次の方法で共有


Azure Virtual Desktop 用の Azure セキュリティ ベースライン

このセキュリティ ベースラインは、 Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスを Azure Virtual Desktop に適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークと Azure Virtual Desktop に適用できる関連ガイダンスによって定義されたセキュリティ コントロールによってグループ化されます。

このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。

機能に関連するAzure Policy定義がある場合は、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料Microsoft Defenderプランが必要になる場合があります。

注意

Azure Virtual Desktop に適用されない機能は除外されています。 Azure Virtual Desktop を Microsoft クラウド セキュリティ ベンチマークに完全にマップする方法については、 完全な Azure Virtual Desktop セキュリティ ベースライン マッピング ファイルを参照してください。

セキュリティ プロファイル

セキュリティ プロファイルは、Azure Virtual Desktop の影響の大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が高まる可能性があります。

サービス動作属性
製品カテゴリ Virtual Desktop
お客様は HOST/OS にアクセスできます フル アクセス
サービスは顧客の仮想ネットワークにデプロイできます False
保存中の顧客コンテンツを格納します False

ネットワークのセキュリティ

詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。

NS-1: ネットワーク セグメント化の境界を確立する

機能

Virtual Network 統合

説明: サービスは、顧客のプライベート Virtual Network (VNet) へのデプロイをサポートしています。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

機能ノート: ホスト プール内の仮想マシンは、仮想ネットワークに配置する必要があります。

構成ガイダンス: サービスを仮想ネットワークにデプロイします。 パブリック IP をリソースに直接割り当てる強力な理由がない限り、(該当する場合は) プライベート IP をリソースに割り当てます。

リファレンス: チュートリアル: ホスト プールを作成する

ネットワーク セキュリティ グループのサポート

説明: サービス ネットワーク トラフィックは、そのサブネットでのネットワーク セキュリティ グループルールの割り当てを尊重します。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

機能ノート: ホスト プール内で使用される仮想マシンでは、ネットワーク セキュリティ グループの使用がサポートされています。

構成ガイダンス: ネットワーク セキュリティ グループ (NSG) を使用して、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスによってトラフィックを制限または監視します。 NSG 規則を作成して、サービスのオープン ポートを制限します (信頼されていないネットワークから管理ポートにアクセスできないようにするなど)。 既定では、NSG はすべての受信トラフィックを拒否しますが、仮想ネットワークと Azure Load Balancer からのトラフィックを許可することに注意してください。

リファレンス: チュートリアル: ホスト プールを作成する

NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する

特徴

説明: ネットワーク トラフィックをフィルター処理するためのサービス ネイティブ IP フィルタリング機能 (NSG やAzure Firewallと混同しないように)。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

機能ノート: Azure Virtual Desktop とのプライベート リンクは現在プレビュー段階です。

構成ガイダンス: Private Link機能をサポートするすべての Azure リソースのプライベート エンドポイントをデプロイして、リソースのプライベート アクセス ポイントを確立します。

リファレンス: Azure Virtual Desktop でAzure Private Linkを使用する (プレビュー)

パブリック ネットワーク アクセスの無効化

説明: サービスでは、サービス レベルの IP ACL フィルター規則 (NSG やAzure Firewallではなく) または "パブリック ネットワーク アクセスを無効にする" トグル スイッチを使用して、パブリック ネットワーク アクセスを無効にできます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

ID 管理

詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。

IM-1: 一元的な ID および認証システムを使用する

機能

データ プレーン アクセスに必要な Azure AD Authentication

説明: サービスでは、データ プレーン アクセスに Azure AD 認証を使用できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: 既定の認証方法として Azure Active Directory (Azure AD) を使用して、データ プレーンへのアクセスを制御します。

リファレンス: Azure Virtual Desktop の Azure AD 参加

IM-3: アプリケーション ID を安全かつ自動的に管理する

特徴

マネージド ID

説明: データ プレーン アクションは、マネージド ID を使用した認証をサポートします。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: 可能な場合は、サービス プリンシパルではなく Azure マネージド ID を使用します。これは、Azure Active Directory (Azure AD) 認証をサポートする Azure サービスとリソースに対して認証できます。 マネージド ID の資格情報は、プラットフォームによって完全に管理、ローテーション、保護されており、ソース コードまたは構成ファイル内でハードコーディングされた資格情報を使用せずに済みます。

リファレンス: マネージド ID を設定する

サービス プリンシパル

説明: データ プレーンでは、サービス プリンシパルを使用した認証がサポートされています。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: この機能の構成に関する現在の Microsoft ガイダンスはありません。 organizationがこのセキュリティ機能を構成する必要があるかどうかを確認して判断してください。

リファレンス: チュートリアル: Azure Virtual Desktop (クラシック) で PowerShell を使用してサービス プリンシパルとロールの割り当てを作成する

IM-7: 条件に基づいてリソースへのアクセスを制限する

機能

データ プレーンへの条件付きアクセス

説明: データ プレーンアクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: ワークロード内の Azure Active Directory (Azure AD) 条件付きアクセスに適用できる条件と条件を定義します。 特定の場所からのアクセスのブロックや許可、危険なサインイン動作のブロック、特定のアプリケーションに対するorganizationマネージド デバイスの要求など、一般的なユース ケースを検討してください。

リファレンス: 条件付きアクセスを有効にする

IM-8: 資格情報とシークレットの公開を制限する

機能

Azure Key Vault での、サービス資格情報とシークレットの統合とストレージのサポート

説明: データ プレーンでは、資格情報とシークレット ストアに対する Azure Key Vaultのネイティブな使用がサポートされています。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

特権アクセス

詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。

PA-1: 高い特権を持つ/管理者ユーザーを分離して制限する

機能

ローカル 管理 アカウント

説明: サービスには、ローカル管理アカウントの概念があります。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

機能ノート: ホスト プールに追加された仮想マシンに対して、ローカル仮想マシン管理者アカウントが作成されます。 ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、Azure AD を使用して、可能な限り認証を行います。

構成ガイダンス: 日常的な管理操作に必要ない場合は、緊急時にのみローカル管理者アカウントを無効または制限します。

PA-7: Just Enough Administration (最小限の特権の原則) に従う

機能

データ プレーン用の Azure RBAC

説明: Azure Role-Based Access Control (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、組み込みのロールの割り当てを通じて Azure リソース へのアクセスを管理します。 Azure RBAC ロールは、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることができます。

リファレンス: Azure Virtual Desktop 用の組み込みの Azure RBAC ロール

PA-8: クラウド プロバイダー サポートのアクセス プロセスを決定する

機能

カスタマー ロックボックス

説明: カスタマー ロックボックスは、Microsoft サポート へのアクセスに使用できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

データの保護

詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。

DP-1:機密データを検出、分類、ラベル付けする

機能

機密データの検出と分類

説明: ツール (Azure Purview や Azure Information Protection など) は、サービスでのデータの検出と分類に使用できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

機能に関するメモ: Azure 上の Office ドキュメント、オンプレミス、Office 365、その他の場所にある機密情報については、Azure Information Protection (およびその関連するスキャン ツール) を使用します。

構成ガイダンス: Azure Purview、Azure Information Protection、Azure SQL データの検出と分類などのツールを使用して、Azure、オンプレミス、Microsoft 365、またはその他の場所にある機密データを一元的にスキャン、分類、ラベル付けします。

DP-2: 機密データをターゲットにした異常と脅威を監視する

機能

データ漏えい/損失防止

説明: サービスでは、機密データの移動 (顧客のコンテンツ内) を監視するための DLP ソリューションがサポートされています。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Microsoft

特徴メモ: データ流出を防ぐために、検出や予防の制御を適用するために、ホストベースのソリューションなどのデータ損失防止ソリューションを使用します。

Microsoft Azure の DLP などのソリューションは、Virtual Desktop 環境にも使用できます。 詳細については、Microsoft Azure Information Protection (AIP ) のデータ損失防止 (DLP) に関するページを参照してください。分類およびラベル付けされた情報の監視機能が提供されます。

構成ガイダンス: データ損失防止 (DLP) のコンプライアンスに必要な場合は、Azure Marketplaceからホスト ベースの DLP ソリューションを使用するか、Microsoft 365 DLP ソリューションを使用して、データ流出を防ぐための検出および/または予防的な制御を適用できます。

DP-3: 転送中の機密データの暗号化

機能

転送中データの暗号化

説明: サービスでは、データ プレーンの転送中のデータ暗号化がサポートされています。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True True Microsoft

構成ガイダンス: 既定のデプロイでこれが有効になっているので、追加の構成は必要ありません。

リファレンス: ネットワーク

DP-4: 保存データ暗号化を既定で有効にする

機能

プラットフォーム キーを使用した保存データの暗号化

説明: プラットフォーム キーを使用した保存データの暗号化がサポートされています。保存中の顧客コンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True True Microsoft

構成ガイダンス: 既定のデプロイでこれが有効になっているので、追加の構成は必要ありません。

リファレンス: データ保護

DP-5: 必要に応じて保存データ暗号化でカスタマー マネージド キー オプションを使用する

機能

CMK を使用した保存データの暗号化

説明: カスタマー マネージド キーを使用した保存データの暗号化は、サービスによって格納される顧客コンテンツでサポートされています。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

DP-6: セキュア キー管理プロセスの使用

機能

Azure Key Vault でのキー管理

説明: このサービスでは、カスタマー キー、シークレット、または証明書に対する Azure Key Vault統合がサポートされています。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

DP-7: セキュリティで保護された証明書管理プロセスを使用する

機能

Azure Key Vault での証明書管理

説明: このサービスでは、顧客証明書に対する Azure Key Vault統合がサポートされます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

アセット管理

詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。

AM-2: 承認済みのサービスのみを使用する

機能

Azure Policy のサポート

説明: サービス構成は、Azure Policy経由で監視および適用できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: Microsoft Defender for Cloud を使用して、Azure リソースの構成を監査および適用するAzure Policyを構成します。 Azure Monitor を使用し、リソースで構成の逸脱が検出されたときにアラートを作成します。 [deny] と [deploy if not exists] 効果Azure Policy使用して、Azure リソース全体でセキュリティで保護された構成を適用します。

リファレンス: Azure Virtual Desktop の Azure セキュリティ ベースライン

AM-5: 承認されたアプリケーションのみを仮想マシンで使用する

特徴

クラウドのMicrosoft Defender - 適応型アプリケーション制御

説明: サービスでは、Microsoft Defender for Cloud でアダプティブ アプリケーション制御を使用して、仮想マシン上で実行される顧客アプリケーションを制限できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

機能ノート: Microsoft Defender for Cloud を使用した適応型アプリケーション制御はサポートされていませんが、デプロイ モデルを選択する場合は、リモート ユーザーに仮想デスクトップ全体へのアクセスを提供するか、選択したアプリケーションのみを使用できます。 リモート アプリケーション (つまり RemoteApp) は、ユーザーが仮想デスクトップでアプリを操作するときにシームレスなエクスペリエンスを提供します。 RemoteApp は、アプリケーションで公開されているリモート マシンのサブセットのみをユーザーが操作できるようにすることで、リスクを軽減します。

詳細については、「リモート アプリを使用する」を参照してください

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

ログと脅威検出

詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ログ記録と脅威検出」を参照してください。

LT-1: 脅威検出機能を有効にする

機能

サービス/製品のオファリングのための Microsoft Defender

説明: サービスには、セキュリティの問題を監視してアラートを生成するためのオファリング固有のMicrosoft Defender ソリューションがあります。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: 管理プレーンのアクセスを制御するには、既定の認証方法として Azure Active Directory (Azure AD) を使用します。 Key VaultのMicrosoft Defenderからアラートを受け取ったら、アラートを調査して応答します。

リファレンス: Azure Virtual Desktop で Windows デバイスをオンボードする

LT-4: セキュリティ調査のためのログを有効にする

特徴

Azure リソース ログ

説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントや Log Analytics ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: サービスのリソース ログを有効にします。 たとえば、Key Vaultでは、キー コンテナーからシークレットを取得するアクションや、データベースへの要求を追跡するリソース ログAzure SQLに対する追加のリソース ログがサポートされています。 リソース ログの内容は、Azure サービスとリソースの種類によって異なります。

リファレンス: 診断 データをワークスペースにプッシュする

体制と脆弱性の管理

詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 体制と脆弱性管理」を参照してください。

PV-3: コンピューティング リソースのセキュリティで保護された構成を定義して確立する

機能

Azure Automation State Configuration

説明: Azure Automation State Configurationを使用して、オペレーティング システムのセキュリティ構成を維持できます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

ゲスト構成エージェントのAzure Policy

説明: ゲスト構成エージェントAzure Policy、コンピューティング リソースの拡張機能としてインストールまたはデプロイできます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

カスタム VM イメージ

説明: サービスでは、特定のベースライン構成が事前に適用された、ユーザー指定の VM イメージまたはマーケットプレースからの事前構築済みイメージの使用がサポートされています。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: Microsoft などの信頼できるサプライヤーから事前に構成された強化されたイメージを使用するか、目的のセキュリティで保護された構成基準を VM イメージ テンプレートに構築します

リファレンス: オペレーティング システムとライセンス

カスタム コンテナー イメージ

説明: サービスでは、特定のベースライン構成が事前に適用された、ユーザー指定のコンテナー イメージまたはマーケットプレースからの事前構築済みイメージの使用がサポートされています。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

PV-5: 脆弱性評価を実行する

機能

Microsoft Defenderを使用した脆弱性評価

説明: サービスは、クラウドまたは他のMicrosoft Defender サービスの埋め込み脆弱性評価機能 (サーバー、コンテナー レジストリ、App Service、SQL、DNS のMicrosoft Defenderを含む) のMicrosoft Defenderを使用して脆弱性スキャンをスキャンできます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: Azure 仮想マシン、コンテナー イメージ、および SQL サーバーで脆弱性評価を実行するために、Microsoft Defender for Cloud の推奨事項に従います。

リファレンス: クラウドのMicrosoft Defenderを有効にする

PV-6: 脆弱性を迅速かつ自動的に修復する

機能

Azure Automation の Update Management

説明: サービスでは、Azure Automation Update Management を使用して、パッチと更新プログラムを自動的にデプロイできます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

エンドポイントのセキュリティ

詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: エンドポイント セキュリティ」を参照してください。

ES-1:エンドポイントでの検出と対応 (EDR) を使用する

機能

EDR ソリューション

説明: Azure Defender for servers などのエンドポイント検出と応答 (EDR) 機能をエンドポイントにデプロイできます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: (Microsoft Defender for Endpoint統合された) Azure Defender for servers には、高度な脅威を防止、検出、調査、対応するための EDR 機能が用意されています。 Microsoft Defender for Cloud を使用して、エンドポイントのためにサーバー用 Azure Defender をデプロイし、アラートを Azure Sentinel などの SIEM ソリューションに統合します。

リファレンス: エンドポイント保護を有効にする

ES-2: 最新のマルウェア対策ソフトウェアを使用する

機能

マルウェア対策ソリューション

説明: Microsoft Defender ウイルス対策、Microsoft Defender for Endpointなどのマルウェア対策機能をエンドポイントにデプロイできます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: Windows Server 2016以降の場合、ウイルス対策のMicrosoft Defenderは既定でインストールされます。 Windows Server 2012 R2 以降では、SCEP (System Center Endpoint Protection) をインストールできます。 Linux の場合、お客様は Linux 用のMicrosoft Defenderをインストールすることができます。 または、サードパーティのマルウェア対策製品をインストールすることもできます。

リファレンス: クラウドのMicrosoft Defenderを有効にする

ES-3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする

機能

マルウェア対策ソリューションの正常性の監視

説明: マルウェア対策ソリューションは、プラットフォーム、エンジン、および自動署名更新プログラムの正常性状態の監視を提供します。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: マルウェア対策ソリューションを構成して、プラットフォーム、エンジン、署名が迅速かつ一貫して更新され、その状態を監視できるようにします。

リファレンス: クラウドのMicrosoft Defenderを有効にする

バックアップと回復

詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと回復」を参照してください。

BR-1:定期的な自動バックアップを保証する

機能

Azure Backup

説明: サービスは、Azure Backup サービスによってバックアップできます。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
True False Customer

構成ガイダンス: Azure Backupを有効にし、必要な頻度で必要な保持期間でバックアップ ソース (Azure Virtual Machines、SQL Server、HANA データベース、ファイル共有など) を構成します。 Azure Virtual Machinesでは、Azure Policyを使用して自動バックアップを有効にすることができます。

リファレンス: Azure Virtual Desktop はバックアップをどのように処理しますか?

サービス ネイティブ バックアップ機能

説明: サービスでは、独自のネイティブ バックアップ機能がサポートされます (Azure Backupを使用していない場合)。 詳細については、こちらを参照してください

サポートされています 既定で有効 構成の責任
False 適用しない 適用しない

機能に関するメモ: Azure Virtual Desktop では、Azure Backupを活用しています。

構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。

次のステップ