AVDでシャドウセッションを試す!

シャドウセッションとは、リモート接続しているユーザーと同じ画面を管理者が閲覧&操作できる機能になります。操作の支援やトラブルシューティングなどに利用できます。無料で利用できるので試してみたいと思います。

さっそく、構成を見てみましょう!

ユーザーは、通常どおりAVD接続を行います。

管理者は、対象となるセッションホストのIPアドレスに対してRDP接続を行います。
※ユーザーが接続しているセッションに相乗りする事で同じ画面を閲覧できます。
※管理者権限が必要。シャドウセッションの利用は同時1セッションのみです。
※管理者セッションは、ホストプールのセッション数にカウントされません。
※シングルセッションOS、マルチセッションOS共に利用できます。


それでは、やってみよう!!

GPO、マスターイメージ、セッションホストにて、シャドウセッションを有効化します。

コンピューターの構成 -> 管理用テンプレート -> Windows コンポーネント -> リモートデスクトップサービス -> リモートデスクトップセッションホスト -> 接続

リモートデスクトップサービスユーザーセッションのリモート制御のルールを設定する ->
[リモート制御を許可しない]
[ユーザーの許可によりフルコントロール] ←操作したい場合
[ユーザーの許可なしでフルコントロール] ←操作したい場合
[ユーザーの許可を得てセッションを参照する]
[ユーザーの許可なしでセッションを参照する]

デフォルトで[有効]かと思いますが、一応確認

・リモートデスクトップ-シャドウ(TCP受信)
・リモートデスクトップ-ユーザーモード(TCP受信)
・リモートデスクトップ-ユーザーモード(UDP受信)

[このコンピューター名は無効です。]とエラーが出る場合、下記を[オン]にします。

以上で設定完了です!


それでは、確認してみましょう!

管理者側の端末にて実施

Mstsc.exe /shadow:[SessionID] /v:[SessionHost IP] [/option]

[SessionID]はAzureポータルから確認ができます。

[/option]はいくつかあるのですが、試したパターンを記載しておきます。

GPO[ユーザーの許可によりフルコントロール]
オプションなし:(許可要求)閲覧 /prompt:(資格情報要求)閲覧
/control :(許可要求)操作可能 /noConsentPrompt:GPOと矛盾するため不可

GPO[ユーザーの許可なしでフルコントロール]
オプションなし:(許可要求)閲覧 /prompt:(資格情報要求)閲覧
/control :(許可要求)操作可能 /noConsentPrompt:閲覧

GPO[ユーザーの許可を得てセッションを参照する]
オプションなし:(許可要求)閲覧 /prompt:(資格情報要求)閲覧
/control :GPOと矛盾するため不可 /noConsentPrompt:GPOと矛盾するため不可

GPO[ユーザーの許可なしでセッションを参照する]
オプションなし:(許可要求)閲覧 /prompt:(資格情報要求)閲覧
/control :GPOと矛盾するため不可 /noConsentPrompt:閲覧

(許可要求)がある場合は、クライアント側で[許可]をする必要があります。

(資格情報要求)がある場合は、管理者アカウント入力をする必要があります。

接続すると、ユーザーと同じ画面が閲覧&操作ができます。
左:管理者デスクトップ 中:管理者上のクライアントAVD画面 右:クライアントAVD画面

ユーザーセッションに相乗りしているため、管理者のセッションが無い。