# RDP接続 ## 概要 KeeperPAMは、RDPプロトコルを使用して、対象インフラに対するゼロトラスト特権セッション管理を実現します。本ページでは、Keeperボルト内のPAMマシンレコードでRDP接続を設定する方法をご紹介します。ボルトからKeeperゲートウェイを経由し、安全なRDPセッションが対象デバイスへ直接確立されます。 ## 要件 まず、接続の「[はじめに](/keeperpam/jp/privileged-access-manager/connections/getting-started.md)」のページに記載されている要件をご確認ください。 本プロトコルを設定するには、以下のPAMレコードが必要となります。
PAMレコード説明
PAM構成対象のインフラに関する情報が含まれています。
PAMマシンレコードRDPプロトコル接続を確立したいエンドポイントに関する情報が含まれています。
PAMユーザーレコードエンドポイントに接続するために使用されるユーザー認証情報が含まれています。
本ページでは、Azure VMを例に設定方法を説明します。PAMマシンレコードでの具体的な設定方法については、[こちらのページ](/keeperpam/jp/privileged-access-manager/getting-started/pam-resources/pam-machine/example-azure-virtual-machine.md)をご参照ください。 ## PAM設定 - RDPプロトコルの構成 ### 接続設定へのアクセス 対象のエンドポイントを使用してPAMレコードタイプ (PAMマシン、PAMデータベース、PAMディレクトリ) を作成した後、以下の手順でPAM設定画面の **\[接続]** セクションに移動します。 1. PAMレコードを編集します。 2. PAM設定セクション内の **\[セットアップ]** をクリックします。 3. 表示されたウィンドウで **\[接続]** セクションに移動します。 ### 接続設定の構成 PAM設定画面でRDPプロトコル設定を構成する前に、以下のフィールドを構成する必要があります (**必須**)。
フィールド説明
PAM構成対象インフラの詳細を含み、PAMレコードで構成されている対象へのアクセスを提供します。
管理者認証情報レコードリンクされたPAMユーザーで、対象への認証と管理操作を実行するために使用されます。
以下の表は、PAM設定でのRDPプロトコルに関する接続設定の一覧です。
フィールド説明
プロトコル必須
レコードに設定するプロトコルです。選択したプロトコルに基づいて、プロトコル設定が自動的に反映されます。本ページでは、RDPプロトコルを選択してください。
接続を有効にする必須
このレコードで接続を有効にするには、このトグルをオンにします。
グラフィカルセッションの録画有効にすると、このレコードに対してグラフィカルセッションの録画が有効になります。
キー入力イベントを含める有効にすると、セッション再生時に個別のキー入力データが含まれるようになります。注: ユーザーが入力した機密情報も記録される可能性がありますのでご留意ください。
接続ポート

選択したプロトコル接続を確立するために使用されるポートです。デフォルトでは、PAMマシンレコードで定義されたポート値が使用されます。ここでポートを指定すると、デフォルトのポートが上書きされます。

RDPの場合、ポートは3389です。

接続用認証情報構成すると、接続の認証にこれらの認証情報が使用されます。詳しくはこちらを参照。
ボルトから認証情報を選択できるようにする有効にすると、ユーザー自身の個人用認証情報を使用して接続を認証できるようになります。詳しくはこちらを参照。
セッション終了時に接続用認証情報をローテーションする有効にすると、セッション終了時に、構成された接続用認証情報が自動的にローテーションされます。
セキュリティモードRDP接続で使用するセキュリティモード。データの暗号化方法や認証の種類を決定します。通常は自動ネゴシエーションが行われます。
使用できる値:
any: サーバーとネゴシエートし、RDPサーバーが好みのモードを選択 (デフォルト)
NLA: ネットワークレベル認証 (TLS使用)。"hybrid" や CredSSP とも呼ばれる
RDP Encryption: 標準的なRDP暗号化 (新しいWindowsサーバーでは通常無効)
TLS Encryption: TLS (Transport Layer Security)
Hyper-V/VMConnect: Hyper-V/VMConnectでサポートされるプロトコルの中から自動選択。Hyper-V仮想マシンのコンソールに接続する場合はこのモードが必要です。
デフォルト値: any
認証の無効化有効にすると接続時の認証が無効になります。ただし、リモートデスクトップセッション中にサーバー側で強制される認証 (ログイン画面など) は引き続き行われます。通常は認証は有効で、サーバーから要求された場合に使用されます。NLAを使用する場合は、認証は必須です。
サーバー証明書の無視有効にすると、サーバーから返された証明書が検証できなくても無視されます。自己署名証明書など、サーバーが信頼できるとわかっている場合に便利です。
ロードバランス情報/クッキー接続ブローカーに提供されるロードバランス情報またはクッキー。接続ブローカーを使用していない場合は空欄にします。
RDPソースIDRDPソースの数値ID。複数の論理RDP接続の中からどれを使用するかを指定します。RDPサーバーがこれを必要とする場合のみ設定してください。Hyper-Vを使用している場合は空欄のままで構いません。
事前接続BLOB (VM ID)RDPソースを識別する任意の文字列。複数の論理RDP接続が同じサーバーに存在する場合に使用されます。RDPプロトコル自体はこの値を解釈せず、意味はサーバー側に依存します。Hyper-Vの場合は、接続先仮想マシンのIDを指定します。
クリップボードにコピー有効にすると、接続されたプロトコルセッション内でコピーされたテキストはユーザーがアクセスできるようになります。
クリップボードから貼り付け有効にすると、ユーザーは接続されたプロトコルセッション内でクリップボードからテキストを貼り付けることができます。
SFTPを有効にする有効にすると、SFTPを使用して、ユーザーが対象システムへファイルを安全にアップロードできるようになります。対象システム側では、SSHキー認証またはパスワード認証のいずれかを設定し、有効化しておく必要があります。対象システムにOpenSSHをまだ設定していない場合は、Microsoft公式サイトに掲載されている、Windows向けOpenSSHの設定手順をご参照ください。
オーディオの無効化デフォルトではオーディオ出力は常に有効になっています。帯域幅を節約したい場合や、オーディオが問題を引き起こす場合には、無効にすることができます。
起動プログラム接続時に直ちに実行する起動プログラムのフルパスを指定します。
クライアント名RDPサーバーに接続する際、通常はKeeperが自身のホスト名をクライアント名 (client-name) として送信します。
このパラメーターを指定すると、Keeperはその値をクライアント名として使用します。WindowsのRDPサーバーでは、この値はセッション内で CLIENTNAME 環境変数として参照できます。
キーボードレイアウト

RDPサーバーで使用されるキーボードレイアウトを指定します。指定できる値は次のとおりです。

  • "da-dk-qwerty": デンマーク語
  • "de-ch-qwertz": スイスドイツ語
  • "de-de-qwertz": ドイツ語
  • "en-gb-qwerty": 英国英語
  • "en-us-qwerty": 米国英語 (デフォルト)
  • "es-es-qwerty": スペイン語
  • "es-latam-qwerty": 中南米スペイン語
  • "fr-be-azerty": ベルギーフランス語
  • "fr-ch-qwertz": スイスフランス語
  • "fr-fr-azerty": フランス語
  • "hu-hu-qwertz": ハンガリー語
  • "it-it-qwerty": イタリア語
  • "ja-jp-qwerty": 日本語
  • "pt-br-qwerty": ブラジルポルトガル語
  • "sv-se-qwerty": スウェーデン語
  • "tr-tr-qwerty": トルコ語 (Q配列)
  • "failsafe": すべてのキーに対して、キーイベントではなくUnicodeイベントを強制的に使用します

これはRDPサーバー側のキーボードレイアウトであり、クライアントで使用しているキーボードレイアウトとは関係ありません。Keeperのボルトクライアントはキーボードレイアウトに依存しませんが、RDPプロトコルは依存します。そのため、ユーザーが入力したキーを正しく送信するには、Keeperがサーバー側のキーボードレイアウトを把握している必要があります。

タイムゾーンクライアントがサーバーに送信するタイムゾーンを指定します。これは、サーバー側で表示されるローカル時刻を構成するために使用されます。タイムゾーンの形式は、UNIX/Linuxで使用されている標準の IANAタイムゾーン識別子 です。この値は、RDPによってWindows用の正しい形式に変換されます。クライアントのタイムゾーン転送に対応しているかどうかは、RDPサーバーの実装によって異なります。たとえばWindowsの場合、タイムゾーン転送がサポートされているのは、リモートデスクトップサービス (RDS、旧称Terminal Services) がインストールされたWindows Serverのみです。管理モードで動作しているWindows Serverや、WindowsクライアントOSでは、タイムゾーンを転送できません。また、XRDPなどの他のRDPサーバー実装では、この機能自体が実装されていない場合もあります。この機能が利用可能かどうかについては、使用しているRDPサーバーのドキュメントをご確認ください。
マルチタッチを有効にする

RDP接続でタッチ操作のサポートを有効にする場合は、true に設定します。RDPでマルチタッチを有効にすると、タッチイベントがリモートデスクトップへそのまま転送されます。この機能を使用するには、RDPサーバーが RDPEIチャネル をサポートしている必要があります。

このパラメーターは、Keeper自体がタッチイベントをサポートするかどうかを制御するものではありません。Keeperは常にタッチイベントをサポートしており、デフォルトではタッチ操作をマウス操作としてエミュレートします。このパラメーターは、タッチイベントをマウス操作としてエミュレートするのではなく、RDPサーバーへ直接転送するかどうかのみを制御します。

管理者コンソールtrue に設定すると、RDPサーバーのコンソール (管理者) セッションに接続されます。
### 表示パラメータ Keeperボルトクライアントは、ブラウザウィンドウのサイズやデバイスのDPIに基づいて、RDP接続に適した表示サイズを自動的に選択します。幅や高さの値を明示的に指定することで、表示サイズを固定することもできます。また、帯域幅の使用量を抑えるために、サーバー側の色深度を下げるよう指定することも可能です。 | フィールド | 説明 | | --------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | | 幅 | 要求する表示幅をピクセル単位で指定します。この値を指定しない場合は、接続元クライアントの表示幅が使用されます。 | | 高さ | 要求する表示高さをピクセル単位で指定します。この値を指定しない場合は、接続元クライアントの表示高さが使用されます。 | | 解像度 (DPI) | クライアント表示の有効な解像度をdpi単位で指定します。この値を指定しない場合は、クライアントの表示サイズと解像度をもとに、RDPセッションに適した解像度が自動的に判定されます。 | | 色深度 | 要求する色深度を、1ピクセルあたりのビット数で指定します。指定できる値は8、16、24です。なお、ここで指定した値に関わらず、Keeperは画像品質に影響がない場合には、自動的にビット数を減らして転送を最適化します。 | | ロスレス圧縮を強制 | `true` に設定すると、すべての画面更新でロスレス圧縮アルゴリズムが使用されます。デフォルトでは、Keeperがロスレス圧縮よりも効率的と判断した場合に、可逆でない圧縮が自動的に使用されます。 | | リサイズ方法 |

クライアント表示の幅または高さが変更された際に、RDPサーバーへどのように反映するかを指定します。この値を指定しない場合、クライアント表示サイズが変わっても何も行われません。通常、RDPセッションの表示サイズは接続時にのみ設定でき、接続中に変更することはできません。RDP 8.1以降では「Display Update」チャネルを使用して、サーバーに表示サイズの変更を要求できます。古いRDPサーバーでは、一度切断して再接続する方法しかありません。

指定できる値は次のとおりです。

display-update: RDP 8.1で追加された「Display Update」チャネルを使用して表示サイズ変更を通知します

reconnect: クライアント表示サイズが変更された際に、自動的にRDPセッションを切断して再接続します

| | 読み取り専用 | `true` に設定すると、接続では一切の入力を受け付けません。ユーザーはデスクトップやアプリケーションを表示できますが、操作することはできません。 | ### クリップボードのパラメータ Keeperボルトクライアントでは、RDP接続時にデフォルトで**双方向のクリップボード共有**が有効になっています。この動作は、接続ごとに上書き設定し、クリップボードへのアクセスを制限できます。 | フィールド | 説明 | | -------------------- | -------------------------------------------------------------------------------------------------------------------------- | | リモートデスクトップからのコピーを無効化 | `true` に設定すると、RDPセッション内でコピーしたテキストは、Keeperセッションのブラウザー側では使用できなくなり、リモートデスクトップ内でのみ利用可能になります。デフォルトでは、コピーしたテキストはブラウザー側からも利用できます。 | | クライアントからの貼り付けを無効化 | `true` に設定すると、Keeperセッションのブラウザー側でコピーしたテキストは、RDPセッション内で使用できなくなります。デフォルトでは、ブラウザー外部のデータをRDPセッション内に貼り付けることができます。 | ### デバイスリダイレクトのパラメータ デバイスリダイレクトとは、RDPを通じて表示デバイス以外のデバイスを利用する仕組みを指します。KeeperボルトクライアントのRDP対応では、**音声 (出力および入力)**、**印刷**、**ファイル転送**をリダイレクトできます。 * **音声出力** — デフォルトで常に有効です。無効化する場合のみ設定を変更します。 * **音声入力** — 有効にすると、リモートデスクトップセッション内でローカルのマイクを利用できます。多くの環境ではグループポリシーで無効化されているため、Windows側の追加設定が必要になることがあります。古いWindowsでは非対応の場合があります。 * **印刷** — 有効にすると、任意のドキュメントをPDFとして印刷し、ブラウザでダウンロードできます。 | フィールド | 説明 | | ------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------------------- | | コンソールセッションで音声をサポート | `true` に設定すると、RDPサーバーのコンソール (管理者) セッションで音声が明示的に有効になります。このオプションは、**「管理者コンソール」** パラメータも `true` に設定されている場合にのみ意味を持ちます。 | | 音声を無効化 | 音声出力はデフォルトで常に有効になっています。帯域幅の使用量が気になる場合や、音声が問題を引き起こす場合は、このパラメーターを `true` に設定することで、音声出力を明示的に無効化できます。 | | 音声入力 (マイク) を有効化 | `true` に設定すると、RDPの標準 **AUDIO\_INPUT** チャネルを使用して音声入力 (マイク) が有効になります。デフォルトでは、RDP内での音声入力は無効になっています。 | | 印刷を有効化 | `true` に設定すると、RDPセッション内でリダイレクトされたプリンターが利用可能になり、ユーザーはPDFとして印刷できます。印刷されたPDFは、ユーザーのブラウザに自動的にダウンロードされます。デフォルトでは、印刷は無効になっています。 | | リダイレクトされたプリンタ名 | RDPセッションに渡されるリダイレクトプリンターの名前を指定します。この名前は、アプリケーション内や「デバイスとプリンター」コントロールパネルでユーザーに表示されます。印刷のリダイレクトが有効になっていない場合、このパラメータは無視されます。 | | ドライブリダイレクトモード | **ユーザーごと** または **リソースごと** のいずれかを選び、リモートマシンとローカル端末間のファイル転送に使う仮想ドライブを定義します。**ユーザーごと** を選ぶと、ボルトにログインしている特定のユーザーのみがファイルにアクセスできます。**リソースごと** を選ぶと、ドライブはユーザー間で保持されます。 | ### ファイル転送 RDPセッション中、SFTPを使わずにリモートマシンとの間でファイルを転送できます。PAMマシンでドライブリダイレクトを有効にすると、対象マシン上に **「KeeperShare on Guacamole RDP」** という仮想ドライブが作成されます。 **アップロード:** リモートセッションウィンドウにファイルをドラッグ&ドロップします。転送後、仮想ドライブのフォルダ内に表示されます。 **ダウンロード:** リモートマシン上で、仮想ドライブ内の **「Download」** フォルダにファイルをコピーまたは移動すると、ローカル端末でネイティブのダウンロードダイアログが開きます。 この機能を有効にするには、PAMの接続設定で **「ドライブリダイレクトモード」** を **ユーザーごと** または **リソースごと** に変更します。 ### パフォーマンス関連のパラメーター/フラグ RDPには、壁紙、ウィンドウのテーマ、メニュー効果、アンチエイリアスされたフォントなど、見た目を向上させる代わりにパフォーマンスを低下させ、帯域幅の使用量を増やす機能を制御するための複数のフラグがあります。Keeperでは、帯域幅の使用量を最小限に抑えるため、これらの機能はデフォルトですべて無効になっています。ただし、必要に応じて、接続ごとに手動で再有効化することも可能です。 | フィールド | 説明 | | ---------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------- | | 壁紙を有効化 | `true` に設定すると、デスクトップの壁紙が描画されます。デフォルトでは、不要な帯域幅消費を避けるため、壁紙は無効になっています。 | | テーマを有効化 | `true` に設定すると、ウィンドウやコントロールのテーマ表示が有効になります。デフォルトでは、RDPセッション内のテーマ表示は無効です。 | | フォントのスムージング (ClearType) を有効化 | `true` に設定すると、文字が滑らかな縁で描画されます。デフォルトでは、使用する色数を減らして帯域幅を抑えるため、文字は粗い縁で描画されます。 | | フルウィンドウドラッグを有効化 | `true` に設定すると、ウィンドウの移動中に内容が表示されます。デフォルトでは、ウィンドウをドラッグしている間は枠線のみが描画されます。 | | デスクトップコンポジション (Aero) を有効化 | `true` に設定すると、半透明ウィンドウや影などの視覚効果が有効になります。デフォルトでは、利用可能な場合でも、これらの効果は無効になっています。 | | メニューアニメーションを有効化 | `true` に設定すると、メニューの開閉アニメーションが有効になります。メニューアニメーションはデフォルトで無効です。 | | ビットマップキャッシュを無効化 | `true` に設定すると、RDPのビットマップキャッシュが使用されなくなります。デフォルトでは、ビットマップキャッシュは有効です。この設定は、ビットマップキャッシュの実装に既知の不具合があるRDPサーバーを使用している場合にのみ有用で、通常は有効のままにしてください。 | | オフスクリーンキャッシュを無効化 | `true` に設定すると、現在表示されていない画面領域のキャッシュが無効になります。デフォルトでは、オフスクリーン領域のキャッシュは有効です。この設定は、オフスクリーンキャッシュの実装に既知の不具合があるRDPサーバーを使用している場合にのみ有用で、通常は有効のままにしてください。 | | グリフキャッシュを無効化 | `true` に設定すると、RDPのグリフキャッシュが使用されなくなります。デフォルトでは、グリフキャッシュは有効です。この設定は、グリフキャッシュの実装に既知の不具合があるRDPサーバーを使用している場合にのみ有用で、通常は有効のままにしてください。 | ### RemoteAppのパラメータ Windows Serverには、リモートデスクトップサービス(RDS) の機能として RemoteApp があります。RemoteAppを使用すると、RDP経由でフルデスクトップ環境を提供せずに、個別のアプリケーションのみを利用できます。Windows Serverでこの機能が有効かつ構成されている場合、または別の方法でRemoteAppが構成・有効化されている場合は、Keeperコネクションマネージャーを使用して、これらの個別アプリケーションへ接続できます。 Keeperを使用してRemoteAppにアクセスする主なメリット * **集中管理**\ 管理者は、アプリケーション、更新、権限を単一の管理画面から制御できます。 * **シームレスなユーザー体験**\ RemoteAppはブラウザ上で動作し、ユーザーにはネイティブアプリのように表示されます。 * **コスト効率**\ エンドポイントごとのインストールやプラグインは不要で、デスクトップソフトウェアの配布・保守・セキュリティ管理の負担を軽減できます。 * **セキュリティの強化**\ データやアプリケーションは安全なサーバー上に保持されます。RBAC、多要素認証、セッション記録にも対応しています。 * **クロスプラットフォーム対応**\ macOS、Linux、モバイル端末のユーザーも、RDP、SSH、VNC、データベース接続を通じて、Windows専用アプリケーションや他のシステムにアクセスできます。 | フィールド | 説明 | | -------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | プログラム |

RDSホスト、またはRemoteAppが構成されている対象システム上で起動するリモートアプリケーションを指定します。接続を開始すると、ユーザーが利用できるのは、このアプリケーションのみです。

通常、アプリケーションを利用可能にするには、あらかじめ既存または新規作成した「コレクション」内で、「RemoteApp」プログラムとして公開しておく必要があります。ここでは、RemoteAppに設定した「エイリアス」(例:

| | 作業ディレクトリ |

リモートアプリケーションで使用される作業ディレクトリを指定します(アプリケーションが対応している場合のみ)。すべてのアプリケーションが作業ディレクトリをサポートしているわけではありません。例えば、メモ帳などは対応していません。

MicrosoftのRemoteAppにおいて、作業ディレクトリとは、リモートアプリケーションがファイルを開いたり保存したりする際の既定のフォルダを指します。特に、特定の場所にあるデータや設定ファイルを前提として動作するレガシーアプリケーションでは重要です。

作業ディレクトリを指定する場合は、C:\remoteworkingdir\ のようにディレクトリパスを入力します。

| | パラメータ |

リモートアプリケーションに渡すコマンドライン引数を指定します (必要な場合のみ)。すべてのアプリケーションがコマンドライン引数に対応しているわけではありません。

使用できる引数については、対象アプリケーションのコマンドラインに関する公式ドキュメントをご参照ください。

例として、RemoteAppの cmd.exe を起動する際に、コマンド拡張を有効化し、背景色や文字色を変更し、起動時に作業ディレクトリの内容を表示したい場合は、/e:on /t:06 /k dir を指定します。cmd.exe で使用できるその他のコマンドライン引数については、Microsoftの公式ドキュメントに例が掲載されています。

| ### 負荷分散のパラメータ (接続ブローカー) リモートデスクトップサーバーがロードバランサーの背後に配置されている場合、そのロードバランサーは「接続ブローカー」や「TSセッションブローカー」と呼ばれることもあります。こうした構成では、受信した接続をどのように振り分けるかを判断するため、接続時に追加の情報が必要になることがあります。RDPでは、この情報の形式は規定されておらず、使用しているロードバランサー固有のものとなります。 ロードバランサーを使用していて、こうした情報が必要かどうか不明な場合は、**該当するロードバランサーのドキュメントを確認してください。**ロードバランサーが利便性のために `.rdp` ファイルを提供している場合は、その内容を確認し、`loadbalanceinfo` という文字列フィールドを探してください。このフィールドに、必要な情報やクッキーが指定されます。 | フィールド | 説明 | | -------------- | ------------------------------------------------------------------------- | | ロードバランス情報/クッキー | 接続ブローカーに提供するロードバランス情報、またはクッキーを指定します。接続ブローカーを使用していない場合は、この項目は空欄のままにしてください。 | ### プレ接続PDU (Hyper-V) 一部のRDPサーバーでは、単一のTCPポートで待ち受けながら、複数の論理的なRDP接続をホストしています。これらの論理接続の中から接続先を選択するために、RDPクライアントは **「プレ接続PDU」** を送信する必要があります。プレ接続PDUは、接続先を一意に識別する値を含むメッセージで、この接続先は **「RDPソース」** と呼ばれます。この仕組みは、RDPプロトコルの **「Session Selection Extension」** として定義されており、MicrosoftのHyper-Vハイパーバイザーで実装されています。 Hyper-Vを使用している場合は、接続先となる仮想マシンのIDを **「プレ接続BLOB」** として指定する必要があります。この値は、PowerShellを使用して確認できます。 ``` PS C:\> Get-VM VirtualMachineName | Select-Object Id Id -- ed272546-87bd-4db9-acba-e36e1a9ca20a PS C:\> ``` プレ接続PDUは、意図的に汎用的な仕組みとして設計されています。主な用途は、Hyper-Vの背後にある仮想マシンを選択するためのものですが、他のRDPサーバーでも使用される場合があります。プレ接続ID、BLOB、またはその両方を使用するかどうか、またそれぞれの値が何を意味するかは、RDPサーバー側の実装に委ねられています。 Hyper-Vを使用する場合は注意が必要です。Hyper-Vに組み込まれているRDPサーバーでは、認証方式およびポート番号の両方について、標準とは若干異なるパラメータが使用されるため、Keeperのデフォルト設定はそのままでは動作しません。多くの場合、Hyper-Vに接続する際には次の設定が必要になります。 1. ユーザー名とパスワードを正しく指定し、セキュリティモードを `vmconnect` に設定します。\ `vmconnect` セキュリティモードを選択すると、Hyper-Vでサポートされていることが分かっているセキュリティモードが自動的にネゴシエートされ、あわせてHyper-Vの既定のRDPポート(2179)が自動的に使用されます。 2. 必要に応じて、Hyper-Vで使用されているTLS証明書を無視します。Hyper-Vでは自己署名証明書が使用されている場合があります。 | フィールド | 説明 | | ---------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | RDPソースID |

RDPソースを識別する数値IDを指定します。0以上の整数値で、同一のRDPサーバー上に存在する複数の論理RDP接続のうち、どれを使用するかを指定します。

このパラメータは、RDPサーバーのドキュメントで必要とされている場合にのみ指定します。Hyper-Vを使用する場合は、この項目は空欄のままにしてください。

| | プレ接続BLOB (VM ID) |

RDPソースを識別するための任意の文字列を指定します。これは、同一のRDPサーバー上にホストされている複数の論理RDP接続のうち、どれを使用するかを識別するためのものです。

このパラメータは、Hyper-Vなど、RDPサーバーのドキュメントで必要とされている場合にのみ指定します。RDPプロトコル自体は、この値の意味を解釈せず、その内容はRDPサーバー側の実装に依存します。

Hyper-Vを使用する場合、この値には接続先となる仮想マシンのIDを指定します。

| ### SFTPのパラメータ (ファイル転送) Keeperでは、リモートデスクトップへのアクセスがRDP経由で行われている場合でも、SFTPを使用したファイル転送を提供できます。この機能は、RDPに組み込まれているドライブリダイレクト (RDPDR) によるファイル転送とは独立しており、特にRDPDRをサポートしていないRDPサーバーで有効です。なお、SFTPサーバーは、RDPサーバーと同一である必要はありません。 対象システムでは、対象となるSFTPユーザーに対して、SSHキー認証またはパスワード認証のいずれかを設定し、有効化しておく必要があります。対象システムにOpenSSHをまだ設定していない場合は、Microsoft公式サイトに掲載されている、[Windows向けOpenSSHのドキュメント](https://learn.microsoft.com/ja-jp/windows-server/administration/openssh/openssh_install_firstuse?tabs=powershell\&pivots=windows-server-2022)をご参照ください。 | フィールド | 説明 | | --------------- | ------------------------------------------------------------------------------------------------------------------- | | SFTPを有効化 | ファイル転送を有効にするかどうかを指定します。`true` に設定すると、指定したサーバーに対してSFTPを使用したファイルのアップロードおよびダウンロードが可能になります。省略した場合、SFTPは無効になります。 | | SFTPユーザー | SFTP接続時に使用する認証情報として指定する「PAMユーザー」レコードです。SFTPを有効化する場合、このパラメータは必須です。 | | 既定のアップロードディレクトリ | ファイルをドラッグ&ドロップでアップロードする際に、アップロード先が明示されていない場合に使用されるディレクトリを指定します。空欄の場合は、既定のアップロード先として `C:\Users\\` が使用されます。 | | SFTPキープアライブ間隔 | SFTP接続において、SSHサーバーへキープアライブパケットを送信する間隔を秒単位で指定します。`0` を指定すると、キープアライブパケットは送信されません (デフォルトの動作)。指定できる最小値は `2` です。 | #### SFTPアップロード 以下の画像では、接続セッションウィンドウにファイル `client_id.txt` をドラッグ&ドロップして、対象システムにアップロードする様子を示しています。2枚目の画像では、ファイルがアップロードされ、デフォルトのアップロードディレクトリに保存されていることが確認できます。複数のファイルをドラッグ&ドロップしてアップロードすることも可能です。
#### SFTPダウンロード 現在、リモートのWindowsシステムからローカルマシンにファイルをダウンロードする唯一の方法は、KeeperPAMのSSH接続を使用し、`guacctl` というスクリプトを利用することです。 このスクリプトを使用するには、リモートマシンでWSL2と任意のLinuxディストリビューションを実行している必要があります。 対象システムに `guacctl` をダウンロードするには、対象システムへのKeeperPAM SSHセッションを開始し、任意のディレクトリで以下のコマンドを実行します。 ```bash wget -O guacctl https://raw.githubusercontent.com/apache/guacamole-server/master/bin/guacctl ``` ファイルを実行可能に変更します。 ```bash chmod +x guacctl ``` 以下の構文でファイルのダウンロードを開始します。 ```bash ./guacctl -d または ``` **例** ```bash ./guacctl -d clientID.txt または /mnt/c/Users/helpdesk/Downloads/clientID.txt ``` 複数のファイルをダウンロードする場合は、以下のようにファイル名をスペースで区切ります。 ```bash ./guacctl -d または ``` **例** ```bash ./guacctl -d clientID.txt /mnt/c/temp/license.txt ``` 以下はその画像です。
ローカルコンピュータに **\[ファイルを保存]** ウィンドウが表示され、任意の場所にファイルを保存できます。複数のファイルをダウンロードする場合は、各ファイルごとに順番に **\[ファイルを保存]** ウィンドウが表示されます。
## 接続認証方式 Keeperの接続は、以下のいずれかの方法で認証できます。 * [**接続用認証情報**](/keeperpam/jp/privileged-access-manager/connections/authentication-methods.md#launch-credential)\ PAMマシン、PAMデータベース、またはPAMディレクトリのレコードタイプに直接設定された「接続用認証情報」を使用して、ターゲットへのセッションが認証されます。ユーザーは接続のためにこの認証情報にアクセスする必要はありません。 * [**個人用認証情報**](/keeperpam/jp/privileged-access-manager/connections/authentication-methods.md#personal-private-credentials)\ 「ボルトから認証情報を選択できるようにする」が有効な場合、ユーザーは自分のKeeperボルトに安全に保存されている個人用またはプライベートの認証情報を使って、ターゲットへのセッションを認証できます。 * [**一時アカウント**](/keeperpam/jp/privileged-access-manager/connections/authentication-methods.md#ephemeral-account)\ PAMマシンまたはPAMデータベースのリソースで一時アカウント機能が有効になっている場合、セッション専用の、システムが生成する時間制限付きの特権アカウントが作成されます。このアカウントはセッション終了後に自動的に削除され、常設の特権が排除されます。この方式は、[ジャストインタイムアクセス](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/just-in-time-access-jit.md)に用いられ、対象システム上に永続的なアカウントを残しません。 ## セッションレコーディング - RDPプロトコル
このプロトコルでは、タイミング情報を含むグラフィカルデータが録画されます。録画の詳細および閲覧方法については、[セッションのレコーディングと再生](/keeperpam/jp/privileged-access-manager/session-recording-and-playback.md)をご参照ください。 ### トラブルシューティング (接続) 認証や接続に関する問題をトラブルシューティングする際は、以下の点を確認してください。 * リンクされたPAMユーザーレコードに指定されているユーザーが、対象マシンへのRDP接続権限を持っていること。 * 必要に応じてグループポリシーを調整するか、Windowsの \[リモート デスクトップ ユーザー] グループにそのユーザーを追加して、アクセス権を付与してください。 * さらに詳しいトラブルシューティング情報が必要な場合は、ゲートウェイログをご参照ください。ログの保存場所は[インストール方法](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)によって異なります。 ## KeeperAI セッション分析 KeeperAIは、KeeperPAMに組み込まれたAI駆動の脅威検知・対応エンジンであり、環境全体の特権アクセスを保護するために設計されています。RDP利用時は、マウス操作、キー入力、画面上の操作をビジョンモデルで監視します。 KeeperAIを有効にするには、PAMマシンレコードのPAM設定画面を開きます。 KeeperAIをオンにすると、セッションアクティビティがリアルタイムに視覚解析され、要約と脅威分析が付与されます。**AI分析** を開くと、手順ごとのアクティビティビューが表示されます。 * [KeeperAI](/keeperpam/jp/privileged-access-manager/keeperai.md)のセットアップと構成 *** ## 接続テンプレート 対象システムのPAMレコードタイプは、接続テンプレートとしても構成できます。ホスト名や認証情報を事前に固定せずにセッションを開始できる、再利用可能なレコードタイプです。 テンプレートを作成するには、PAMマシンの編集画面で **「共有ユーザーが独自のホストと認証情報を選択できるようにする」** を選択します。 **\[起動]** をクリックすると、ユーザーはホスト名、ポート、接続用認証情報を指定できます。ボルト内の既存レコードからホストを選ぶこともできます。 * [接続テンプレート](/keeperpam/jp/privileged-access-manager/connections/connection-templates.md)の詳細 *** ## ジャストインタイムワークフロー ワークフローは、RDPアクセスの申請、承認、付与の進め方をKeeperPAM内で制御する中核機能です。承認の必須化やセッション時間の制限により、監査可能で管理されたジャストインタイム (JIT) のRDPアクセスを運用できます。 PAMマシンでワークフローを有効にするには、PAM設定を開き **\[ワークフロー]** タブを選択します。
RDPセッションには、時間制限付きアクセス、承認、シングルユーザーモード (チェックイン/チェックアウト)、MFAなどを設定できます。 * [ワークフロー](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/workflow.md)の詳細 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/connections/session-protocols/rdp-connections.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.