この記事では、仮想デスクトップ インフラストラクチャで ID とアクセス管理に Azure ロールベースのアクセス制御 (RBAC) を使用する方法について説明します。 効果的な ID とアクセス管理により、Azure Virtual Desktop の安全で効率的な操作が保証されます。
ロールベースのアクセス制御 (RBAC) の設計
RBAC を使用すると、Azure Virtual Desktop のデプロイを管理するチームと個人間で職務を分離できます。 責任に基づいてロールを割り当てることで、ユーザー管理が簡素化され、セキュリティが強化されます。 これを実現するには、次の手順に従います。
ロールの割り当てを定義します。 ロールの割り当てを決定し、各ロールに対応するセキュリティ グループを作成します。 このアプローチにより、ユーザー管理が簡素化され、職務が明確に分離されます。 Azure Virtual Desktop 用に調整されたカスタム ロールと共に、Azure 組み込み ロールを使用します。
サービス間のアクセス許可のロールを結合します。 Azure Virtual Desktop 固有のロールを他の RBAC ロールと組み合わせて、仮想マシンやネットワークなどの Azure サービス全体で必要なアクセス許可をユーザーに付与します。 詳細については、「Azure Virtual Desktop の組み込みロール」を参照してください。
単一サインイン
Microsoft Entra ID を使用した Azure Virtual Desktop のシングル サインオン (SSO) は、セッション ホストに接続するユーザーにシームレスな認証エクスペリエンスを提供します。 SSO は、パスワードレス認証を有効にし、Microsoft Entra ID とフェデレーションされたサード パーティの ID プロバイダーをサポートすることで、ユーザー エクスペリエンスとセキュリティを強化します。 SSO を実装するには、次の手順に従います。
セッション ホストの SSO を有効にします。 ユーザーが Microsoft Entra ID トークンを使用して Windows にサインインできるように SSO を構成します。 このセットアップにより、認証が効率化され、セッション内の Microsoft Entra ID ベースのリソースがサポートされます。 構成の詳細については、「 Microsoft Entra ID を使用して Azure Virtual Desktop のシングル サインオンを構成する」を参照してください。
サード パーティの ID プロバイダーを統合する。 認証機能を拡張するには、Microsoft Entra ID を持つフェデレーションサード パーティ ID プロバイダーを使用します。 この統合により、ユーザーのアクセスが簡素化され、セキュリティが強化されます。
Azure Virtual Desktop の設計に関する考慮事項
このセクションでは、Azure Virtual Desktop をデプロイするための主要な設計上の考慮事項について説明します。 これらの考慮事項は、ユーザーの安全で信頼性の高いアクセスを確保するために、適切な ID、認証、およびドメイン参加戦略を選択するのに役立ちます。 最適な構成を実現するには、次の推奨事項に従います。
Microsoft Entra ID を使用してユーザー認証を要求する。 セッション ホストからデスクトップとアプリケーションにアクセスするには、 ユーザーが Microsoft Entra ID で認証する必要があります。 Microsoft Entra ID は、Azure Virtual Desktop の一元化されたクラウド ID 管理を提供します。
セッション ホストでサポートされているドメイン参加オプションを選択します。 セッション ホストを同じ Microsoft Entra テナント、 Active Directory Domain Services (AD DS)、または Microsoft Entra Domain Services のいずれかに参加させます。 Azure Virtual Desktop では、セッション ホスト ドメイン参加用の B2B または Microsoft アカウントはサポートされていません。
ドメイン参加操作には非対話型アカウントを使用します。 ドメイン参加アカウントでは、多要素認証や対話型プロンプトを必要としてはなりません。 その他の要件については、 仮想マシンの詳細を参照してください。
適切なホスティング戦略を選択します。 組織の要件に基づいて 、Active Directory Domain Services または Microsoft Entra Domain Services を選択します。
Microsoft Entra Domain Services の制限事項について説明します。Microsoft Entra Domain Services はサポートされているオプションですが、 パスワード ハッシュ同期を有効にする必要があります。 Azure Virtual Desktop VM のハイブリッド参加はサポートされていないため、Microsoft 365 サービスのシームレスな SSO が防止されます。 詳細については、 Microsoft Entra Domain Services に関する FAQ を参照してください。
Microsoft Entra Domain Services を使用してドメインに参加するための適切なアクセス許可を割り当てます。 ドメイン参加アカウントは Microsoft Entra DC 管理者グループに属している必要があり、パスワードは Microsoft Entra Domain Services で有効である必要があります。 詳細については、「 仮想マシンの詳細」を参照してください。
識別名の形式を使用して組織単位を指定します。 組織単位を定義する場合は、引用符なしで識別名を使用します。
最小特権の原則を適用します。 ユーザーが承認されたタスクを実行するために必要な最小限のアクセス許可のみを割り当てます。
ユーザー プリンシパル名の配置を確認します。 Azure Virtual Desktop のサブスクライブに使用されるユーザー プリンシパル名は、セッション ホスト仮想マシンに参加している Active Directory ドメインに存在する必要があります。 ユーザー要件については、 Azure Virtual Desktop の要件に関するページを参照してください。
直接ドメイン コントローラー接続でスマート カード認証を有効にします。 スマート カード認証では、Kerberos 認証のために Active Directory ドメイン コントローラーに直接接続する必要があります。 構成ガイダンスについては、「 Kerberos キー配布センター プロキシの構成」を参照してください。
ハイブリッド証明書信頼を使用して Windows Hello for Business を展開します。 ハイブリッド証明書信頼モデルを使用して、Azure Virtual Desktop で Windows Hello for Business をサポートします。 展開手順については、 Microsoft Entra のハイブリッド参加済み証明書信頼の展開に関する説明を参照してください。
高度な認証のための Kerberos ベースのサインインをサポートします。 Windows Hello for Business またはスマート カード認証の場合は、クライアントがドメイン コントローラーと通信できることを確認します。 サポートされている方法については、「 サポートされている認証方法」を参照してください。
Active Directory フェデレーション サービスでシングル サインオンを構成します。 ユーザー エクスペリエンスを向上させるために、Active Directory フェデレーション サービス (AD FS) を使用して SSO を有効にします。 この構成は、AD FS でのみサポートされます。 セットアップ手順については、「 Azure Virtual Desktop の Active Directory フェデレーション サービスのシングル サインオンを構成する」を参照してください。
サポートされる ID シナリオ
次の表は、Azure Virtual Desktop でサポートされる ID シナリオをまとめたものです。
| アイデンティティのシナリオ | セッション ホスト | ユーザー アカウント |
|---|---|---|
| Microsoft Entra ID + AD DS | AD DS に参加 | Microsoft Entra ID と AD DS が同期される場合 |
| Microsoft Entra ID + AD DS | Microsoft Entra ID に参加済み | Microsoft Entra ID と AD DS が同期される場合 |
| Microsoft Entra ID + Microsoft Entra Domain Services | Microsoft Entra Domain Services に参加済み | Microsoft Entra ID と Microsoft Entra Domain Services では、同期されます。 |
| Microsoft Entra ID + Microsoft Entra Domain Services + AD DS | Microsoft Entra Domain Services に参加済み | Microsoft Entra ID と AD DS が同期される場合 |
| Microsoft Entra ID + Microsoft Entra Domain Services | Microsoft Entra ID に参加済み | Microsoft Entra ID と Microsoft Entra Domain Services では、同期されます。 |
| Microsoft Entra のみ | Microsoft Entra ID に参加済み | マイクロソフト Entra ID における |
設計に関する推奨事項
Azure Virtual Desktop の ID とアクセス管理を最適化するには、次の設計に関する推奨事項に従います。
ID を同期します。 Microsoft Entra Connect を使用して、すべての ID を 1 つの Microsoft Entra テナントに同期します。 詳細については、「Microsoft Sentinel Connect とは?」を参照してください。
ディレクトリ接続を確認します。 Azure Virtual Desktop セッション ホストが Microsoft Entra Domain Services または Active Directory Domain Services と通信できることを確認します。
スマート カードのサポートを有効にします。 Kerberos キー配布センター プロキシ ソリューションを使用して、スマート カード認証トラフィックをプロキシし、リモート サインインを有効にします。 詳細については、「Kerberos キー配布センター プロキシを構成する」を参照してください。
セッション ホストを管理します。 セッション ホスト仮想マシンを各ホスト プールの Active Directory 組織単位に分離して、ポリシー管理と孤立したオブジェクトを簡略化します。 詳細については、「 仮想マシンの詳細」を参照してください。
ローカル管理者アカウントをセキュリティで保護します。 ローカル管理者パスワード ソリューション (LAPS) などのソリューションを使用して、Azure Virtual Desktop セッション ホストでローカル管理者パスワードを頻繁にローテーションします。 詳細については、「 セキュリティ評価: Microsoft LAPS の使用状況」を参照してください。
RBAC を使用してアクセスを割り当てます。 Desktop Virtualization User 組み込みロールを適切なセキュリティ グループに割り当てることで、Azure Virtual Desktop アプリケーション グループへのアクセス権をユーザーに付与します。 詳細については、「Azure Virtual Desktopでの委任されたアクセスの
」を参照してください。 条件付きアクセスを実装します。 危険なサインインなどの条件に基づいて多要素認証を適用する Azure Virtual Desktop の条件付きアクセス ポリシーを作成します。詳細については、「 Azure Virtual Desktop の Microsoft Entra 多要素認証を有効にする」を参照してください。
AD FS でシングル サインオンを有効にします。 Active Directory フェデレーション サービス (AD FS) を構成して、企業ネットワーク上のユーザーに対してシングル サインオンを有効にします。
次のステップ
Azure Virtual Desktop エンタープライズ規模のシナリオのネットワーク トポロジと接続について説明します。