ゼロトラストの標準を Azure バーチャル デスクトップ導入に適用する

完了

このレッスンでは、Azure Virtual Desktop 参照アーキテクチャ全体にゼロ トラストの原則を適用する手順について説明します。

ステップ 1：ゼロ トラストで ID を保護します。

Azure バーチャル デスクトップ で使用される ID にゼロ トラスト標準を適用するには:

• Azure バーチャル デスクトップでは、さまざまな種類の ID がサポートされています。 「ゼロ トラストを使用した ID のセキュリティ保護」の情報を使用して、選択した ID の種類がゼロ トラスト標準に準拠していることを確認します。
• セッション ホストの展開中に、セッション ホストを Microsoft Entra ドメイン サービス または AD DS do メイン に参加させる特権を最小限にして専用ユーザー アカウントを作成します。

ステップ 2: ゼロ トラストでエンドポイントを保護する

エンドポイントは、ユーザーが Azure バーチャル デスクトップ 環境とセッション ホストバーチャルマシンにアクセスする際に使用されるデバイスです。 エンドポイント統合の概要のステップを使用し、Microsoft Defender for Endpoint と Microsoft エンドポイント マネージャー を使用して、エンドポイントがセキュリティとコンプライアンスの要件に準拠していることを確認します。

ステップ 3：Azure バーチャル デスクトップ ストレージ リソースにゼロ トラスト標準を適用する

Azure バーチャル デスクトップ デプロイで使用されているストレージ リソースに対して、Azure のストレージにゼロ トラスト標準を適用する方法に関するページのステップを実装します。 これらのステップにより、次のことが保証されます。

• 保存中、転送中、使用中の Azure バーチャル デスクトップ データをセキュリティで保護します。
• ユーザーを検証し、最小限の権限でストレージデータへのアクセスを制御します。
• ストレージ アカウントのプライベート エンドポイントを構成します。
• ネットワーク制御で重要なデータを論理的に分離します。 たとえば、ホスト プールごとに個別のストレージ アカウントを使用する場合や、MSIX アプリの添付ファイル共有を使用するなどの目的があります。
• Defender for Storage を使用して、脅威からの保護を自動化します。

ステップ 4：ハブ アンド スポークの Azure バーチャル デスクトップ VNet にゼロ トラスト標準を適用する

VNet ハブは、複数のスポークバーチャルネットワークの中央接続ポイントです。 セッション ホストからの送信トラフィックをフィルター処理するために使用するハブ VNet について、「ゼロ トラスト標準を Azure のハブバーチャルネットワークに適用する」のステップを実装します。

スポーク VNet は、Azure バーチャル デスクトップードを分離し、セッション ホストバーチャルマシンを含みます。 セッション ホスト/バーチャルマシンを含むスポーク VNet の Azure のスポークバーチャルネットワークにゼロ トラスト標準を適用するステップを実装します。

NSG を使用して、サブネットごとに Azure バーチャル デスクトップ に必要な URL を使用して、個別の VNet 上の異なるホスト プールを分離します。 プライベート エンドポイントをデプロイするときは、そのロールに基づいて VNet 内の適切なサブネットに配置します。

Azure Firewall またはネットワークバーチャルアプライアンス (NVA) ファイアウォールを使用して、送信トラフィックのAzure バーチャル デスクトップセッション ホストを制御および制限できます。 セッション ホストを保護するには、Azure ファイアウォール のステップを使用します。 ホスト プール サブネットにリンクされているユーザー定義ルート (UDR) を使用して、トラフィックをファイアウォール経由で強制的に通過させます。 ファイアウォールを構成するために必要な Azure バーチャル デスクトップ URL の 完全な一覧を確認します。 Azure ファイアウォール には、この構成を簡略化するための Azure バーチャル デスクトップFQDN タグ が用意されています。

ステップ 5：Azure バーチャル デスクトップ セッション ホストにゼロ トラスト標準を適用する

セセッション ホストは、スポーク VNet 内で実行されるバーチャルマシンです。 セッション ホスト用に作成されるバーチャルマシンに対して、Azure のバーチャルマシンに ゼロ トラスト 標準を適用する方法に関するページのステップを実装します。

ホスト プールは、Active Directory ドメイン サービス (AD DS) のグループ ポリシーによって管理される場合は、組織単位 (OU) を分離する必要があります。

Microsoft Defender for Endpoint は、企業ネットワークによる高度な脅威に対する防御、検出、調査、対応を支援するように、設計されたエンタープライズ エンドポイント セキュリティ プラットフォームです。 セッション ホストにはMicrosoft Defender for Endpointを使用できます。 詳細については、仮想デスクトップ インフラストラクチャ (VDI) デバイスをご覧ください。

ステップ 6: Azure Virtual Desktop でセキュリティ、ガバナンス、コンプライアンスをデプロイする

Azure Virtual Desktop サービスを使用すると、Azure Private Link を使用してプライベート エンドポイントを作成し、リソースにプライベートに接続できます。

Azure バーチャル デスクトップには、セッション ホストを保護するための高度なセキュリティ機能が組み込まれています。 ただし、Azure バーチャル デスクトップ 環境とセッション ホストのセキュリティ防御を強化するには、次の記事を参照してください。

• Azure バーチャル デスクトップのセキュリティに関するベスト プラクティス
• Azure バーチャル デスクトップ 用の Azure セキュリティ ベースライン

この記事では、Microsoft の クラウド導入フレームワーク に合わせた Azure バーチャル デスクトップ ランディング ゾーンの セキュリティ、ガバナンス、およびコンプライアンス に関する設計上の主な考慮事項と推奨事項について解釈します。

ステップ 7：セキュリティで保護された管理と監視を Azure バーチャル デスクトップ にデプロイする

管理と継続的な監視は、Azure バーチャル デスクトップ 環境が悪意のある動作に関与しないようにするために重要です。 Azure バーチャル デスクトップ インサイトを使用して、データをログに記録し、診断データと使用状況データを報告します。

次の追加記事を参照してください。

• Azure アドバイザーからの Azure バーチャル デスクトップの推奨事項を確認してください。
• 詳細なポリシー管理には、Microsoft Intune を使用します。
• ホスト プール レベルで詳細な設定を行う場合は、RDP プロパティを確認して設定します。