Azure Virtual Desktop の ID およびアクセスの管理に関する考慮事項
Azure Virtual Desktop は、仮想デスクトップ インフラストラクチャ用の Microsoft コントロール プレーンを提供するマネージド サービスです。 Azure Virtual Desktop の ID およびアクセスの管理では、この記事で説明されている特定の条件を設定して、Azure のロールベースのアクセス制御 (RBAC) を使用します。
RBAC の設計
RBAC では、Azure Virtual Desktop のデプロイを管理するさまざまなチームと個人の職務の分離をサポートしています。 ランディング ゾーンの設計の一部として、誰がさまざまな役割を担うかを決定する必要があります。 次に、ロールに対するユーザーの追加と削除を簡略化するために、ロールごとにセキュリティ グループを作成する必要があります。
Azure Virtual Desktop には、各機能領域向けに設計されたカスタムの Azure ロールが用意されています。 これらのロールの構成方法については、「Azure Virtual Desktop の組み込みロール」を参照してください。
Azure の組み込みロールは、Azure デプロイ用のクラウド導入フレームワークの一部として作成および定義できます。 Azure Virtual Desktop に固有の RBAC ロールは、他の Azure RBAC ロールと組み合わせる必要がある場合があります。これにより、ユーザーが Azure Virtual Desktop およびその他の Azure サービス (仮想マシンやネットワークなど) のために必要なアクセス許可の完全なセットを提供できます。
Azure Virtual Desktop の設計に関する考慮事項
- セッション ホストから仮想デスクトップとリモート アプリにアクセスするには、ユーザーが認証できる必要があります。 Microsoft Entra ID は、この機能を実現する Microsoft の一元化されたクラウド ID サービスです。 Azure Virtual Desktop のユーザー認証には、常に Microsoft Entra ID が使用されます。 セッション ホストは、同じ Microsoft Entra テナントに参加することも、Active Directory Domain Services (AD DS) または Microsoft Entra Domain Services を使って Active Directory ドメインに参加することもでき、柔軟な構成オプションを選択できます。
Note
Azure Virtual Desktop では、B2B および Microsoft アカウントはサポートされていません。
- ドメイン参加に使用するアカウントには、多要素認証やその他の対話型プロンプトを使用することはできず、その他の要件もあります。 詳しくは、「仮想マシンの詳細」をご覧ください。
- Azure Virtual Desktop には、ドメイン サービスのホスティング戦略が必要です。 AD DS または Microsoft Entra Domain Services のいずれかを選びます。
- Microsoft Entra Domain Services はサポートされているオプションですが、制限事項があります。
- パスワード ハッシュ同期を有効にする必要があります。
- Azure Virtual Desktop VM のハイブリッド結合を使用して、Microsoft 365 サービスの Microsoft Entra シームレス シングル サインオンを有効にすることはできません。
詳細については、Microsoft Entra Domain Services についてよく寄せられる質問 (FAQ) に関するページを参照してください。
- Microsoft Entra Domain Services ドメインに参加する場合、アカウントは Microsoft Entra DC 管理者グループに属している必要があり、アカウント パスワードは Microsoft Entra Domain Services で機能する必要があります。 詳しくは、「仮想マシンの詳細」をご覧ください。
- 組織単位を指定する場合は、識別名を引用符で囲まずに使用します。
- 最小限の特権の原則に従って、承認されたタスクに必要な最小限のアクセス許可を割り当てます。
- Azure Virtual Desktop をサブスクライブするために使用するユーザー プリンシパル名は、セッション ホスト仮想マシンが参加している Active Directory ドメインに存在する必要があります。 ユーザー要件の詳細については、Azure Virtual Desktop の要件に関するセクションを参照してください。
- スマート カードを使用する場合は、Kerberos 認証用の Active Directory ドメイン コントローラーを使用した直接接続 (視線) が必要です。 詳細については、「Kerberos キー配布センター プロキシを構成する」を参照してください。
- Windows Hello for Business を使用するには、ハイブリッド証明書信頼モデルが Azure Virtual Desktop と互換性がある必要があります。 詳細については、Microsoft Entra ハイブリッド参加済み証明書信頼のデプロイに関するページを参照してください。
- Windows Hello for Business またはスマートカード認証を使用する場合、これらの認証方法では Kerberos を使用してサインインするため、開始側のクライアントはドメイン コントローラーと通信できる必要があります。 詳細については、「サポートされる認証方法」を参照してください。
- シングル サインオンによりユーザー エクスペリエンスを向上させることができますが、追加の構成が必要であり、Active Directory フェデレーションサービス (AD FS) を使用する場合にのみサポートされます。 詳細については、「Azure Virtual Desktop 用に AD FS シングル サインオンを構成する」を参照してください。
サポートされる ID シナリオ
次の表は、Azure Virtual Desktop で現在サポートされている ID シナリオをまとめたものです。
| ID のシナリオ | セッション ホスト | ユーザー アカウント |
|---|---|---|
| Microsoft Entra ID + AD DS | AD DS に参加 | Microsoft Entra ID と AD DS、同期される |
| Microsoft Entra ID + AD DS | Microsoft Entra ID に参加済み | Microsoft Entra ID と AD DS、同期される |
| Microsoft Entra ID + Microsoft Entra Domain Services | Microsoft Entra Domain Services に参加済み | Microsoft Entra ID と Microsoft Entra Domain Services、同期される |
| Microsoft Entra ID + Microsoft Entra Domain Services + AD DS | Microsoft Entra Domain Services に参加済み | Microsoft Entra ID と AD DS、同期される |
| Microsoft Entra ID + Microsoft Entra Domain Services | Microsoft Entra ID に参加済み | Microsoft Entra ID と Microsoft Entra Domain Services、同期される |
| Microsoft Entra のみ | Microsoft Entra ID に参加済み | Microsoft Entra ID |
設計の推奨事項
- Microsoft Entra Connect を使って、すべての ID を 1 つの Microsoft Entra テナントに同期します。 詳細については、「Microsoft Sentinel Connect とは?」を参照してください。
- Azure Virtual Desktop セッション ホストが Microsoft Entra Domain Services または AD DS と通信できることを確認します。
- Kerberos キー配布センター プロキシ ソリューションを使用して、スマートカード認証トラフィックをプロキシし、リモート サインインを有効にします。 詳細については、「Kerberos キー配布センター プロキシを構成する」を参照してください。
- セッション ホスト仮想マシンを各ホスト プールの Active Directory 組織単位に分離し、ポリシーと孤立オブジェクトをより簡単に管理できるようにします。 詳しくは、「仮想マシンの詳細」をご覧ください。
- Local Administrator Password Solution (LAPS) などのソリューションを使用して、Azure Virtual Desktop セッション ホストのローカル管理者パスワードを頻繁にローテーションします。 詳細については、「セキュリティ評価: Microsoft LAPS 使用状況」を参照してください。
- ユーザーについて、デスクトップ仮想化ユーザーの組み込みロールをセキュリティ グループに割り当てて、Azure Virtual Desktop アプリケーション グループへのアクセスを許可します。 詳細については、「Azure Virtual Desktop における委任されたアクセス」を参照してください。
- Azure Virtual Desktop の条件付きアクセス ポリシーを作成します。 これらのポリシーでは、危険なサインインなどの条件に基づいて多要素認証を適用して、組織のセキュリティ態勢を強化することができます。 詳細については、Azure Virtual Desktop の Microsoft Entra 多要素認証を有効にする方法に関するページを参照してください。
- AD FS を構成して、企業ネットワーク上のユーザーに対してシングル サインオンを有効にします。
次のステップ
Azure Virtual Desktop のエンタープライズ規模シナリオのネットワーク トポロジと接続について説明します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示