データ セキュリティを有効にする

完了

ユーザー プロファイルは、ユーザーや管理者がシステムの状態を表現するために行った設定のデータ セットです。 さまざまなシステム コンポーネントが、ユーザー プロファイルにバインドされます。 これらのコンポーネントには、アプリケーション、レジストリ エントリ、およびその他のカスタマイズされたエントリが含まれます。

Windows 10 には、複数の種類のユーザー プロファイルが用意されています。 以下のテーブルでは、従来の 4 種類の Windows プロファイルについて説明します。

プロファイルの種類 説明
ローカル ユーザー プロファイル ローカル ユーザー プロファイルは、デバイスのディスクに保存されます。 別のデバイスを使用する場合、カスタマイズはデバイス間で同期されません。
移動ユーザー プロファイル 移動ユーザー プロファイルは、ローカル ユーザー プロファイルのコピーを共有フォルダーに保存したものです。 移動プロファイルにローカルで加えられた変更は、ユーザーがサインアウトするとファイルサーバーのサーバー メッセージ ブロック (SMB) 共有フォルダーに同期されます。ユーザーが別のデバイスにサインインした場合は、移動プロファイルが新しいシステムにダウンロードされる際に、カスタマイズされた内容がユーザーをフォローします。

ただし、Windows やアプリケーションのすべての設定を移動させることはできません。 パフォーマンスとメンテナンスのペナルティは、柔軟性のために支払われます。 FSLogix プロファイル コンテナーを追加することで、従来の移動プロファイルの欠点に対処しました。 次のセクションでは、FSLogix プロファイル コンテナーについて説明します。
必須プロファイル 必須プロファイルとは、管理者がユーザーの設定を指定するように事前構成した移動ユーザー プロファイルのことです。 必須のユーザー プロファイルを使用すると、ユーザーは自分のデスクトップを変更することができますが、ユーザーがサインアウトした場合に変更内容は保存されません。次回ユーザーがサインインすると、管理者が作成した必須のユーザー プロファイルがダウンロードされます。 必須のプロファイルは、一般的にキオスク環境で使用されます。
一時プロファイル フェイル セーフ プロファイルは、ユーザーの移動プロファイルの読み込みに問題がある場合に作成されます。 これは、サインアウト時に廃棄されます。

FSLogixプロファイル コンテナー

Azure Virtual Desktop 環境では、ユーザー プロファイル全体を保存するために、FSLogix プロファイル コンテナーをお勧めします。 プロファイル コンテナーは、従来のプロファイル管理ソリューションではなく、非永続的な環境のための完全なリモート プロファイル ソリューションです。

プロファイル コンテナーは、ユーザー プロファイル全体をリモートの場所にリダイレクトします。 プロファイル コンテナーの設定では、プロファイルをリダイレクトする場所と方法を定義します。 プロファイル コンテナー をAzure Virtual Desktop で使用する場合、Azure ストレージ アカウントに保存することができます。

Azure Virtual Desktop にサインインすると、ユーザー プロファイル コンテナー (仮想ハードディスク) が、ユーザーが割り当てられた仮想マシンに動的にアタッチされます。 FSLogix は、高度なフィルター ドライバー技術を使用して、ユーザー プロファイルをローカル ユーザー プロファイルと同じようにシステム内ですぐに利用できるようにしています。

FSLogix は、非永続的プロファイルの主要な問題に対処します。 要約すると、FSLogix はローカル プロファイルをローミング プロファイルのように動作させることができ、主に次のようなメリットがあります。

  • パフォーマンスの改善。 FSLogix プロファイル コンテナーは高いパフォーマンスを提供し、これまでにブロックされた Exchange キャッシュ モードに対応しています。
  • ファイル オンデマンドなどの、Microsoft OneDrive for Business 向けサポート。 これまでは、非永続的な仮想化された環境ではこのサポートがありませんでした。
  • SMB フォルダー。 FSLogix は、Azure NetApp Files サービスを使用してエンタープライズ グレードの SMB ボリュームをプロビジョニングするために、ユーザー プロファイルを拡張する機能を提供します。 Azure NetApp Files は、SMB 2.1 と SMB 3.1 をサポートします。

Azure Files を使用した FSLogix プロファイル コンテナー

Azure Files では、Microsoft Entra Domain Services でオンプレミスの Active Directory Domain Services (AD DS) を使用して、SMB ID ベースの認証をサポートしています。 Azure Files は、オンプレミスの AD DS または Microsoft Entra Domain Services で認証するために Kerberos プロトコルを適用します。 Azure ファイル共有に ID ベースのアクセスを可能にすることで、既存のディレクトリ サービスを維持したまま、既存のオンプレミスのファイル サーバーを Azure ファイル共有に置き換えることができます。

ファイル共有は、Azure Virtual Desktop ホスト プールの仮想ネットワーク上に存在する Azure 仮想マシンでホストされます。 ファイル共有の対象となる仮想マシンは、仮想ネットワーク上の Active Directory のドメインに参加します。 仮想マシンをドメイン参加させた後、ホスト プールの FSLogix プロファイル コンテナー共有として動作させることができます。

ファイル共有の代わりに Azure Files を使用することを強くお勧めします。

Azure Disk Encryption を使用して Azure Virtual Desktop データをセキュリティで保護する

Azure Virtual Desktop が Azure NetApp Files で使用するすべてのファイルは、連邦情報処理規格 (FIPS PUBS) 140-2 規格で暗号化されています。 Azure NetApp Files サービスは、すべてのキーを管理し、各ボリュームに固有の XTS-AES-256 データ暗号化キーを生成します。

Azure Virtual Desktop は、暗号化キーを使用して、すべてのボリューム キーを暗号化して保護します。 これらの暗号化キーは、まったく暗号化されていない状態では利用できず、報告されることもありません。 ボリュームを削除すると、キーもすぐに削除されます。

注:

Azure Dedicated HSM 経由での Bring Your Own Key (BYOK) のサポートが利用可能です。 お住まいの地域での可用性を確認してください。