セキュリティとガバナンス

この記事では、Microsoft のクラウド導入フレームワークに従って、Azure Virtual Desktop ランディング ゾーンのセキュリティ、ガバナンス、コンプライアンスに関する主要な設計上の考慮事項と推奨事項について説明します。

次のセクションを確認して、Azure Virtual Desktop ランディング ゾーンの推奨されるセキュリティ制御とガバナンスを確認します。

アイデンティティ

• 多要素認証または別の多要素認証ツールを必要とする Microsoft Entra 条件付きアクセス ポリシーを確立することで、Azure Virtual Desktop へのユーザー アクセスをセキュリティで保護します。 ユーザーの場所、デバイス、サインイン動作を考慮し、アクセス パターンに基づいて必要に応じて追加の制御を追加します。 Azure Virtual Desktop で Azure 多要素認証を有効にする方法の詳細については、「Azure Virtual Desktop で Azure 多要素認証を有効にする」を参照してください。

• 管理ロール、運用ロール、エンジニアリング ロールを Azure RBAC ロールに定義することによって必要な最小限の特権を割り当てます。 Azure Virtual Desktop ランディング ゾーン内の高い特権ロールへのアクセスを制限するには、Privileged Identity Management (PIM) との統合を検討してください。 特定の管理領域ごとに担当するチームの知識を維持することは、Azure ロールベースのアクセス制御 (RBAC) ロールと構成を決定するのに役立ちます。

• Azure Virtual Desktop の自動化とサービスには、Azure マネージド ID または証明書の資格情報を持つサービス プリンシパルを使用します。 Automation アカウントに最小限の特権を割り当て、スコープを Azure Virtual Desktop ランディング ゾーンに制限します。 Azure Key Vault を Azure マネージド ID と共に使用して、ランタイム環境 (Azure 関数など) がキー コンテナーから自動化資格情報を取得できるようにします。

• Microsoft Entra ID と Azure Virtual Desktop ランディング ゾーンのユーザーと管理者のアクティビティ ログを収集していることを確認します。 セキュリティ情報イベント管理 (SIEM) ツールを使用して、これらのログを監視します。 次のようなさまざまなソースからログを収集できます。

  • Azure アクティビティ ログ
  • Microsoft Entra アクティビティ ログ
  • Microsoft Entra ID
  • セッション ホスト
  • Key Vault ログ

• Azure Virtual Desktop アプリケーション グループへのアクセスを割り当てるときは、個々のユーザーではなく Microsoft Entra グループを使用します。 組織内のビジネス機能にマップされる既存のセキュリティ グループを使用することを検討してください。これにより、既存のユーザー プロビジョニングとプロビジョニング解除プロセスを再利用できます。

ネットワーキング

• Azure Virtual Desktop ランディング ゾーン用の専用仮想ネットワークをプロビジョニングまたは再利用します。 セッション ホストの規模に合わせて IP アドレス空間を計画します。 ホスト プールあたりのセッション ホストの最小数と最大数に基づいて、ベースライン サブネット サイズを確立します。 ビジネス ユニットの要件をホスト プールにマップします。

• マイクロセグメント化を確立するには、ネットワーク セキュリティ グループ (NSG) または Azure Firewall (またはサード パーティ製のファイアウォール アプライアンス) を使用します。 Azure Virtual Network サービス タグとアプリケーション サービス グループ (ASG) を使用して、ネットワーク セキュリティ グループまたは Azure Virtual Desktop リソース用に構成された Azure Firewall に対するネットワーク アクセス制御を定義します。 必要な URL へのセッション ホストの送信アクセスがプロキシ (セッション ホスト内で使用されている場合) と Azure Firewall (またはサード パーティのファイアウォール アプライアンス) によってバイパスされていることを確認します。

• アプリケーションとエンタープライズ セグメント化戦略に基づいて、セッション ホストと内部リソース間のトラフィックを、セキュリティ グループルールまたは Azure Firewall (またはサードパーティ製のファイアウォール アプライアンス) を使用して大規模に制限します。

• Azure Virtual Desktop ランディング ゾーンをセキュリティで保護するために、Azure Firewall (またはサード パーティのファイアウォール アプライアンス) に対して Azure DDoS 標準保護 を有効にします。

• セッション ホストからの送信インターネット アクセスにプロキシを使用する場合:

  • Azure Virtual Desktop セッション ホストおよびクライアントと同じ地域にプロキシ サーバーを構成します (クラウド プロキシ プロバイダーを使用している場合)。
  • TLS 検査を使用しないでください。 Azure Virtual Desktop では、トラフィックは既定 で転送中に暗号化されます 。
  • ユーザー認証を必要とするプロキシ構成は避けてください。 セッション ホスト上の Azure Virtual Desktop コンポーネントはオペレーティング システムのコンテキストで実行されるため、認証を必要とするプロキシ サーバーはサポートされません。 セッション ホストでホスト レベルのプロキシを構成するには、システム全体のプロキシを有効にする必要があります。

• エンド ユーザーが Azure Virtual Desktop クライアント URL にアクセスできるかどうかを確認します。 ユーザーのデバイスでプロキシ エージェント/構成が使用されている場合は、必ず Azure Virtual Desktop クライアント URL もバイパスしてください。

• セッション ホストの管理とトラブルシューティング には、Just-In-Time アクセス を使用します。 セッション ホストへの直接 RDP アクセスを許可しないようにします。 AVD セッション ホストは、リバース接続トランスポートを使用してリモート セッションを確立します。

• Microsoft Defender for Cloud の アダプティブ ネットワーク強化機能を 使用して、外部ネットワーク トラフィック ルールを参照してポートとソース IP を制限するネットワーク セキュリティ グループ構成を見つけます。

• Azure Monitor またはパートナー監視ソリューションを使用して、Azure Firewall (またはサード パーティのファイアウォール アプライアンス) ログを収集します。 また、Microsoft Sentinel または同様のサービスを使用して、SIEM によってログを監視する必要があります。

• FSLogix プロファイル コンテナーに使用される Azure ファイルのプライベート エンドポイントのみを使用します。

• リバース接続トランスポートを補完するように RDP Shortpath を構成します。

セッション ホスト

• Azure Virtual Desktop セッション ホストの Active Directory に専用の組織単位 (OU) を作成します。 セッション ホストに専用のグループ ポリシーを適用して、次のようなコントロールを管理します。

  • 画面キャプチャ保護を有効に して、クライアント エンドポイントで機密性の高い画面情報がキャプチャされないようにします。
  • 非アクティブ/切断の最大時間ポリシーと画面ロックを設定します。
  • Windows エクスプローラーでローカル ドライブとリモート ドライブのマッピングを非表示にします。
  • 必要に応じて、 FSLogix プロファイル コンテナー と FSLogix クラウド キャッシュの構成パラメーター。

• セッション ホストのデバイス リダイレクトを制御します。 一般的に無効になっているデバイスには、ローカル ハード ドライブへのアクセスと USB またはポートの制限が含まれます。 カメラのリダイレクトとリモート印刷を制限すると、組織のデータを保護するのに役立ちます。 リモート コンテンツがエンドポイントにコピーされないようにするには、クリップボードのリダイレクトを無効にします。

• セッション ホストで Microsoft Defender for Endpoint などの次世代ウイルス対策 Endpoint Protection を有効にします。 パートナー エンドポイント ソリューションを使用する場合は、Microsoft Defender for Cloud がその状態 を確認できることを 確認します。 また、ウイルス対策除外 FSLogix プロファイル コンテナーも含める必要があります。Microsoft Defender for Endpoint は、次のような複数の Microsoft Defender ソリューションと直接統合されます。

  • Microsoft Defender for Cloud
  • Microsoft Sentinel
  • Intune

• 脅威と脆弱性管理の評価を有効にします。 Microsoft Defender for Endpoint の 脅威と脆弱性管理ソリューションを Microsoft Defender for Cloud またはサード パーティの脆弱性管理ソリューションと統合します)。 Microsoft Defender for Cloud は 、Qualys 脆弱性評価ソリューションとネイティブに統合されています。

• Windows Defender アプリケーション制御 (WDAC) または AppLocker によるアプリケーション制御を使用して、実行前にアプリケーションが信頼できることを確認します。 アプリケーション制御ポリシーでは、署名されていないスクリプトと MSI をブロックしたり、Windows PowerShell を 制約付き言語モードで実行するように制限したりすることもできます。

• Gen2 Azure 仮想マシンの 信頼された起動 を有効にして、セキュア ブート、vTPM、仮想化ベースのセキュリティ (VBS) などの機能を有効にします。 Microsoft Defender for Cloud では、信頼された起動で構成されたセッション ホストを監視できます。

• Windows LAPS を使用してローカル管理者パスワードをランダム化し、パス ザ ハッシュ攻撃と横トラバーサル攻撃から保護します。

• セッション ホストが Azure Monitor または Event Hubs 経由のパートナー監視ソリューションによって監視されていることを確認します。

• セッション ホストのパッチ管理戦略を確立します。 Microsoft Endpoint Configuration Manager を使用すると、Azure Virtual Desktop セッション ホストが更新プログラムを自動的に受信できます。 少なくとも 30 日に 1 回は基本イメージにパッチを適用する必要があります。 Azure Image Builder (AIB) を使用して、Azure Virtual Desktop ベース イメージ用の独自のイメージング パイプラインを確立することを検討してください。

Azure Virtual Desktop セッション ホストのセキュリティに関するベスト プラクティスの詳細については、「 セッション ホストのセキュリティのベスト プラクティス」を参照してください。

Azure VM のセキュリティに関するベスト プラクティスの詳細な一覧については、「Azure の仮想マシンのセキュリティに関する推奨事項」を参照してください。

データ保護

• Microsoft Azure は、保存データを暗号化して、 基になるストレージへのアクセスなど、"帯域外" 攻撃から保護します。 この暗号化は、攻撃者がデータを簡単に読み取ったり変更したりできないようにするのに役立ちます。 保存データに対して 2 つの層の暗号化を有効にする Microsoft のアプローチには、次のものが含まれます。

  • カスタマー マネージド キーを使用したディスク暗号化。 ユーザーは、ディスク暗号化用に独自のキーを提供します。 Key Vault に独自のキーを取り込む (BYOK – Bring Your Own Key と呼ばれる) か、Azure Key Vault で新しいキーを生成して目的のリソース (セッション ホスト ディスクを含む) を暗号化できます。
  • プラットフォームマネージド キーを使用したインフラストラクチャ暗号化。 既定では、ディスクはプラットフォームで管理される暗号化キーを使用して保存時に自動的に暗号化されます。
  • VM ホストでの暗号化 (VM が割り当てられている Azure サーバー)。 各仮想マシンの一時ディスクと OS/データ ディスク キャッシュ データは、VM ホストに格納されます。 VM ホストでの暗号化が有効になっている場合、そのデータは保存時に暗号化され、ストレージ サービスに暗号化されて永続化されます。

• Microsoft Purview Information Protection やサードパーティ ソリューションなどの情報保護ソリューションを展開します。これにより、組織のテクノロジ システムによって機密情報が安全に保存、処理、送信されます。

• Microsoft 365 Apps for enterprise のセキュリティ ポリシー アドバイザーを使用して、Office 展開のセキュリティを強化します。 このツールは、セキュリティを強化するために展開に適用できるポリシーを特定し、セキュリティと生産性への影響に基づいてポリシーを推奨します。

• オンプレミスの Active Directory Domain Services (AD DS) と Microsoft Entra Domain Services を使用して、FSLogix ユーザー プロファイルに使用される Azure Files の ID ベースの認証を構成します。 承認されたユーザーが Azure Files にアクセスできるように NTFS アクセス許可 を構成します。

コスト管理

• Azure タグを使用して、Azure Virtual Desktop リソースを作成、管理、デプロイするためのコストを整理します。 Azure Virtual Desktop の関連するコンピューティング コストを特定するには、すべてのホスト プールと仮想マシンにタグを付けます。 Azure Files または Azure NetApp Files リソースにタグを付けて、FSLogix ユーザー プロファイル コンテナー、カスタム OS イメージ、MSIX アプリアタッチ (使用されている場合) に関連付けられているストレージ コストを追跡します。

• すべての Azure Virtual Desktop リソースに対して設定する 推奨される最小タグ を定義します。 デプロイ中またはプロビジョニング後に Azure タグを設定できます。 Azure Policy の組み込み定義を使用して、タグ付け規則を適用することを検討してください。

• Microsoft Cost Management で予算を設定 して、Azure の使用コストを事前に管理します。 作成した予算のしきい値を超えると、通知がトリガーされます。

• Azure Virtual Desktop ランディング ゾーンに対する Azure の使用状況と支出を監視するための Cost Management アラートを作成します。

• エンド ユーザーが必要なときにのみ VM をオンにできるようにすることで、コストを節約するために、接続時に VM を 起動する機能 を構成します。

• Azure Automation または自動スケール機能を使用してプールされたセッション ホストのスケーリング ソリューションをデプロイする (プレビュー)

リソースの整合性

• Intune for Azure Virtual Desktop 個人用セッション ホストを使用して 、既存の構成を適用するか、新しい構成を作成し、コンプライアンス ポリシーと条件付きアクセスを使用して VM をセキュリティで保護します。 Intune の管理は、同じ仮想マシンの Azure Virtual Desktop 管理に依存したり、干渉したりすることはありません。

• Intune を使用したマルチセッション セッション ホストの管理 では、共有 Windows 10 または Windows 11 クライアント デバイスを管理できるのと同様に、Intune 管理センターで Windows 10 または Windows 11 Enterprise マルチセッション リモート デスクトップを管理できます。 このような仮想マシン (VM) を管理する場合は、デバイスを対象とするデバイス ベースの構成と、ユーザーを対象とするユーザーベースの構成の両方を使用できます。

• Azure Policy マシン構成を使用して、セッション ホストのオペレーティング システムのセキュリティ強化を監査および構成します。 Windows オペレーティング システムをセキュリティで保護するための開始点として、Windows セキュリティ ベースライン を使用します。

• Azure Policy の組み込み定義を使用して 、ワークスペース、アプリケーション グループ、ホスト プールなどの Azure Virtual Desktop リソースの診断設定を構成します。

環境内の セキュリティの開始点として、Azure Virtual Desktop のセキュリティのベスト プラクティス を確認します。

コンプライアンス

ほぼすべての組織は、さまざまな政府または業界の規制ポリシーに準拠する必要があります。 コンプライアンス チームでこのようなポリシーを確認し、特定の Azure Virtual Desktop ランディング ゾーンに対して適切なコントロールを実装します。 たとえば、組織がフレームワークに従っている場合は、Payment Card Industry Data Security Standard (PCI DSS) や 1996 年の医療保険の移植性とアカウンタビリティに関する法律 (HIPAA) などの特定のポリシーの制御を検討する必要があります。

• 必要に応じて、Microsoft Defender for Cloud を使用して、Azure Virtual Desktop ランディング ゾーンに追加のコンプライアンス標準を適用します。 Microsoft Defender for Cloud は、規制コンプライアンス ダッシュボードを使用して、規制コンプライアンス要件を満たすためのプロセスを合理化するのに役立ちます。 組み込みまたはカスタマイズされたコンプライアンス標準をダッシュボードに追加できます。 追加できる既に組み込まれている規制基準は次のとおりです。

  • PCI-DSS v3.2.1:2018
  • SOC TSP
  • NIST SP 800-53 R4
  • NIST SP 800 171 R2
  • UK OFFICIAL および UK NHS
  • カナダ連邦 PBMM
  • Azure CIS 1.1.0
  • HIPAA/HITRUST
  • SWIFT CSP CSCF v2020
  • ISO 27001:2013
  • ニュージーランドISM制限付き
  • CMMC レベル 3
  • Azure CIS 1.3.0
  • NIST SP 800-53 R5
  • FedRAMP H
  • FedRAMP M

• 組織がデータ所在地の要件に拘束されている場合は、Azure Virtual Desktop リソース (ワークスペース、アプリケーション グループ、ホスト プール) のデプロイを次の地域に制限することを検討してください。

  • アメリカ合衆国
  • ヨーロッパ
  • イギリス
  • カナダ

  これらの地域にデプロイを制限すると、セッション ホストを世界中にデプロイしてユーザー ベースに対応できるため、Azure Virtual Desktop メタデータが Azure Virtual Desktop リソース地域のリージョンに確実に格納されるようにすることができます。

• グループ ポリシーとデバイス管理ツール (Intune や Microsoft Endpoint Configuration Manager など) を使用して、セッション ホストのセキュリティとコンプライアンスの徹底を維持します。

• Azure Virtual Desktop ランディング ゾーンの全体的なコンプライアンスを確保するために、Microsoft Defender for Cloud で アラート と 自動応答 を構成します。

• Microsoft セキュリティ スコアを確認して、次の製品全体の組織全体のセキュリティ体制を測定します。

  • Microsoft 365 (Exchange Online を含む)
  • マイクロソフト エントラ ID
  • Microsoft Defender for Endpoint（エンドポイント用マイクロソフトディフェンダー）
  • Microsoft Defender for Identity
  • クラウドアプリ用ディフェンダー
  • Microsoft Teams

• Microsoft Defender for Cloud Secure Score を確認して、Azure Virtual Landing Zones の全体的なセキュリティ コンプライアンスを向上させます。

推奨されるセキュリティのベスト プラクティスとベースライン

• Azure Virtual Desktop の推奨されるセキュリティ プラクティス
• Azure セキュリティ ベンチマークに基づく Azure Virtual Desktop のセキュリティ ベースライン
• Azure Virtual Desktop デプロイにゼロ トラスト原則を適用する

次のステップ

Azure Virtual Desktop エンタープライズ規模のシナリオのプラットフォーム自動化と DevOps について説明します。

プラットフォームの自動化と DevOps