次の方法で共有


Azure Virtual Desktop ワークロードのセキュリティと ID とアクセス管理 (IAM) に関する考慮事項

この記事では、Azure Virtual Desktop ワークロードのセキュリティと IAM の設計領域について説明します。 Azure Virtual Desktop は、仮想デスクトップ インフラストラクチャ用の Microsoft コントロール プレーンを提供するマネージド サービスです。 Azure Virtual Desktop では、 Azure ロールベースのアクセス制御 (RBAC) を 使用して ID を制御し、アクセスを管理します。 ワークロード所有者は、組織の要件に適した他のゼロ トラスト原則を適用することもできます。 たとえば、 明示的な検証 の原則と 最小特権アクセス の原則が含まれます。

重要

この記事は、 Azure Well-Architected Framework Azure Virtual Desktop ワークロード シリーズの一部です。 このシリーズに慣れていない場合 は、「Azure Virtual Desktop ワークロードとは」から開始することをお勧めします。

RBAC を使用する

影響: セキュリティ、オペレーショナル エクセレンス

RBAC では、Azure Virtual Desktop のデプロイを管理するさまざまなチームと個人の 職務の分離 がサポートされています。 ランディング ゾーンの設計の一環として、さまざまなロールを引き受けるユーザーを決定する必要があります。 次に、ロールに対するユーザーの追加と削除を簡略化するために、ロールごとにセキュリティ グループを作成する必要があります。

Azure Virtual Desktop には、各機能領域向けに設計されたカスタムの Azure ロールが用意されています。 これらのロールの構成方法については、「Azure Virtual Desktop の組み込みロール」を参照してください。 Azure デプロイのクラウド導入フレームワークの一部として、Azure カスタム ロールを作成して定義することもできます。 Azure Virtual Desktop に固有の RBAC ロールを他の Azure RBAC ロールと組み合わせる必要がある場合があります。 このアプローチでは、ユーザーが Azure Virtual Desktop や、仮想マシン (VM) やネットワークなどの他の Azure サービスに必要なアクセス許可の完全なセットを提供します。

Recommendations
  • Azure Virtual Desktop デプロイを管理するチームと個人のロールを定義します。
  • Azure 組み込みロールを定義して、ホスト プール、アプリケーション グループ、ワークスペースの管理責任を分離します。
  • 各ロールのセキュリティ グループを作成します。

セッション ホストのセキュリティを強化する

影響: セキュリティ

Azure Virtual Desktop では、ターミナル サーバーまたはセッション ホストとエンド ユーザー クライアント間の通信にリモート デスクトップ プロトコル (RDP) を使用します。

RDP は、次の情報を保持する個別の仮想チャネルを許可および拒否できるマルチチャネル プロトコルです。

  • プレゼンテーション データ
  • シリアル デバイス通信
  • ライセンス情報
  • キーボードやマウスのアクティビティなど、高度に暗号化されたデータ

セキュリティを強化するために、Azure Virtual Desktop で接続の RDP プロパティを一元的に構成できます。

Recommendations
  • ローカルおよびリモート ドライブのマッピングを非表示にして、Windows エクスプローラーのアクセスを制限します。 この方法により、ユーザーはシステム構成とユーザーに関する機密情報を検出できなくなります。
  • 不要なソフトウェアがセッション ホストで実行されないようにします。 セッション ホストで追加のセキュリティのために AppLocker を有効にすることができます。 この機能は、指定したアプリのみをホスト上で実行できるようにするために役立ちます。
  • スクリーン キャプチャの保護と透かしを使用すると、クライアント エンドポイントで機密情報がキャプチャされるのを防ぐことができます。 画面キャプチャ保護を有効にすると、リモート コンテンツはスクリーンショットと画面共有で自動的にブロックまたは非表示になります。 また、リモート デスクトップ クライアントは、画面をキャプチャする悪意のあるソフトウェアからコンテンツを非表示にします。
  • Microsoft Defenderウイルス対策を使用して、VM を保護します。 詳細については、「リモート デスクトップまたは仮想デスクトップ インフラストラクチャ環境でMicrosoft Defenderウイルス対策を構成する」を参照してください。
  • アプリケーションコントロールWindows Defender有効にします。 ドライバーとアプリケーションを信頼するかどうかに関係なく、ポリシーを定義します。
  • リソースを保持し、未承認のアクセスを防ぐために、非アクティブなユーザーをサインアウトします。 詳細については、「 非アクティブな最大時間と切断ポリシーを確立する」を参照してください。
  • クラウド セキュリティ体制管理 (CSPM) のためにクラウドのMicrosoft Defenderを有効にします。 詳細については、「Microsoft 365 Defenderでの非永続的仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード」を参照してください。

中央プラットフォーム、ID、ネットワーク チームの設計に関する考慮事項

影響: セキュリティ

ID は、Azure Virtual Desktop の基本的な設計原則です。 ID は、アーキテクチャ プロセス内で一流の懸念事項として扱う必要がある重要な設計領域でもあります。

Azure Virtual Desktop の ID 設計

Azure Virtual Desktop では、企業のリソースとアプリケーションにアクセスするためのさまざまな種類の ID がサポートされています。 ワークロード所有者は、ビジネスや組織のニーズに応じて、さまざまな種類の ID プロバイダーから選択できます。 このセクションの ID 設計領域を確認して、ワークロードに最適なものを評価します。

ID の設計 まとめ
Active Directory Domain Services (AD DS) ID Azure Virtual Desktop にアクセスするには、Microsoft Entra ID を使用してユーザーを検出できる必要があります。 その結果、AD DS にのみ存在するユーザー ID はサポートされません。 Active Directory フェデレーション サービス (AD FS) (AD FS) を使用したスタンドアロン Active Directory 展開もサポートされていません。
ハイブリッド ID Azure Virtual Desktop では、AD FS を使用してフェデレーションされる ID など、Microsoft Entra ID を使用したハイブリッド ID がサポートされます。 AD DS でこれらのユーザー ID を管理し、Microsoft Entra Connect を使用してMicrosoft Entra ID に同期できます。 Microsoft Entra ID を使用してこれらの ID を管理し、AD DS に同期することもできます。
クラウド専用 ID Azure Virtual Desktop では、Microsoft Entra ID を使用して参加している VM を使用する場合、クラウド専用 ID がサポートされます。 これらのユーザーは、Microsoft Entra ID で直接作成および管理されます。

重要

Azure Virtual Desktop では、企業間アカウント、Microsoft アカウント、 または外部 ID はサポートされていません。

ID と認証戦略の選択と実装の詳細については、「 サポートされている ID と認証方法」を参照してください。

Recommendations
  • 最小限の特権で専用ユーザー アカウントを作成します。 セッション ホストをデプロイするときは、このアカウントを使用して、セッション ホストをMicrosoft Entra Domain Servicesまたは AD DS ドメインに参加させます。
  • 多要素認証が必要。 デプロイ全体のセキュリティを向上させるには、Azure Virtual Desktop のすべてのユーザーと管理者に多要素認証を適用します。 詳細については、「条件付きアクセスを使用して Azure Virtual Desktop にMicrosoft Entra ID 多要素認証を適用する」を参照してください。
  • MICROSOFT ENTRA ID 条件付きアクセスを有効にします。 条件付きアクセスを使用する場合は、ユーザーに Azure Virtual Desktop 環境へのアクセスを許可する前にリスクを管理できます。 アクセス権を付与するユーザーを決定するプロセスでは、各ユーザーが誰であるか、サインイン方法、使用しているデバイスについても検討する必要があります。

Azure Virtual Desktop のセキュリティで保護されたネットワーク設計

ネットワーク セキュリティ対策を実施しないと、攻撃者は資産にアクセスできます。 リソースを保護するには、ネットワーク トラフィックに制御を配置することが重要です。 適切なネットワーク セキュリティ制御は、クラウドデプロイに侵入する攻撃者を検出して阻止するのに役立ちます。

Recommendations
  • ハブスポーク アーキテクチャを使用します。 共有サービスと Azure Virtual Desktop アプリケーション サービスを区別することが重要です。 ハブスポーク アーキテクチャは、セキュリティに対する優れたアプローチです。 ワークロード固有のリソースは、ハブ内の共有サービスとは別の独自の仮想ネットワークに保持する必要があります。 共有サービスの例としては、管理サービスとドメイン ネーム システム (DNS) サービスがあります。
  • ネットワーク セキュリティ グループを使用します。 ネットワーク セキュリティ グループを使用して、Azure Virtual Desktop ワークロードとの間のネットワーク トラフィックをフィルター処理できます。 サービス タグとネットワーク セキュリティ グループ規則は、Azure Virtual Desktop アプリケーションへのアクセスを許可または拒否する方法を提供します。 たとえば、オンプレミスの IP アドレス範囲から Azure Virtual Desktop アプリケーション ポートへのアクセスを許可したり、パブリック インターネットからのアクセスを拒否したりできます。 詳細については、「ネットワーク セキュリティ グループ」を参照してください。 Azure Virtual Desktop をデプロイしてユーザーが使用できるようにするには、セッション ホスト VM がいつでもアクセスできる特定の URL を許可する必要があります。 これらの URL の一覧については、「 Azure Virtual Desktop に必要な URL」を参照してください。
  • 各ホスト プールを個別の仮想ネットワークに配置して、ホスト プールを分離します。 ネットワーク セキュリティ グループは、サブネットごとに Azure Virtual Desktop に必要な URL と共に使用します。
  • ネットワークとアプリケーションのセキュリティを適用します。 ネットワークとアプリケーションのセキュリティ制御は、すべての Azure Virtual Desktop ワークロードのベースライン セキュリティ対策です。 Azure Virtual Desktop セッション ホスト ネットワークとアプリケーションには、厳密なセキュリティ レビューとベースライン制御が必要です。
  • RDP ポートを無効またはブロックすることで、環境内のセッション ホストへの直接 RDP アクセスを回避します。 管理目的またはトラブルシューティングのために直接 RDP アクセスが必要な場合は、Azure Bastion を使用してセッション ホストに接続します。
  • Azure Virtual Desktop でAzure Private Linkを使用して、Microsoft ネットワーク内のトラフィックを維持し、セキュリティを向上させます。  プライベート エンドポイントを作成すると、仮想ネットワークとサービス間のトラフィックは Microsoft ネットワーク上に残ります。 サービスをパブリック インターネットに公開する必要がなくなりました。 また、仮想プライベート ネットワーク (VPN) または Azure ExpressRoute を使用して、リモート デスクトップ クライアントを持つユーザーが仮想ネットワークに接続できるようにすることもできます。
  • Azure Firewallを使用して、Azure Virtual Desktop を保護します。 Azure Virtual Desktop セッション ホストは仮想ネットワークで実行され、仮想ネットワークのセキュリティ制御の対象となります。 アプリケーションまたはユーザーが送信インターネット アクセスを必要とする場合は、Azure Firewallを使用して保護し、環境をロックダウンすることをお勧めします。

転送中のデータを暗号化する

影響: セキュリティ

転送中の暗号化は、ある場所から別の場所に移動するデータの状態に適用されます。 転送中のデータは、接続の性質に応じて、いくつかの方法で暗号化できます。 詳細については、「 転送中のデータの暗号化」を参照してください。

Azure Virtual Desktop は、クライアントとセッション ホストから Azure Virtual Desktop インフラストラクチャ コンポーネントに開始されるすべての接続にトランスポート層セキュリティ (TLS) バージョン 1.2 を使用します。 Azure Virtual Desktop では、 Azure Front Door と同じ TLS 1.2 暗号が使用されます。 クライアント コンピューターとセッション ホストでこれらの暗号を使用できることを確認することが重要です。 リバース接続トランスポートの場合、クライアントとセッション ホストは Azure Virtual Desktop ゲートウェイに接続します。 その後、クライアントとセッション ホストが伝送制御プロトコル (TCP) 接続を確立します。 次に、クライアントとセッション ホストが Azure Virtual Desktop ゲートウェイ証明書を検証します。 RDP は、基本トランスポートを確立するために使用されます。 RDP は、セッション ホスト証明書を使用して、クライアントとセッション ホストの間に入れ子になった TLS 接続を確立します。

ネットワーク接続の詳細については、「 Azure Virtual Desktop のネットワーク接続について」を参照してください。

Recommendations
  • Azure Virtual Desktop が転送中のデータを暗号化する方法について説明します。
  • クライアント コンピューターとセッション ホストで、Azure Front Door で使用される TLS 1.2 暗号を使用できることを確認します。

コンフィデンシャル コンピューティングを使用して使用中のデータを暗号化する

影響: セキュリティ、パフォーマンス効率

コンフィデンシャル コンピューティングを使用して、政府機関、金融サービス、医療機関などの規制対象の業界で運用する場合に使用されるデータを保護します。

Azure Virtual Desktop には機密 VM を使用できます。 機密 VM は、使用中のデータを保護することで、データのプライバシーとセキュリティを向上させます。 Azure DCasv5 および ECasv5 機密 VM シリーズは、ハードウェア ベースの信頼された実行環境 (TEE) を提供します。 この環境には、Advanced Micro Devices (AMD) Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) セキュリティ機能が搭載されています。 これらの機能により、ゲスト保護が強化され、ハイパーバイザーやその他のホスト管理コードから VM のメモリと状態へのアクセスが拒否されます。 また、オペレーターのアクセスから保護するのにも役立ち、使用中のデータを暗号化します。

機密 VM は、バージョン 22H1、22H2、および将来のバージョンのWindows 11のサポートを提供します。 Windows 10に対する機密 VM のサポートが計画されています。 機密オペレーティング システムのディスク暗号化は、機密 VM で使用できます。 また、整合性の監視は、機密 VM の Azure Virtual Desktop ホスト プール のプロビジョニング中に使用できます。

詳細については、次のリソースを参照してください。

Recommendations
  • コンフィデンシャル コンピューティングを使用して、使用中のデータを保護します。
  • Azure DCasv5 および ECasv5 機密 VM シリーズを使用して、ハードウェア ベースの TEE を構築します。

次の手順

Azure Virtual Desktop をセキュリティで保護するためのベスト プラクティスを確認したので、ビジネス エクセレンスを実現するための運用管理手順を調査します。

評価ツールを使用して、設計の選択を評価します。