セキュリティとガバナンス

この記事では、Microsoft の クラウド導入フレームワーク に合わせた Azure Virtual Desktop ランディング ゾーンの セキュリティ、ガバナンス、およびコンプライアンス に関する設計上の主な考慮事項と推奨事項について説明します。

次のセクションを確認して、Azure Virtual Desktop ランディング ゾーンに推奨されるセキュリティ制御とガバナンスを確認してください。

ID

• Microsoft Entra 多要素認証またはパートナーの多要素認証ツールを使い、Microsoft Entra 条件付きアクセス ポリシーを確立することで、Azure Virtual Desktop へのユーザー アクセスをセキュリティで保護します。 ユーザーの場所、デバイス、サインイン動作を考慮し、必要に応じてアクセス パターンに基づいて 追加の制御 を追加します。 Azure Virtual Desktop で Azure 多要素認証を有効にする方法の詳細については、「Azure Virtual Desktop で Azure 多要素認証を有効にする」を参照してください。

• 管理ロール、運用ロール、エンジニアリング ロールを Azure RBAC ロール に定義することで、必要 最小限の権限 を割り当てます。 Azure Virtual Desktop ランディング ゾーン内の高い権限ロールへのアクセスを制限するには、Azure Privileged Identity Management (PIM) との統合を検討してください。 特定の管理領域ごとにどのチームが担当するかについての知識を維持すると、Azure ロールベースのアクセス制御 (RBAC) ロールと構成を決定するのに役立ちます。

• Azure Virtual Desktop の自動化とサービスには、Azure マネージド ID または 証明書資格情報があるサービス プリンシパル を使用します。 Automation アカウントに最小限の権限を割り当て、スコープを Azure Virtual Desktop ランディング ゾーンに制限します。 Azure Key Vault を Azure マネージド ID と組み合わせて使用すると、ランタイム環境 (Azure 関数など) でキー コンテナーから Automation の資格情報を取得できるようになります。

• Microsoft Entra ID と Azure Virtual Desktop ランディング ゾーンのユーザーと管理者のアクティビティ ログを収集していることを確認します。 セキュリティ情報およびイベント管理 (SIEM) ツールを使用して、これらのログを監視します。 次のようなさまざまなソースからログを収集できます。

  • Azure アクティビティ ログ
  • Microsoft Entra アクティビティ ログ
  • Microsoft Entra ID
  • セッション ホスト
  • Key Vault ログ

• Azure Virtual Desktop アプリケーション グループへのアクセスを割り当てるときは、個々のユーザーではなく、Microsoft Entra グループを使います。 組織内のビジネス機能にマップされる既存のセキュリティ グループを使用することを検討してください。これにより、既存のユーザー プロビジョニングとプロビジョニング解除プロセスを再利用できます。

ネットワーク

• Azure Virtual Desktop ランディング ゾーン用の専用仮想ネットワークをプロビジョニングまたは再利用します。 セッション ホストのスケールに合わせて IP アドレス空間を計画します。 ホスト プールあたりのセッション ホストの最小数と最大数に基づいて、ベースライン サブネット サイズを確立します。 ビジネス ユニットの要件をホスト プールにマップします。

• ネットワーク セキュリティ グループ (NSG) および/または Azure Firewall (またはサード パーティ製のファイアウォール アプライアンス) を使用して、マイクロセグメント化を確立します。 Azure Virtual Desktop リソース用に構成されたネットワーク セキュリティ グループまたは Azure Firewall でのネットワーク アクセス制御を定義するには、Azure Virtual Network サービス タグとアプリケーション サービス グループ (ASG) を使用します。 必要な URL へのセッション ホストの送信アクセスが、プロキシ (セッション ホスト内で使用されている場合) と Azure Firewall (またはサードパーティ製のファイアウォール アプライアンス) によってバイパスされていることを確認します。

• アプリケーションとエンタープライズセグメント化戦略に基づいて、大規模なセキュリティ グループ規則または Azure Firewall (またはサードパーティ製のファイアウォール アプライアンス) を使用し、セッション ホストと内部リソース間のトラフィックを制限します。

• Azure Firewall (またはサードパーティ製のファイアウォール アプライアンス) に対して Azure DDoS 標準保護 を有効にし、Azure Virtual Desktop ランディング ゾーンをセキュリティで保護します。

• セッション ホストからの送信インターネット アクセスにプロキシを使用する場合:

  • (クラウド プロキシ プロバイダーを使用している場合は) Azure Virtual Desktop セッションのホストおよびクライアントと同じ地域にプロキシ サーバーを構成します。
  • TLS 検査を使用しないでください。 Azure Virtual Desktop では、トラフィックは既定で 転送中に暗号化 されます 。
  • ユーザー認証を必要とするプロキシ構成は避けてください。 セッション ホスト上の Azure Virtual Desktop コンポーネントは、オペレーティング システムのコンテキストで実行されるので、認証を必要とするプロキシ サーバーはサポートされません。 セッション ホストでホスト レベル プロキシを構成するには、システム全体のプロキシを有効にする必要があります。

• エンド ユーザーが Azure Virtual Desktop クライアント URL へのアクセス権を持っていることを確認します。 ユーザーのデバイスでプロキシ エージェント/構成が使用されている場合は、必ず Azure Virtual Desktop クライアント URL もバイパスしてください。

• セッション ホストの管理とトラブルシューティングには、Just-In-Time アクセス を使用します。 セッション ホストにダイレクト RDP アクセスを許可しないでください。 AVD セッション ホストは、リバース接続トランスポートを使用してリモート セッションを確立します。

• Microsoft Defender for Cloud の アダプティブ ネットワークのセキュリティ強化機能 を使用して、外部ネットワーク トラフィック ルールへの参照によってポートとソース IP を制限するネットワーク セキュリティ グループの構成を見つけます。

• Azure Monitor またはパートナー監視ソリューションを使用して、Azure Firewall (またはサード パーティ製のファイアウォール アプライアンス) ログを収集します。 また、Azure Sentinel または同様のサービスを使用して、SIEM によってログを監視する必要があります。

• FSLogix プロファイル コンテナー に使用される Azure ファイルのプライベート エンドポイントのみを使用します。

• リバース接続トランスポートを補完するように RDP Shortpath を構成します。

セッション ホスト

• Azure Virtual Desktop セッション ホストの Active Directory に専用の組織単位 (OU) を作成します。 セッション ホストに専用のグループ ポリシーを適用して、次のようなコントロールを管理します。

  • キャプチャ保護を有効化 して、機密性の高い画面情報がクライアント エンドポイントでキャプチャされないようにします。
  • 非アクティブ/切断の最大時間ポリシー と 画面ロック を設定します。
  • Windows エクスプローラーで ローカル ドライブとリモート ドライブのマッピングを非表示にします。
  • 必要に応じて、 FSLogix プロファイル コンテナー と FSLogix Cloud Cache の構成パラメーター。

• セッション ホストの デバイス リダイレクトを制御します。 一般的に無効にするデバイスには、ローカル ハード ドライブ アクセスと USB またはポートの制限が含まれます。 カメラのリダイレクトとリモート印刷を制限すると、企業データの保護に役立ちます。 クリップボードのリダイレクトを無効にすると、リモート コンテンツがエンドポイントにコピーされるのを防ぐことができます。

• セッション ホストで Microsoft Defender for Endpoint などの次世代ウイルス対策 Endpoint Protection を有効にします。 パートナーのエンドポイント ソリューションを使用する場合は、Microsoft Defender for Cloud がその状態を 確認できる ことを確かめます。 また、ウイルス対策の除外 FSLogix プロファイル コンテナー も含める必要があります。Microsoft Defender for Endpoint は、次のような複数の Microsoft Defender ソリューションと直接統合されます。

  • Microsoft Defender for Cloud
  • Microsoft Sentinel
  • Intune

• 脅威と脆弱性の管理評価を有効にする。 Microsoft Defender for Endpoint の 脅威と脆弱性の管理ソリューションを Microsoft Defender for Cloud またはサードパーティの脆弱性の管理ソリューション) と統合します。 Microsoft Defender for Cloud は Qualys 脆弱性評価ソリューション とネイティブに統合されます。

• Windows Defender アプリケーション制御 (WDAC) または AppLocker によるアプリケーション制御を使用して、実行前に信頼できるアプリケーションであることを確認します。 アプリケーション コントロール ポリシーは、署名されていないスクリプトと MSI もブロックし、Windows PowerShell を 制約付き言語モード で実行するように制限できます。

• Gen2 Azure 仮想マシンの トラステッド起動 を有効にして、セキュア ブート、vTPM、仮想化ベースのセキュリティ (VBS) などの機能を有効にします。 Microsoft Defender for Cloud は、トラステッド起動で構成されたセッション ホストを監視できます。

• Windows LAPS を使用してローカル管理者パスワードを ランダム化し、 パス ザ ハッシュ攻撃と横トラバーサル攻撃から保護します。

• セッション ホストが Azure Monitor または Event Hubs 経由のパートナー監視ソリューションによって監視されていることを確認します。

• セッション ホストのパッチ管理戦略を確立します。 Microsoft Endpoint Configuration Manager を使用すると、Azure Virtual Desktop セッション ホストは更新プログラムを自動的に受信できます。 少なくとも 30 日に 1 回は、基本イメージにパッチを適用する必要があります。 Azure Image Builder (AIB) を使用して、Azure Virtual Desktop 基本イメージ用のイメージング パイプライン を独自に確立することを検討してください。

Azure Virtual Desktop セッション ホストのセキュリティに関するベスト プラクティスの詳細については、「セッション ホストのセキュリティに関するベスト プラクティス」を参照してください。

Azure VM セキュリティに関するベスト プラクティスの詳細な一覧については、「Azure 仮想マシンのセキュリティに関する推奨事項」を参照してください。

データ保護

• Microsoft Azureは、保存データを暗号化して、基になるストレージへのアクセスなど、「帯域外」の攻撃から保護します。 この暗号化により、攻撃者がデータを簡単に読み取ったり変更したりすることが確実にできなくなります。 保存データに対して 2 つの暗号化レイヤーを有効にするための Microsoft のアプローチは次のとおりです。

  • カスタマー マネージド キーを使用したディスク暗号化 ユーザーは、ディスク暗号化のために独自のキーを提供します。 ユーザーは、Key Vault に独自のキーを持ち込んだり (BYOK – Bring Your Own Key と呼ばれる手法)、Azure Key Vault で新しいキーを生成して、目的のリソース (セッション ホスト ディスクを含む) を暗号化したりできます。
  • プラットフォーム マネージド キーを使用したインフラストラクチャの暗号化。 既定では、プラットフォームが管理する暗号化キーを使用して、保存時にディスクが自動的に暗号化されます。
  • VM ホストでの暗号化 (VM が割り当てられている Azure サーバー)。 各仮想マシンの一時ディスクと OS/データ ディスク キャッシュ データは、VM ホストに格納されます。 VM ホストでの暗号化が有効になっている場合、そのデータは保存時に暗号化され、暗号化された状態で Storage サービスに送られ、永続化されます。

• Microsoft Purview Information Protection またはサードパーティソリューションなどの情報保護ソリューションをデプロイします。これにより、組織のテクノロジ システムによって機密情報が安全に保存、処理、送信されます。

• Office のデプロイでのセキュリティを向上させるには、Microsoft 365 Apps for enterprise 向けのセキュリティ ポリシー アドバイザー を使用してください。 このツールでは、セキュリティを強化するためにデプロイに適用できるポリシーを特定し、セキュリティと生産性への影響に基づいてポリシーを推奨します。

• オンプレミス Active Directory Domain Services (AD DS) と Microsoft Entra Domain Services を介して、FSLogix のユーザー プロファイルに使う Azure Files の ID ベース認証を構成します。 承認されたユーザーが Azure Files にアクセスできるように NTFS アクセス許可 を構成します。

コスト管理

• Azure タグを使用 して、Azure Virtual Desktop リソースを作成、管理、デプロイするためのコストを整理します。 Azure Virtual Desktop に関連するコンピューティング コストを特定するには、すべてのホスト プールと仮想マシンにタグを付けます。 FSLogix ユーザー プロファイル コンテナー、カスタム OS イメージ、MSIX アプリアタッチ (使用されている場合) に関連付けられているストレージ コストを追跡するためには、Azure Files または Azure NetApp Files リソースにタグを付けます。

• すべての Azure Virtual Desktop リソースに対して設定する 最小限の推奨タグ を定義します。 デプロイ中またはプロビジョニング後に Azure タグを設定できます。 Azure Policy 組み込み定義 を使用して、タグ付け規則を適用することを検討してください。

• Azure Cost Management で予算を設定 して、Azure の使用コストを事前に管理します。 作成した予算のしきい値を超えた場合は、通知がトリガーされます。

• Azure Cost Management アラートを作成 して、Azure Virtual Desktop ランディング ゾーンに対する Azure の使用状況と支出を監視します。

• [接続時に VM を起動] の機能 を構成すると、エンド ユーザーは必要時にのみ VM をオンにできるため、コストの節約になります。

• Azure Automation または 自動スケール機能 (プレビュー) を使用して、プールされたセッション ホストのスケーリング ソリューションをデプロイする

リソースの整合性

• Azure Virtual Desktop 個人用セッション ホストの Intune を使用 して、既存の構成を適用するか、新しい構成を作成し、コンプライアンス ポリシーと条件付きアクセスを使って VM をセキュリティで保護します。 Intune の管理は、同じ仮想マシンの Azure Virtual Desktop 管理に依存したり、干渉したりすることはありません。

• 共有された Windows 10 またはWindows 11 クライアント デバイスを管理できるのと同様に、Intune でのマルチセッション セッション ホスト管理を使用すると、Intune 管理センターで Windows 10 または Windows 11 Enterprise マルチセッション リモート デスクトップを管理できます。 このような仮想マシン (VM) を管理する場合は、デバイスを対象とするデバイスベースの構成とユーザーを対象とするユーザーベースの構成のどちらも使用できます。

• Azure Policy のゲスト構成を使って、セッション ホストのオペレーティング システムの強化を監査し、構成します。 Windows オペレーティング システムをセキュリティで保護するための出発点として、Windows セキュリティ ベースライン を使用します。

• Azure Policy 組み込み定義を使用 して、ワークスペース、アプリケーション グループ、ホスト プールなどの Azure Virtual Desktop リソースの診断設定を構成します。

環境内のセキュリティの出発点として、「Azure Virtual Desktop のセキュリティに関するベスト プラクティス 」を確認します。

コンプライアンス

ほぼすべての組織は、さまざまな政府または業界の規制ポリシーに準拠する必要があります。 コンプライアンス チームと一緒にこれらのポリシーを確認し、Azure Virtual Desktop のランディング ゾーンを適切に制御することが重要です。 たとえば、組織がフレームワークに従っている場合は、ペイメント カード業界データ セキュリティ標準 (PCI DSS) や 1996 年の医療保険の携行性と責任に関する法律 (HIPAA) など、特定のポリシーの制御を検討する必要があります。

• Microsoft Defender for Cloud を使用 し、必要に応じて Azure Virtual Desktop ランディング ゾーンに追加のコンプライアンス標準を適用します。 Microsoft Defender for Cloud を使用すると、規制コンプライアンス ダッシュボード を介して、規制のコンプライアンス要件を満たすためのプロセスを効率化できます。 組み込みまたはカスタマイズされたコンプライアンス標準をダッシュボードに追加できます。 以下の規制標準は既に組み込まれ、追加できます。

  • PCI-DSS v3.2.1:2018
  • SOC TSP
  • NIST SP 800-53 R4
  • NIST SP 800 171 R2
  • UK OFFICIAL および UK NHS
  • カナダ連邦の PBMM
  • Azure CIS 1.1.0
  • HIPAA/HITRUST
  • SWIFT CSP CSCF v2020
  • ISO 27001:2013
  • New Zealand ISM Restricted
  • CMMC レベル 3
  • Azure CIS 1.3.0
  • NIST SP 800-53 R5
  • FedRAMP H
  • FedRAMP M

• 組織がデータ所在地の要件に制約されている場合は、Azure Virtual Desktop リソース (ワークスペース、アプリケーション グループ、ホスト プール) のデプロイを次の地域に制限することを検討してください。

  • United States
  • ヨーロッパ
  • イギリス
  • カナダ

  これらの地域へのデプロイを制限すると、ユーザー ベースに対応するためにセッション ホストを世界中にデプロイできるので、Azure Virtual Desktop メタデータを確実に Azure Virtual Desktop リソース地域のリージョンに格納することができます。

• グループ ポリシーおよび Intune や Microsoft Endpoint Configuration Manager などのデバイス管理ツールを使用して、セッション ホストのセキュリティとコンプライアンスを徹底して維持します。

• Azure Virtual Desktop ランディング ゾーンの全体的なコンプライアンスを確保するために、Microsoft Defender for Cloud で アラート と 自動応答 を構成します。

• Microsoft Secure Score を確認して、次の製品全体における組織全体のセキュリティ態勢を測定します。

  • Microsoft 365 (Exchange Online を含む)
  • Microsoft Entra ID
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Defender for Cloud Apps
  • Microsoft Teams

• Microsoft Defender for Cloud セキュリティ スコア を確認して、Azure 仮想ランディング ゾーンの全体的なセキュリティ コンプライアンスを向上させます。

推奨されるセキュリティのベスト プラクティスとベースライン

• 推奨される Azure Virtual Desktop のセキュリティ プラクティス
• Azure セキュリティ ベンチマークに基づく Azure Virtual Desktop のセキュリティ ベースライン
• Azure Virtual Desktop のデプロイにゼロ トラスト原則を適用する

次のステップ

Azure Virtual Desktop のエンタープライズ規模のシナリオでのプラットフォーム自動化と DevOps について確認します。

プラットフォームの自動化と DevOps