ファームに存在する複数の（またはすべての）サーバーをまとめて構成することは避けてください。1 台のサーバー（例: RD セッションホスト）から着手し、1 人のユーザーを接続した上でテストを行ってください。その後、他のサーバーを設定し、同一ユーザーが複数のサーバーに連続してログインするテストを行います。このテストで、いずれのセッションホストでもプロファイルが読み込まれ、カスタマイズされた機能が利用できることを確認します。特に問題がなければ、他のホスト、ホストプール、またはサイトのデフォルトを構成します。

RAS ユーザーは、Parallels RAS によって集中管理される、既存の FSLogix プロファイルコンテナーを使用して Parallels RAS に接続することが可能です。

多要素認証（MFA）は、すべてのユーザー接続に対して有効または無効にできますが、特定の接続に対してはより複雑なルールを構成できますこの機能を使用すると、同じユーザーやコンピューターに対して MFA を有効化/無効化し、ユーザーがどの場所のどのデバイスから接続しているかに応じてポリシーを適用することが可能になります。各 MFA プロバイダーには、ユーザー接続に対するマッチングに使用される 1 つまたは複数の条件で構成されるルールがあります。各条件は、マッチング可能な 1 つまたは複数の特定のオブジェクトで構成されています。

次のオブジェクトのマッチングを実行できます。

• ユーザー、ユーザーが所属するグループ、またはユーザーが接続するコンピューター

• ユーザーが接続する Secure Gateway

• クライアントデバイス名

• クライアントデバイスのオペレーティングシステム

• IP アドレス

• MAC アドレス

ルールについて、次のことに注意してください。

• 条件は AND 演算子で連結されます。たとえばあるルールに、特定の IP アドレスに一致という条件とクライアントデバイスのオペレーティングシステムに一致という条件が含まれる場合、ユーザーの接続が IP アドレスの条件とクライアントオペレーティングシステムの条件の両方に一致する場合に、ルールが適用されます。

• オブジェクトは OR 演算子で接続されます。たとえば、クライアントデバイスのオペレーティングシステムに一致するという条件のみを作成した場合、いずれかのオペレーティングシステムがクライアント接続に一致すれば、ルールが適用されます。

ルールを構成するには、次の操作を実行します。

1. [サイト設定] > [接続] > [多要素認証] に移動します。

2. 構成する Google Authenticator プロバイダーの名前をダブルクリックします。

3. 制限リンクをクリックします。

4. [編集] ボタンをクリックします。

5. [デフォルトを継承] オプションをオフにします。

6. ルールの条件を指定します。以下のコントロールを利用できます。

   • Allow: 指定すると、ユーザー接続が条件に一致した場合に、MFA プロバイダーを有効化しなければならなくなります。Allow をクリックして、Deny に変更できます。

   • Disable: ユーザー接続が条件に一致した場合に、MFA プロバイダーを有効にしないというポリシーを指定します。Deny をクリックして、Allow に変更できます。

   • （+）: 新しい条件を追加します。一致条件として、Secure Gateway、クライアントデバイス名、クライアントデバイスのオペレーティングシステム、IP アドレス、MAC アドレスのいずれかを使用したい場合は、**（+）**をクリックします。

   • is: ユーザー接続が条件に一致した場合に、MFA プロバイダーを有効化すること（または有効化しないこと。Allow と Deny による）を指定します。is をクリックして、is not に変更できます。このコントロールは、少なくとも 1 件のオブジェクトが追加されたときに表示されます。

   • is not: ユーザー接続が条件に一致しなかった場合に、MFA プロバイダーを有効化すること（または有効化しないこと。Allow と Deny による）を指定します。is not をクリックして、is に変更できます。このコントロールは、少なくとも 1 件のオブジェクトが追加されたときに表示されます。

   また、条件の左側のスイッチをクリックすることで、条件を無効化および有効化できます。

7. 完了したら、[保存] をクリックします。

プリンターリダイレクトでは、ユーザーは印刷ジョブをリモートアプリケーションまたはデスクトップからローカルプリンターにリダイレクトできます。ローカルプリンターは、ユーザーのコンピューターに接続することも IP アドレス経由で接続したローカルネットワークプリンターとして使用することもできます。RAS ユニバーサルプリントでは、クライアント側の特定のローカルプリンターのプリンタードライバーをリモートサーバーにインストールする必要をなくすることで、印刷プロセスを簡素化し、プリンタードライバーのほとんどの問題が解決します。そのため、ユーザーはローカルでどのプリンターをインストールしたかに関係なく印刷でき、RAS 管理者はローカルネットワークに接続されたそれぞれのプリンターにプリンタードライバーをインストールする必要がありません。

ユニバーサルプリントを構成するには、[サイト設定] > [ユニバーサルプリント] に移動します。

プリンターの設定: 名前の変更のパターン

デフォルトでは、Parallels RAS は次のパターンを使用してプリンター名を変更します。%PRINTERNAME% for %USERNAME% by Parallels。例えば、Alice という名前のユーザーに Printer1 という名前のローカルプリンターがあるとします。Alice がリモートアプリケーションまたはデスクトップを起動すると、プリンターは Printer1 for Alice by Parallels という名前になります。

[プリンター名の変更パターン] フィールドで新しいパターンを指定して、デフォルトのプリンター名変更パターンを変更できます。使用可能な定義済み変数を確認するには、[変数を追加] ボタンをクリックします。変数は次の通りです。

• %CLIENTNAME% - クライアントコンピューターの名前。

• %PRINTERNAME% - クライアント側のプリンターの名前。

• %SESSIONID% - RAS セッション ID。

• %USERNAME% - RAS に接続しているユーザーの名前。

• <2X Universal Printer> - これはレガシーモードで、RDP セッションでプリンターオブジェクトが 1 つだけ作成されます。

プリンター名変更パターンでは、他の文字列を使用することもできます。たとえば、次の一般的に使用されるパターンを定義できます。

Client/%CLIENTNAME%#/%PRINTERNAME%。

上記のパターン（および前述の例の Alice という名前のユーザー）を使用すると、ローカルプリンターの名前は Client/Alice's Computer#/Printer1 になります

[サイト内のサーバー] リストにある各サーバーに異なるプリンター名変更パターンを指定できます。

注: リダイレクトされたプリンターにアクセスできるのは、管理者とプリンターをリダイレクトしたユーザーのみです。

プリンターの設定: プリンターの保持

クライアント定義のプリンターがリモートセッションにリダイレクトされると、処理に時間がかかり、セッション確立の全体的な動作に影響が及びます。ユーザーエクスペリエンスを改善するために、以前に作成したユーザーのプリンターを使用できます。これを行うには、[プリンターの保持] オプションを [プリンターの保持の最適化を有効にする] に設定します。

ドライバー

システム管理者は、クライアント側のプリンタードライバーのリストを管理できます。プリンタードライバーに対して、ユニバーサルプリントのリダイレクト権限を許可または拒否することができます。

この機能を使用すると、次のことが可能になります。

• 不要なプリンターリダイレクトによるサーバーリソースのオーバーロードを回避します。ユーザーの大半はすべてのローカルプリンターをリダイレクトするため（デフォルトの設定）、多数のリダイレクトされたデバイスを実際には使用していないサーバー上に作成します。これは主に、PDFCreator、Microsoft XPS Writer、または各種の FAX デバイスのようなさまざまなペーパーレスのプリンターが関係します。

• 特定のプリンターが原因でサーバーが不安定になることを回避します。プリンターによってはサーバーが不安定になることがあるため（スプーラーサービスコンポーネント）、その結果、概してすべての接続ユーザーがプリントサービスを使用できなくなる場合があります。プリントサービスの継続して使用するために、管理者がそのようなドライバーの”拒否”リストを作成できることは重要です。

[ドライバー] セクションでプリンタードライバーを指定するには、次の操作を実行します。

1. [モード] ドロップダウンリストで、リダイレクトを許可するプリンターを次のオプションから選択します。

   • 任意のドライバーを使用するプリンターのリダイレクトを許可: （デフォルト）: このオプションは、リダイレクト権限を使用するためにプリンターが使用しているドライバーの種類を制限しません。

   • リストのいずれかのドライバーを使用するプリンターのリダイレクトを許可: このオプションを選択すると、「許可」されたドライバーがリストに追加されます。ドライバーを追加するには、プラス記号のアイコンをクリックし、ドライバー名を入力します。

   • リストのいずれかのドライバーを使用するプリンターのリダイレクトを拒否: これはおそらく、この機能のコンテキストでもっとも便利なオプションです。リストに指定されているドライバーを使用するプリンターのリダイレクト権限を拒否します。その他のすべてのプリンターについてリダイレクトの使用を許可します。

2. リストからプリンタードライバーを削除するには、マイナス記号のアイコンをクリックします。

次の点を確認してください。

• プリンタードライバーをリストに追加するときは、プリンター名ではなく、_ドライバー_名を入力してください。

• ドライバー名は、大文字と小文字を区別し、完全一致する必要があります（名前の一部や、ワイルドカードは使用できません）。

• このタブで指定した設定は、個々のサーバーだけでなくサイト全体に影響します。

フォント

フォントを埋め込む必要があります。ユニバーサルプリントを使用してドキュメントを印刷する場合、ドキュメントがクライアントマシンのローカルスプーラーにコピーされ印刷されます。クライアントマシンにフォントが存在しない場合、印刷が正しく出力されません。

フォントの埋め込みの除外: 特定のフォントタイプを埋め込みから除外するには、リストでそのフォントを選択します。1 つまたは複数のフォントを追加するには、プラス記号のアイコンをクリックします。

自動的にインストールされるフォント: サーバーとクライアントに特定のフォントタイプを自動的にインストールするには、[自動的にインストールされるフォント] セクションのプラス記号のアイコンをクリックします。

注: デフォルトでは、自動インストールリストに追加されているフォントは埋め込みリストから除外されます。そのようなフォントは Windows クライアントにインストールされているため、埋め込む必要はありません。

FSLogix を設定するには、

1. 次のいずれかを実行します。

   • サイトのデフォルトを設定するには、[インフラストラクチャ] > [ホストプール] > [RD セッションホスト] > [プロパティ] > [サイトのデフォルト値] > [ユーザープロファイル] に移動します。

   • ホストプールを構成するには、[インフラストラクチャ] > [ホストプール] > <ホストプール名> > [プロパティ] > [サイトのデフォルト値] > [ユーザープロファイル] に移動します。

   • 個別のホストを構成するには、[インフラストラクチャ] > [RD セッションホスト] > <ホスト名> > [プロパティ] > [ユーザープロファイル] に移動します。

2. プロファイルコンテナーを使用するには、[ユーザープロファイル] > [FSLogix プロファイルコンテナー] に移動します。

   • ユーザーとグループ: ユーザーとグループの包含リストと除外リストを指定します。デフォルトでは、すべてのユーザーが FSLogix プロファイルの包含リストに追加されます。一部のユーザープロファイルをローカルのままにする場合は、該当のユーザーを除外リストに追加できます。ユーザーとグループは両方のリストに追加できますが、除外リストが優先されます。

   • フォルダー: フォルダーの包含リストと除外リストを指定します。共通フォルダーから選択することも、手動でフォルダーを指定することもできます。フォルダーはユーザープロファイルのパスに配置する必要があります。ご注意ください。

   • ディスク: プロファイルディスクの設定を指定します。場所の種類: プロファイルディスクの場所の種類（SMB の場所、またはクラウドキャッシュ）を選択し、1 つまたは複数の場所を指定します。プロファイルディスクの場所: プロファイルディスクの場所（1 つまたは複数）です。これは、VHD（X）ファイルの場所（FSLogix ドキュメントに記載されている、レジストリ内の VHD の場所の設定）です。プロファイルディスクのフォーマット: 要件に応じて、VHD または VHDX を選択します。VHDX はより新しいフォーマットであり、より多くの機能を備えています。割り当てタイプ: [動的] または [フル] を選択します。この設定は、[デフォルトサイズ] の設定（以下を参照）と一緒に使用して、プロファイルのサイズを管理します。[動的] を選択すると、割り当てられたデフォルトサイズにかかわらず、プロファイルコンテナーは最低限のディスク領域を使用します。ユーザープロファイルにより多くのデータが入力されると、ディスクのデータ量はデフォルトサイズで指定したサイズにまで増加しますが、デフォルトサイズを上回ることはありません。デフォルトサイズ: 新たに作成された VHD（X）のサイズを MB 単位で指定します。

   • アドバンスト: このタブでは、FSLogix の詳細なレジストリ設定を変更できます。デフォルトでは、設定は無効になっています。設定を有効にするには、設定名の前にあるチェックボックスをオンにします。各設定の説明は RAS Console に表示されます。FSLogix プロファイルコンテナーの構成について詳しくは、 を参照してください。

3. プロファイルコンテナーを使用するには、[ユーザープロファイル] > [FSLogix - オフィスコンテナー] に移動します。

   • ユーザーとグループ: 上と同様です。

   • ディスク: 上と同様です。

   • アドバンスト: 上と同様です。

4. クラウドキャッシュを構成するには、[ユーザープロファイル] > [FSLogix - クラウドキャッシュ] に移動します。これらの設定の詳細については、https://learn.microsoft.com/en-us/fslogix/reference-configuration-settings?tabs=ccd#fslogix-settings-profile-odfc-cloud-cache-logging を参照してください。

5. ログを構成するには、[ユーザープロファイル] > [FSLogix - ログ] に移動します。これらの設定の詳細については、https://learn.microsoft.com/en-us/fslogix/reference-configuration-settings?tabs=ccd#fslogix-settings-profile-odfc-cloud-cache-logging を参照してください。

接続と認証の設定を管理するには、[サイト設定] > [接続] に移動します。

認証タイプの選択

ユーザーがサイトに接続すると、ログインする前に認証が行われます。認証タイプを構成するには、[接続] ペインで [認証] を選択し、次のいずれかを選択します。

• 資格情報: ユーザー資格情報は RAS が実行されている Windows システムによって認証されます。Windows の認証に使用される資格情報も、RDP セッションにログインするために使用されます。

• スマートカード: スマートカード認証。Windows 認証と同様に、スマートカードの資格情報は、RAS と RDP 間で共有されます。そのため、スマートカードの資格情報を入力する必要があるのは 1 回だけです。Windows 認証と異なり、ユーザーに必要な情報はスマートカードの PIN のみです。ユーザー名はスマートカードから自動的に取得されるため、ユーザーはこれを提供する必要がありません。

• ウェブ（SAML）: SAML SSO 認証。

• ウェブ + 資格情報。**ウェブ（SAML）**と同じですが、ユーザーが公開アプリケーションを起動するときに資格情報の入力が求められます。

スマートカードの認証情報が無効の場合、RAS Connection Broker は Local Security Authority Subsystem Service （LSASS）を組み込みません。スマートカード認証は、Parallels Client for Windows/Mac/Linux で使用できます。Parallels Client が RDP セッション内で実行されている場合、スマートカードは認証に使用できないことに注意してください。

スマートカードを使用するには、ユーザーのデバイスに有効な証明書をインストールしておく必要があります。そのためには、認証局のルート証明書をデバイスの鍵ストアにインポートしなければなりません。

以下の条件を満たした証明書を使用してください。

• ”キー使用法”フィールドにデジタル署名が入っていなければなりません。

• ”サブジェクト代替名”（SAN）フィールドにユーザーのプリンシパル名（UPN）が入っていなければなりません。

• ”拡張キー使用法”フィールドにスマートカードのログオンとクライアント認証が入っていなければなりません。

認証ドメイン

認証を実行するドメイン（または複数のドメイン）を指定するには、以下のいずれかを選択します。

• 特定: このオプションを選択し、特定のドメイン名を入力します。

• 信頼性のある全ドメイン: Parallels RAS に接続するユーザーについての情報がフォレスト内のさまざまなドメインに保存されている場合、複数のドメインに対して認証するには、[信頼性のある全ドメイン] オプションを選択します。

• [指定されたクライアントドメインを使用]。このオプションを選択すると、Parallels Client の接続プロパティで指定されたドメインを使用します。クライアント側でドメイン名が指定されていない場合、上記の設定に従って認証が行われます。

• クライアントに NetBIOS 資格情報の使用を強制する: このオプションを選択すると、Parallels Client はユーザー名を NetBIOS ユーザー名で置き換えます。

推奨: ドメイン名の変更や、その他の認証関連の変更を行った後は、セッション ID のキャッシュを削除する必要があります。現時点では、RAS Console で [設定] タブの [セッション ID のキャッシュを削除する] ボタンをクリックすることによってのみ、この作業を実行できます。

スタンドアロンマシンで指定されたユーザーに対してユーザーセッションを認証するには、ドメイン名の代わりに [workgroup_name] / [machine_name] を入力する必要があります。ワークグループ WORKGROUP のメンバーである SERVER1 と呼ばれるマシン上のローカルユーザーのリストに対してユーザーを認証する場合、ドメインフィールドには次のように入力します。WORKGROUP/SERVER1

ドメインのパスワードを変更する

ドメインパスワードの変更にカスタム URL を使用するように Parallels Client を構成できます。

ドメインパスワードの変更にカスタム URL を使用するように Parallels Client を構成するには、次の手順を実行します。

1. [”ドメインパスワードを変更”オプションにカスタムリンクを使用する] を選択します。

2. 以下のテキストフィールドにリンクを追加します。

許可されたデバイス

[許可されたデバイス] ペインで、ファームに接続するためにクライアントが最新のセキュリティパッチを適用している必要があるかどうかを指定します。通常、このオプションは、脆弱性から環境を保護するために選択する必要があります。セキュリティパッチがインストールされていない古いバージョンの Parallels Client を使用する必要がある場合のみ、このオプションをオフにしてください。詳細については、次のナレッジベースの記事を参照してください: https://kb.parallels.com/en/125112。

スキャナーのリダイレクトによって、リモートデスクトップに接続しているユーザーや公開済みのアプリケーションにアクセスしているユーザーは、クライアントマシンに接続されたスキャナーを使用してスキャンを行うことができます。この章では、RAS ユニバーサルスキャンサービスを構成し、使用する方法について説明します。

ユニバーサルスキャンを構成するには、[サイト設定] > [ユニバーサルスキャン] に移動します。

ユニバーサルスキャンでは、WIA および TWAIN リダイレクトが使用されます。これにより、このどちらかのテクノロジーを備えたハードウェアを使用する任意のアプリケーションをクライアントデバイスに接続し、スキャンを行うことができます。ユニバーサルスキャンでは、サーバーに特定のスキャナードライバーをインストールする必要がありません。

注: RD セッションホストで WIA と TWAIN の両方のスキャンを有効にするには、**「デスクトップエクスペリエンス」**というサーバー機能が必要です。

デフォルトでは、ホストサーバーが RAS ファームに追加され、Agent ソフトウェアがインストールされると、ユニバーサルスキャンドライバーが自動的にインストールされます。

スキャン名の変更パターンの構成

デフォルトでは、Parallels RAS は次のパターンを使用してスキャナー名を変更します。%SCANNERNAME% for %USERNAME% by RAS。たとえば、ローカルで SCANNER1 を設置しているユーザーである Lois が、リモートデスクトップまたは公開済みのアプリケーションに接続した場合、このユーザーのスキャナー名は "SCANNER1 for Lois by RAS" に変更されます。

スキャナー名の変更パターンを変更するには、[スキャナー名の変更パターン] 入力フィールドに新しいパターンを指定します。名前の変更のために使用できる変数は次の通りです。

• %SCANNERNAME% - クライアント側のスキャナー名。

• %USERNAME% - サーバーに接続しているユーザーのユーザー名。

• %SESSIONID% - アクションセッションの ID。

リストのサーバーごとに異なる名前変更パターンを構成できます。

注: リダイレクトされたスキャナーにアクセスできるのは、管理者と、スキャナーをリダイレクトしたユーザーのみです。

スキャンアプリケーションの追加

ユニバーサルスキャン機能を使用する TWAIN アプリケーションは、TWAIN 構成に追加する必要があります。この方法では、TWAIN ドライバーを使用するため、管理者は簡単にセットアップを実行できます。

アプリケーションをスキャンアプリケーションのリストに追加するには、以下の操作を実行します。

1. [TWAIN] カテゴリーを選択します。

2. 右側のペインでプラス記号のアイコンをクリックし、実行可能なアプリケーションの名前を入力します。

注: アプリケーションによっては、異なるまたは複数の実行ファイルが使用される場合があります。必要なすべての実行ファイルがスキャンアプリケーションのリストに追加されていることを確認してください。

リストからスキャンアプリケーションを削除するには、リストでアプリケーションを選択し、 マイナス記号のアイコンをクリックします。

注: リストからアプリケーションを削除しても、アプリケーションのインストールは影響を受けません。

多要素認証（MFA）を設定するには、[サイト設定] > [接続] > [多要素認証] に移動します。

多要素認証を使用する場合、ユーザーはアプリケーションリストを取得するために連続する 2 つの段階経由で認証を実行する必要があります。この場合、ネイティブ認証（Active Directory/LDAP）と以下の MFA のうちいずれかが使用されます:

• • Azure MFA（RADIUS）

  • Duo（RADIUS）

  • FortiAuthenticator（RADIUS）

  • TekRADIUS

  • RADIUS

• TOTP

  • Microsoft Authenticator

  • TOTP（時間ベースのワンタイムパスワード）

• Deepnet

• SafeNet

なお、本ガイドの執筆時点で RAS 管理ポータルでは、RADIUS または TOTP MFA プロバイダーを追加/構成する操作のみを実行できます。他のプロバイダーを設定するには、デスクトップベースの Parallels RAS Console を使用する必要があります。