Azure Virtual Desktop のセキュリティに関する推奨事項
Azure Virtual Desktop は、組織の安全を維持するための多くのセキュリティ機能を備えた、管理された仮想デスクトップ サービスです。 Azure Virtual Desktop のアーキテクチャは、ユーザーをデスクトップとアプリに接続するサービスを構成する、さまざまなコンポーネントで構成されています。
Azure Virtual Desktop には、受信ネットワーク ポートを開く必要がないリバース接続などの高度なセキュリティ機能が多数組み込まれており、どこからでもリモート デスクトップにアクセスできるようにすることによって生じるリスクが軽減されます。 このサービスでは、多要素認証や条件付きアクセスなど、Azure の他の多くのセキュリティ機能も利用できます。 この記事では、デスクトップとアプリを組織内のユーザーまたは外部ユーザーのどちらに提供するかに関係なく、Azure Virtual Desktop のデプロイのセキュリティを維持するために管理者として実行できる手順について説明します。
セキュリティの共同責任
Azure Virtual Desktop よりも前は、リモート デスクトップ サービスのようなオンプレミスの仮想化ソリューションでは、ゲートウェイ、ブローカー、Web アクセスなどのロールへのアクセス権をユーザーに付与する必要がありました。 これらのロールは、完全に冗長化され、ピーク時の容量を処理できる必要がありました。 管理者はこれらのロールを Windows Server オペレーティング システムの一部としてインストールし、それらはパブリック接続からアクセスできる特定のポートを使用してドメインに参加している必要がありました。 デプロイのセキュリティを維持するために、管理者は常に、インフラストラクチャ内のすべてのものが保守され、最新の状態であることを確認する必要がありました。
ただし、ほとんどのクラウド サービスでは、Microsoft とお客様またはパートナーとの間に、セキュリティに対する一連の共同責任があります。 Azure Virtual Desktop の場合、ほとんどのコンポーネントは Microsoft によって管理されますが、セッション ホストと、一部のサポート サービスおよびコンポーネントは、お客様またはパートナーによって管理されます。 Microsoft が管理する Azure Virtual Desktop のコンポーネントの詳細については、「Azure Virtual Desktop サービスのアーキテクチャと回復性」を参照してください。
一部のコンポーネントは、ご使用環境に合わせて既にセキュリティで保護されていますが、他の領域については、組織または顧客のセキュリティ ニーズに適合するように自分で構成する必要があります。 Azure Virtual Desktop のデプロイで、お客様がセキュリティ責任を担うコンポーネントを次に示します。
コンポーネント | 責任 |
---|---|
ID | お客様またはパートナー |
ユーザー デバイス (モバイルおよび PC) | お客様またはパートナー |
アプリのセキュリティ | お客様またはパートナー |
セッション ホストのオペレーティング システム | お客様またはパートナー |
デプロイの構成 | お客様またはパートナー |
ネットワーク管理 | お客様またはパートナー |
仮想化コントロール プレーン | Microsoft |
物理ホスト | Microsoft |
物理ネットワーク | Microsoft |
物理データセンター | Microsoft |
セキュリティ境界
セキュリティ境界では、セキュリティ ドメインのコードとデータを異なる信頼レベルで分離します。 たとえば、通常、カーネル モードとユーザー モードの間にはセキュリティ境界があります。 Microsoft のほとんどのソフトウェアおよびサービスは、複数のセキュリティ境界に依存して、ネットワーク上のデバイス、仮想マシン (VM)、デバイス上のアプリケーションを分離しています。 次の表に、Windows の各セキュリティ境界と、全体的なセキュリティに関して行われる内容を示します。
セキュリティ境界 | 説明 |
---|---|
ネットワーク境界 | 承認されていないネットワーク エンドポイントは、顧客のデバイス上のコードやデータに対するアクセスや改ざんができません。 |
カーネル境界 | 管理者以外のユーザー モード プロセスは、カーネル コードやデータに対するアクセスや改ざんができません。 Administrator-to-kernel はセキュリティ境界ではありません。 |
プロセス境界 | 承認されていないユーザー モード プロセスは、別のプロセスのコードやデータに対するアクセスや改ざんができません。 |
AppContainer サンドボックス境界 | AppContainer ベースのサンドボックス プロセスは、コンテナーの機能に基づいてサンドボックスの外部のコードやデータに対するアクセスや改ざんができません。 |
ユーザー境界 | ユーザーは、承認されていない場合、別のユーザーのコードやデータに対するアクセスや改ざんができません。 |
セッション境界 | ユーザー セッションは、承認されていない場合、別のユーザー セッションに対するアクセスや改ざんができません。 |
Web ブラウザー境界 | 承認されていない Web サイトは、同一オリジン ポリシーに違反できません。また、Microsoft Edge Web ブラウザーのサンドボックスのネイティブ コードやデータに対するアクセスや改ざんができません。 |
仮想マシン境界 | 承認されていない Hyper-V ゲスト仮想マシンは、別のゲスト仮想マシンのコードやデータに対するアクセスや改ざんができません。これには、Hyper-V の分離コンテナーも含まれます。 |
仮想セキュア モード (VSM) 境界 | VSM の信頼されたプロセスまたはエンクレーブの外部で実行されているコードは、信頼されたプロセス内のデータやコードに対するアクセスや改ざんができません。 |
Azure Virtual Desktop のシナリオで推奨されるセキュリティ境界
また、ケースバイケースでセキュリティ境界に関する特定の選択を行う必要があります。 たとえば、組織内のユーザーがアプリをインストールするためにローカルの管理者特権を必要とする場合、そのユーザーに、共有のセッション ホストではなく個人用デスクトップを提供する必要があります。 マルチセッション プールのシナリオでは、ユーザーにローカル管理者特権を付与することはお勧めしません。これらのユーザーが、セッションまたは NTFS データ アクセス許可のセキュリティ境界を越えたり、マルチセッション VM をシャットダウンしたり、サービスの中断やデータ損失を引き起こす可能性があるその他の操作を行ったりする場合があるからです。
管理者特権を必要としないアプリを使用するナレッジ ワーカーなど、同じ組織のユーザーは、Windows 11 Enterprise マルチセッションなどのマルチセッションのセッション ホストに最適な候補です。 これらのセッション ホストでは、ユーザーあたりの VM のオーバーヘッド コストのみで複数のユーザーが 1 つの VM を共有できるため、組織のコストが削減されます。 FSLogix などのユーザー プロファイル管理製品を使用すると、ユーザーがサービスの中断に気づくことなく、ホスト プール内の任意の VM をユーザーに割り当てることができます。 また、この機能を使用すると、オフピーク時間中に VM をシャットダウンするなどの操作を行うことにより、コストを最適化できます。
さまざまな組織のユーザーがデプロイに接続する必要がある場合は、Active Directory や Microsoft Entra ID のような ID サービス用に別個のテナントを用意することをお勧めします。 また、これらのユーザーには、Azure Virtual Desktop や VM などの Azure リソースをホストするための別個のサブスクリプションを用意することをお勧めします。
多くの場合、マルチセッションの使用は、コストを削減するために容認できる方法ですが、それが推奨されるかどうかは、共有マルチセッション インスタンスに同時にアクセスできるユーザー間の信頼レベルによって決まります。 通常、同じ組織に属するユーザーには、十分かつ合意された信頼関係があります。 たとえば、ユーザーが共同作業を行い、お互いの個人情報にアクセスできる部門やワークグループは、信頼レベルが高い組織です。
Windows では、セキュリティ境界とコントロールを使用して、ユーザー プロセスとデータがセッション間で分離されるようにしています。 ただし、Windows では、ユーザーが作業しているインスタンスへのアクセス権は引き続き提供されます。
マルチセッションのデプロイでは、多層セキュリティ戦略を利用できます。これは、より多くのセキュリティ境界を追加して、組織内外のユーザーが他のユーザーの個人情報に未承認でアクセスできないようにします。 未承認のデータ アクセスは、未公開のセキュリティの脆弱性や、まだ修正プログラムが適用されていない既知の脆弱性など、システム管理者による構成プロセスのエラーが原因で発生します。
異なるまたは競合する企業で働くユーザーに、同じマルチセッション環境へのアクセス権を付与することはお勧めしません。 これらのシナリオには、ネットワーク、カーネル、プロセス、ユーザー、セッションなど、攻撃または悪用される可能性があるいくつかのセキュリティ境界があります。 1 つのセキュリティの脆弱性によって、無許可のデータと資格情報の窃盗、個人情報の漏洩、なりすまし、およびその他の問題が発生する可能性があります。 仮想化環境のプロバイダーには、複数の強力なセキュリティ境界と追加の安全性機能が可能な限り有効化された、適切に設計されたシステムを提供する責任があります。
これらの潜在的な脅威を減らすには、フォールトプルーフ構成、パッチ管理設計プロセス、および定期的なパッチ デプロイ スケジュールが必要です。 多層防御の原則に従い、環境を分離することをお勧めします。
次の表に、各シナリオの推奨事項の概要を示します。
信頼レベルのシナリオ | 推奨される解決策 |
---|---|
標準の特権を持つ 1 つの組織のユーザーである | Windows Enterprise マルチセッション オペレーティング システム (OS) を使用する。 |
ユーザーに管理者特権が必要である | 個人用ホスト プールを使用し、各ユーザーにそのユーザー専用のセッション ホストを割り当てる。 |
さまざまな組織のユーザーが接続する | Azure テナントと Azure サブスクリプションを分離する |
Azure のセキュリティに関するベスト プラクティス
Azure Virtual Desktop は、Azure のサービスです。 Azure Virtual Desktop のデプロイの安全性を最大限に高めるには、必ず周囲の Azure インフラストラクチャと管理プレーンもセキュリティで保護する必要があります。 インフラストラクチャをセキュリティで保護するには、より大規模な Azure エコシステムに Azure Virtual Desktop をどのように適合させるかを検討してください。 Azure エコシステムの詳細については、「Azure セキュリティのベスト プラクティスとパターン」を参照してください。
今日の脅威の状況では、セキュリティ アプローチを念頭に置いた設計が必要です。 理想的には、データとネットワークを侵害や攻撃から保護するために、コンピューター ネットワーク全体に階層化された一連のセキュリティ メカニズムとコントロールを構築することです。 米国のサイバーセキュリティ インフラストラクチャ セキュリティ庁 (CISA) では、この種類のセキュリティ設計を "多層防御" と呼んでいます。
以降のセクションでは、Azure Virtual Desktop のデプロイをセキュリティで保護するための推奨事項について説明します。
Microsoft Defender for Cloud を有効にする
次の目的を達成するために、Microsoft Defender for Cloud の強化されたセキュリティ機能を有効にすることをお勧めします。
- 脆弱性を管理する。
- PCI Security Standards Council などの一般的なフレームワークへのコンプライアンスを評価する。
- 環境の全体的なセキュリティを強化する。
詳細については、強化されたセキュリティ機能の有効化に関するページを参照してください。
セキュア スコアを向上させる
セキュア スコアは、全体的なセキュリティを向上させるための推奨事項とベスト プラクティスに関する助言を提供します。 これらの推奨事項には、どれが最も重要かを選択するのに役立つように優先順位が付けられています。また、クイック修正のオプションを使用すると、潜在的な脆弱性に迅速に対処できます。 また、これらの推奨事項は時間の経過とともに更新されるため、環境のセキュリティを維持するための最良の方法について、常に最新の情報を得ることができます。 詳細については、Microsoft Defender for Cloud のセキュア スコア向上に関するページを参照してください。
多要素認証を要求する
Azure Virtual Desktop のすべてのユーザーと管理者に多要素認証を要求すると、デプロイ全体のセキュリティが向上します。 詳細については、「Azure Virtual Desktop の Microsoft Entra 多要素認証を有効にする」を参照してください。
条件付きアクセスを有効にする
条件付きアクセスを有効にすると、Azure Virtual Desktop 環境へのアクセス権をユーザーに付与する前にリスクを管理できます。 アクセス権を付与するユーザーを決定するときは、そのユーザーが何者か、どのようにサインインするか、どのデバイスが使用されているかについても検討することをお勧めします。
監査ログの収集
監査ログの収集を有効にすると、Azure Virtual Desktop に関連するユーザーと管理者のアクティビティを表示できます。 主要な監査ログの例を次に示します。
Azure Monitor を使用して使用状況を監視する
Azure Monitor を使用して、Azure Virtual Desktop サービスの使用状況と可用性を監視します。 サービスに影響するイベントが発生したときにすぐに通知を受け取れるように、Azure Virtual Desktop サービス用のサービス正常性アラートを作成することを検討してください。
セッション ホストを暗号化する
マネージド ディスク暗号化オプションを使用してセッション ホストを暗号化し、格納データを未承認のアクセスから保護します。
セッション ホストのセキュリティに関するベスト プラクティス
セッション ホストは、Azure サブスクリプションと仮想ネットワーク内で実行される仮想マシンです。 Azure Virtual Desktop デプロイの全体的なセキュリティは、セッション ホストに配置するセキュリティ コントロールで決まります。 このセクションでは、セッション ホストのセキュリティを維持するためのベスト プラクティスについて説明します。
Endpoint Protection を有効にする
既知の悪意のあるソフトウェアからデプロイを保護するには、すべてのセッション ホストで Endpoint Protection を有効にすることをお勧めします。 Windows Defender ウイルス対策、またはサードパーティ製のプログラムを使用できます。 詳細については、VDI 環境への Windows Defender ウイルス対策の展開ガイドに関するページを参照してください。
FSLogix などのプロファイル ソリューションや、仮想ハード ディスク ファイルをマウントするその他のソリューションでは、これらのファイルの拡張子を除外することをお勧めします。 FSLogix の除外の詳細については、「ウイルス対策ファイルとフォルダーの除外の構成」を参照してください。
エンドポイントの検出と応答製品をインストールする
エンドポイントの検出と応答 (EDR) 製品をインストールして、高度な検出と応答の機能を提供することをお勧めします。 Microsoft Defender for Cloud が有効になったサーバー オペレーティング システムでは、EDR 製品をインストールすると Microsoft Defender for Endpoint がデプロイされます。 クライアント オペレーティング システムの場合は、Microsoft Defender for Endpoint またはサードパーティ製の製品をこれらのエンドポイントにデプロイできます。
脅威と脆弱性の管理の評価を有効にする
オペレーティング システムとアプリケーションに存在するソフトウェアの脆弱性を特定することは、環境のセキュリティを維持するために不可欠です。 Microsoft Defender for Cloud は、Microsoft Defender for Endpoint の脅威と脆弱性の管理ソリューションによって、問題の特定に役立ちます。 Microsoft Defender for Cloud と Microsoft Defender for Endpoint を使用することをお勧めしていますが、必要であれば、サードパーティ製品を使用することもできます。
環境内のソフトウェアの脆弱性を修正する
脆弱性を特定したら、それを修正する必要があります。 これは、実行中のオペレーティング システム、その内部にデプロイされているアプリケーション、新しいマシンの作成元であるイメージを含む仮想環境にも適用されます。 ベンダーの修正プログラムに関する通知情報に従い、修正プログラムを適時に適用します。 新しくデプロイされたマシンのセキュリティを可能な限り確保するために、基本イメージに修正プログラムを毎月適用することをお勧めします。
最大非アクティブ時間と切断のポリシーを確立する
非アクティブなときにユーザーをサインアウトすると、リソースが保持され、承認されていないユーザーがアクセスするのを防止できます。 タイムアウトではユーザーの生産性とリソース使用量のバランスを取ることをお勧めします。 ステートレス アプリケーションを操作するユーザーの場合は、マシンをオフにしてリソースを保持する、より積極的なポリシーを検討してください。 シミュレーションや CAD のレンダリングなど、ユーザーがアイドル状態の場合に実行を継続する、実行時間の長いアプリケーションを切断すると、ユーザーの作業が中断され、場合によってはコンピューターの再起動が必要になることもあります。
アイドル セッションの画面ロックを設定する
アイドル時間中にマシンの画面をロックし、ロックを解除するためには認証を要求するように Azure Virtual Desktop を構成することによって、望ましくないシステム アクセスを防止することができます。
階層化された管理アクセスを確立する
仮想デスクトップへの管理者アクセスをユーザーに付与しないことをお勧めします。 ソフトウェア パッケージが必要な場合は、Microsoft Intune などの構成管理ユーティリティを使って使用できるようにすることをお勧めします。 マルチセッション環境では、ユーザーによるソフトウェアの直接インストールを許可しないことをお勧めします。
どのユーザーがどのリソースにアクセスする必要があるかを検討する
セッション ホストは、既存のデスクトップ デプロイの拡張と考えてください。 ネットワーク リソースへのアクセスは、ネットワークのセグメント化やフィルター処理などを使用して、環境内の他のデスクトップと同じように制御することをお勧めします。 既定では、セッション ホストはインターネット上のあらゆるリソースに接続できます。 Azure Firewall、ネットワーク仮想アプライアンス、またはプロキシーの使用など、トラフィックを制限できるいくつかの方法があります。 トラフィックを制限する必要がある場合は、Azure Virtual Desktop が正常に機能できるように、必ず適切な規則を追加してください。
Microsoft 365 アプリのセキュリティを管理する
セッション ホストをセキュリティで保護することに加え、その内部で実行されているアプリケーションをセキュリティで保護することも重要です。 Microsoft 365 アプリは、セッション ホストにデプロイされる最も一般的なアプリケーションの 1 つです。 Microsoft 365 のデプロイのセキュリティを向上するには、Microsoft 365 Apps for enterprise のセキュリティ ポリシー アドバイザーを使用することをお勧めします。 このツールは、セキュリティを強化するために、デプロイに適用できるポリシーを識別します。 セキュリティ ポリシー アドバイザーは、セキュリティと生産性への影響に基づいたポリシーの推奨も行います。
ユーザー プロファイル セキュリティ
ユーザー プロファイルは機密情報を含む可能性があります。 特に FSLogix プロファイル コンテナー を使用して SMB 共有上の仮想ハード ディスク ファイルにユーザー プロファイルを格納している場合、ユーザー プロファイルにアクセスできるユーザーとそのアクセス方法を制限する必要があります。 SMB 共有のプロバイダーのセキュリティに関する推奨事項に従う必要があります。 たとえば、Azure Files を使用してこのような仮想ハード ディスク ファイルを格納する場合、プライベート エンドポイントを使用すると、Azure 仮想ネットワーク内でのみアクセスできるようにすることができます。
セッション ホストに対するその他のセキュリティ ヒント
オペレーティング システムの機能を制限することで、セッション ホストのセキュリティを強化することができます。 実行できるいくつかの操作を次に示します。
リモート デスクトップ セッションで、ドライブ、プリンター、および USB デバイスをユーザーのローカル デバイスにリダイレクトすることによって、デバイスのリダイレクトを制御します。 セキュリティ要件を評価し、これらの機能を無効にする必要があるかどうかを確認することをお勧めします。
ローカルおよびリモート ドライブのマッピングを非表示にして、Windows エクスプローラーのアクセスを制限します。 これにより、ユーザーが、システム構成とユーザーに関する不要な情報を検出するのを防止できます。
環境内のセッション ホストへの直接 RDP アクセスは避けてください。 管理またはトラブルシューティングのために直接 RDP アクセスが必要な場合は、Just-In-Time アクセスを有効にして、セッション ホストでの潜在的な攻撃対象領域を制限します。
ユーザーがローカルおよびリモートのファイル システムにアクセスする場合は、制限付きアクセス許可を付与します。 ローカルおよびリモートのファイル システムが最小限の特権でアクセス制御リストを使用するようにすることで、アクセス許可を制限できます。 こうすると、ユーザーは必要なものにのみアクセスでき、重要なリソースを変更または削除することはできません。
不要なソフトウェアがセッション ホストで実行されないようにします。 セッション ホストのセキュリティを強化するために App Locker を有効にできます。これにより、許可したアプリのみをホストで実行できるようになります。
トラステッド起動
トラステッド起動とは、ルートキット、ブート キット、カーネルレベルのマルウェアなどの攻撃ベクトルによるスタックの最下部の脅威などの永続的な攻撃手法から保護するために強化されたセキュリティ機能を備えた Azure VM です。 これにより、検証済みのブートローダー、OS カーネル、ドライバーを備えた VM の安全なデプロイが可能になり、VM 内のキー、証明書、シークレットも保護されます。 トラステッド起動の詳細については、「Azure Virtual Machines のトラステッド起動」を参照してください。
Azure portal を使用してセッション ホストを追加した場合、セキュリティの既定の種類は [信頼された仮想マシン] になります。 これにより、VM で Windows 11 の必須要件を確実に満たすことができます。 これらの要件の詳細については、「仮想マシンのサポート」を参照してください。
Azure 機密コンピューティング仮想マシン
Azure 機密コンピューティング仮想マシンの Azure Virtual Desktop サポートにより、ユーザーの仮想デスクトップがメモリ内で暗号化され、使用中に保護され、ハードウェアの信頼のルートによってサポートされることが保証されます。
Azure Virtual Desktop を使用して機密 VM をデプロイすると、ユーザーは、他の仮想マシン、ハイパーバイザー、ホスト OS からの分離を強化するハードウェアベースの分離を利用しているセッション ホスト上で、Microsoft 365 およびその他のアプリケーションにアクセスできます。 メモリ暗号化キーは CPU 内の専用の安全なプロセッサで生成されて保護されるため、ソフトウェアから読み取ることはできません。 使用可能な VM のサイズなどの詳細については、Azure 機密コンピューティングの概要のページを参照してください。
次のオペレーティング システム (アクティブにサポートされているバージョン) では、Azure Virtual Desktop 上の機密仮想マシンを使用したセッション ホストとしての使用がサポートされています。 サポート日については、「Microsoft ライフサイクル ポリシー」を参照してください。
- Windows 11 Enterprise
- Windows 11 Enterprise multi-session
- Windows 10 Enterprise
- Windows 10 Enterprise マルチセッション
- Windows Server 2022
- Windows Server 2019
機密仮想マシンを使用するセッション ホストは、Azure Virtual Desktop をデプロイするとき、またはセッション ホストをホスト プールに追加するときに作成できます。
オペレーティング システム ディスクの暗号化
オペレーティング システム ディスクの暗号化は追加の暗号化レイヤーであり、ディスク暗号化キーを機密コンピューティング VM のトラステッド プラットフォーム モジュール (TPM) にバインドします。 この暗号化により、ディスク コンテンツに VM のみがアクセスできるようになります。 整合性の監視により、定義されたベースラインで構成証明が失敗したために VM が起動しない場合、VM ブート整合性の暗号化構成証明と確認、およびアラートの監視が可能になります。 整合性の監視の詳細については、「Microsoft Defender for Cloud の統合」を参照してください。 ホスト プールを作成するときやホスト プールにセッション ホストを追加するときに、機密 VM を使用してセッション ホストを作成すると、機密コンピューティング暗号化を有効にできます。
セキュア ブート
セキュア ブートとは、プラットフォーム ファームウェアでサポートされるモードであり、マルウェアベースのルートキットおよびブート キットからファームウェアを保護するためのものです。 このモードでは、署名された OS とドライバーのみを起動できます。
リモート構成証明を使用してブート整合性を監視する
リモート構成証明は、使用している VM の正常性を確認するための優れた方法です。 リモート構成証明によって、メジャーブート レコードが存在すること、本物であること、仮想トラステッドプラットフォームモジュール (vTPM) から取得されたものであることが確認されます。 正常性チェックとして、プラットフォームが正しく起動されたという確実性が暗号化されて提供されます。
vTPM
vTPM は、ハードウェアのトラステッド プラットフォーム モジュール (TPM) の仮想化バージョンであり、VM ごとに TPM の仮想インスタンスがあります。vTPM により、VM のブート チェーン全体 (UEFI、OS、システム、ドライバー) の整合性測定を実行することで、リモート構成証明が有効になります。
ご利用の VM 上では、vTPM を有効にしてリモート構成証明を使用することをお勧めします。 vTPM を有効にすると、フルボリューム暗号化で保存データを保護する Azure Disk Encryption で BitLocker 機能を有効にできます。 vTPM を使用するいずれの機能でも、特定の VM にシークレットがバインドされます。 プールされたシナリオでユーザーが Azure Virtual Desktop サービスに接続した場合に、ユーザーをホスト プール内の任意の VM にリダイレクトすることができます。 機能の設計方法によっては、これが影響を及ぼす可能性があります。
Note
FSLogix プロファイル データを格納している特定のディスクを暗号化する場合は、BitLocker を使用しないでください。
仮想化ベースのセキュリティ
仮想化ベースのセキュリティ (VBS) では、ハイパーバイザーを使用して、OS からアクセスできないセキュリティで保護されたメモリ領域が作成され、分離されます。 ハイパーバイザーで保護されたコード整合性 (HVCI) でも Windows Defender Credential Guard でも、VBS を使用して、脆弱性からの保護を強化できます。
ハイパーバイザーで保護されたコード整合性
HVCI は、VBS を使用することで、悪意のあるまたは検証されていないコードの注入や実行から Windows カーネルモード プロセスを保護する、システムの強力な軽減策です。
Windows Defender Credential Guard
Windows Defender Credential Guard を有効にします。 Windows Defender Credential Guard では、VBS を使用してシークレットを分離および保護することで、特権のあるシステム ソフトウェアからのみそれらにアクセスできるようにすることができます。 これにより、それらのシークレットへの不正アクセスや、Pass-the-Hash 攻撃などの資格情報の盗難攻撃が防止されます。 詳細については、「Credential Guard の概要」を参照してください。
Windows Defender アプリケーション制御
Windows Defender アプリケーション制御 Windows Defender アプリケーション制御は、マルウェアやその他の信頼されていないソフトウェアからデバイスを保護するように設計されています。 これは、既知の承認されたコードのみを実行できるようにして、悪意のあるコードの実行を防ぎます。 詳細については、「Windows のアプリケーション制御」を参照してください。
Note
Windows Defender Access Control を使用する際、デバイス レベルのポリシーのみをターゲットにすることをお勧めします。 個々のユーザーへのポリシーをターゲットにすることもできますが、いったんポリシーが適用されると、デバイス上のすべてのユーザーに均等に影響します。
Windows Update
Windows Update の更新プログラムを使用して、セッション ホストを最新の状態に保ちます。 Windows Update を利用すると、安全な方法でデバイスを最新の状態に保つことができます。 エンド ツー エンドで保護するので、プロトコル交換の操作を防ぎ、更新プログラムに承認済みのコンテンツのみが含まれるようにします。 Windows Updates を適切に利用するために、一部の保護された環境のファイアウォールとプロキシの規則の更新が必要になる場合があります。 詳細については、「Windows Update のセキュリティ」を参照してください。
他の OS プラットフォーム上のリモート デスクトップ クライアントと更新プログラム
他の OS プラットフォーム上の Azure Virtual Desktop サービスへのアクセスに使用できるリモート デスクトップ クライアントのソフトウェア更新プログラムは、それぞれのプラットフォームのセキュリティ ポリシーに従って保護されます。 すべてのクライアント更新プログラムは、プラットフォームによって直接配信されます。 詳細については、各アプリのそれぞれのストア ページを参照してください。
次のステップ
- 多要素認証を設定する方法について説明します。
- Azure Virtual Desktop のデプロイにゼロ トラスト原則を適用します。