Azure Virtual Desktop の送信ネットワーク アクセスを許可する

完了

Azure Virtual Desktop のようなワークロードを保護するために、Azure Firewall のデプロイを計画する場合、適切なネットワーク トラフィックを許可するためにデプロイする規則について把握しておく必要があります。

会計事務所の例では、Azure Virtual Desktop 環境で許可されていないネットワーク トラフィックは使用できなかったことを思い出してください。 Azure Firewall を使用して Azure Virtual Desktop の送信ネットワーク トラフィックを制限したいと考えていました。

Azure Virtual Desktop を機能させるには、ホスト プールに Azure Virtual Desktop サービスへの送信インターネット アクセスが必要になります。 ホスト プールには、ユーザーの送信インターネット アクセスも必要になる場合があります。

ファイアウォール規則を作成する

Azure Virtual Desktop の適切なネットワーク トラフィックを許可するために、アプリケーションとネットワークのファイアウォール規則を作成する必要があります。 Azure Virtual Desktop およびサポートするサービスへのホスト プールの送信ネットワーク アクセスを許可する必要があります。 組織のニーズに応じて、エンド ユーザーに対して安全な送信インターネット アクセスを使用できるようにする必要があるかもしれません。

アプリケーション ルールを構成する

ホスト プールから Azure Virtual Desktop への送信ネットワーク アクセスを許可するには、次の 2 つの規則を使用してアプリケーション規則コレクションを作成します。

ルール 説明
Azure Virtual Desktop を許可する FQDN タグ WindowsVirtualDesktop を使用して、ホスト プール仮想ネットワークからのトラフィックを許可します。
ストレージおよびサービス バス アカウントを許可する ホスト プール仮想ネットワークから、ホスト プールによって使用されるストレージおよびサービス バス アカウントのセットへのアクセスを許可するために、対象 FQDN を使用します。 ワイルドカード FQDN を使用して必要なアクセスを有効にするか、より制限を厳しくするため、正確な FQDN を追加します。

次の表に、ストレージおよびサービス バス アカウントを許可する規則を作成するために使用できるターゲット オプションを示します。

オプション 使用する FQDN
ワイルドカード FQDN *xt.blob.core.windows.net*eh.servicebus.windows.net
正確な FQDN ホスト プールで使用される必要な正確な FQDN を一覧表示するには、Azure Monitor ログで次の Log Analytics クエリを使用します。
  AzureDiagnostics
  | where Category == "AzureFirewallApplicationRule"
  | search "Deny"
  | search "gsm*eh.servicebus.windows.net" or "gsm*xt.blob.core.windows.net"
  | parse msg_s with Protocol " request from " SourceIP ":" SourcePort:int " to " FQDN ":" *
  | project TimeGenerated,Protocol,FQDN

両方の規則を追加すると、規則コレクションは次のスクリーンショットのようになります。

Screenshot that shows an example application rule collection form filled out.

次の演習では、アプリケーション規則コレクションを作成するための具体的な手順について説明します。

ネットワーク ルールを構成する

Azure Virtual Desktop を機能させるには、DNS と Windows アクティブ化サービスのための Azure Firewall 規則を追加必要があります。

ネットワーク規則コレクションを作成して、次の規則を追加します。

ルール 説明
DNS を許可する Active Directory ドメイン サーバーのプライベート IP アドレスから * へのトラフィックに、TCP および UDP ポート 53 を許可します。 一部のデプロイでは、DNS 規則を必要としない場合があります。 たとえば、Microsoft Entra Domain Services は、168.63.129.16 で DNS クエリを Azure DNS に転送します。
KMS を許可する Azure Virtual Desktop VM から Windows アクティブ化サービスへのトラフィックに TCP ポート 1688 を許可します。

両方のネットワーク規則を追加すると、規則コレクションは次のスクリーンショットのようになります。

Screenshot that shows a network collection with rules added to allow DNS and KMS traffic.

次の演習では、ネットワーク規則コレクションを作成するための具体的な手順について説明します。

ユーザーに安全な送信インターネット アクセスを許可する

ユーザーに送信インターネット アクセスを許可する場合、Azure Firewall のアプリケーションとネットワークの規則を追加で作成しなければならないことがあります。

Microsoft 365 など、許可されている宛先の一覧が適切に定義されている場合は、Azure Firewall のアプリケーションとネットワークの規則を使用して、エンドユーザーのトラフィックを宛先に直接ルーティングします。 Office 365 の IP アドレスと URL Web サービスの詳細については、このモジュールの「まとめ」セクションに記載されているリソースを参照してください。

既存のオンプレミスの安全な Web ゲートウェイを使用して、ユーザーの送信インターネット トラフィックをフィルター処理したいと思われるかもしれません。 これを行うには、明示的なプロキシ構成を使って、Azure Virtual Desktop ホスト プールで実行される Web ブラウザーまたは他のアプリケーションを構成することができます。 たとえば、Microsoft Edge コマンドライン オプションを使用してプロキシ設定を構成することができます。 これらのプロキシ設定は、ユーザーのインターネット アクセスにのみ影響を与えます。また、Azure Firewall を直接経由する Azure Virtual Desktop サービスの送信トラフィックを許可します。 詳細については、このモジュールの「まとめ」セクションに記載されているリソースを参照してください。