Azure Virtual Desktop のセキュリティに関する推奨事項
Azure Virtual Desktop は、組織の安全を維持するための多くのセキュリティ機能を備えた、管理された仮想デスクトップ サービスです。 Azure Virtual Desktop のアーキテクチャは、ユーザーをデスクトップとアプリに接続するサービスを構成する、さまざまなコンポーネントで構成されています。
Azure Virtual Desktop には、受信ネットワーク ポートを開く必要がない Reverse Connect など、多くの高度なセキュリティ機能が組み込まれています。これにより、リモート デスクトップにどこからでもアクセスできるリスクが軽減されます。 このサービスは、多要素認証や条件付きアクセスなど、Azure の他の多くのセキュリティ機能からもメリットがあります。 この記事では、組織内のユーザーまたは外部ユーザーにデスクトップとアプリを提供するかどうかに関係なく、Azure Virtual Desktop のデプロイをセキュリティで保護するために管理者として実行できる手順について説明します。
セキュリティの共同責任
Azure Virtual Desktop よりも前は、リモート デスクトップ サービスのようなオンプレミスの仮想化ソリューションでは、ゲートウェイ、ブローカー、Web アクセスなどのロールへのアクセス権をユーザーに付与する必要がありました。 これらのロールは、完全に冗長化され、ピーク時の容量を処理できる必要がありました。 管理管理者は、これらの役割を Windows Server オペレーティング システムの一部としてインストールし、パブリック接続からアクセスできる特定のポートとメイン参加させる必要がありました。 デプロイをセキュリティで保護するために、管理者は常にインフラストラクチャ内のすべてのものがメイン維持され、最新の状態であることを確認する必要がありました。
ただし、ほとんどのクラウド サービスでは 、Microsoft と顧客またはパートナーの間でセキュリティ 責任のセットが共有されています。 Azure Virtual Desktop の場合、ほとんどのコンポーネントは Microsoft が管理しますが、セッション ホストと一部のサポート サービスとコンポーネントはカスタマー マネージドまたはパートナー管理です。 Azure Virtual Desktop の Microsoft が管理するコンポーネントの詳細については、Azure Virtual Desktop サービスのアーキテクチャと回復性に関するページを参照してください。
一部のコンポーネントは環境用に既にセキュリティ保護されていますが、組織または顧客のセキュリティ ニーズに合わせて他の領域を自分で構成する必要があります。 Azure Virtual Desktop デプロイのセキュリティを担当するコンポーネントを次に示します。
| コンポーネント | 責任 |
|---|---|
| ID | 顧客またはパートナー |
| ユーザー デバイス (モバイルおよび PC) | 顧客またはパートナー |
| アプリのセキュリティ | 顧客またはパートナー |
| セッション ホスト オペレーティング システム | 顧客またはパートナー |
| デプロイの構成 | 顧客またはパートナー |
| ネットワーク管理 | 顧客またはパートナー |
| 仮想化コントロール プレーン | Microsoft |
| 物理ホスト | Microsoft |
| 物理ネットワーク | Microsoft |
| 物理データセンター | Microsoft |
セキュリティ境界
セキュリティ境界では、セキュリティ ドメインのコードとデータを異なる信頼レベルで分離します。 たとえば、通常、カーネル モードとユーザー モードの間にはセキュリティ境界があります。 ほとんどの Microsoft のソフトウェアとサービスは、複数のセキュリティ境界に依存して、ネットワーク上のデバイス、仮想マシン (VM)、デバイス上のアプリケーションを分離します。 次の表に、Windows の各セキュリティ境界と、全体的なセキュリティに関して行われる内容を示します。
| セキュリティ境界 | 説明 |
|---|---|
| ネットワーク境界 | 承認されていないネットワーク エンドポイントは、顧客のデバイス上のコードやデータに対するアクセスや改ざんができません。 |
| カーネル境界 | 管理者以外のユーザー モード プロセスは、カーネル コードやデータに対するアクセスや改ざんができません。 Administrator-to-kernel はセキュリティ境界ではありません。 |
| プロセス境界 | 承認されていないユーザー モード プロセスは、別のプロセスのコードやデータに対するアクセスや改ざんができません。 |
| AppContainer サンドボックス境界 | AppContainer ベースのサンドボックス プロセスは、コンテナーの機能に基づいてサンドボックスの外部のコードやデータに対するアクセスや改ざんができません。 |
| ユーザー境界 | ユーザーは、承認されていない場合、別のユーザーのコードやデータに対するアクセスや改ざんができません。 |
| セッション境界 | ユーザー セッションは、承認されていない場合、別のユーザー セッションに対するアクセスや改ざんができません。 |
| Web ブラウザー境界 | 承認されていない Web サイトは、同一オリジン ポリシーに違反できません。また、Microsoft Edge Web ブラウザーのサンドボックスのネイティブ コードやデータに対するアクセスや改ざんができません。 |
| 仮想マシン境界 | 承認されていない Hyper-V ゲスト仮想マシンは、別のゲスト仮想マシンのコードやデータに対するアクセスや改ざんができません。これには、Hyper-V の分離コンテナーも含まれます。 |
| 仮想セキュア モード (VSM) 境界 | VSM の信頼されたプロセスまたはエンクレーブの外部で実行されているコードは、信頼されたプロセス内のデータやコードに対するアクセスや改ざんができません。 |
Azure Virtual Desktop のシナリオで推奨されるセキュリティ境界
また、ケースバイケースでセキュリティ境界に関する特定の選択を行う必要があります。 たとえば、組織内のユーザーがアプリをインストールするためにローカル管理者特権を必要とする場合は、共有セッション ホストではなく個人用デスクトップをユーザーに付与する必要があります。 これらのユーザーは、セッションまたは NTFS データのアクセス許可のセキュリティ境界を越えたり、マルチセッション VM をシャットダウンしたり、サービスを中断したりデータ損失を引き起こしたりする可能性があるため、ユーザーにローカル管理者特権を付与することはお勧めしません。
管理者特権を必要としないアプリを持つナレッジ ワーカーなど、同じ組織のユーザーは、Windows 11 Enterprise マルチセッションなどのマルチセッション セッション ホストに適しています。 複数のユーザーが 1 つの VM を共有でき、ユーザーあたりの VM のオーバーヘッド コストのみが発生するため、これらのセッション ホストによって組織のコストが削減されます。 FSLogix などのユーザー プロファイル管理製品を使用すると、サービスの中断に気付かずに、ホスト プール内の任意の VM にユーザーを割り当てることができます。 また、この機能を使用すると、オフピーク時間中に VM をシャットダウンするなどの操作を行うことにより、コストを最適化できます。
さまざまな組織のユーザーがデプロイに接続する必要がある場合は、Active Directory や Microsoft Entra ID のような ID サービス用に別個のテナントを用意することをお勧めします。 また、Azure Virtual Desktop や VM などの Azure リソースをホストするユーザーには、個別のサブスクリプションを用意することをお勧めします。
多くの場合、マルチセッションの使用は、コストを削減するために容認できる方法ですが、それが推奨されるかどうかは、共有マルチセッション インスタンスに同時にアクセスできるユーザー間の信頼レベルによって決まります。 通常、同じ組織に属するユーザーには、十分かつ合意された信頼関係があります。 たとえば、ユーザーが共同作業を行い、お互いの個人情報にアクセスできる部門やワークグループは、信頼レベルが高い組織です。
Windows では、セキュリティ境界とコントロールを使用して、ユーザー プロセスとデータがセッション間で分離されるようにしています。 ただし、Windows では、ユーザーが作業しているインスタンスへのアクセス権は引き続き提供されます。
マルチセッション展開は、組織内外のユーザーが他のユーザーの個人情報に不正にアクセスできないようにするセキュリティ境界を追加する、セキュリティの詳細な戦略の恩恵を受けます。 未承認のデータ アクセスは、未公開のセキュリティの脆弱性や、まだ修正プログラムが適用されていない既知の脆弱性など、システム管理者による構成プロセスのエラーが原因で発生します。
異なる企業や競合する企業で働くユーザーに、同じマルチセッション環境へのアクセス権を付与することはお勧めしません。 これらのシナリオには、ネットワーク、カーネル、プロセス、ユーザー、セッションなど、攻撃または悪用される可能性があるいくつかのセキュリティ境界があります。 1 つのセキュリティの脆弱性によって、無許可のデータと資格情報の窃盗、個人情報の漏洩、なりすまし、およびその他の問題が発生する可能性があります。 仮想化環境のプロバイダーには、複数の強力なセキュリティ境界と追加の安全性機能が可能な限り有効化された、適切に設計されたシステムを提供する責任があります。
これらの潜在的な脅威を減らすには、フォールトプルーフ構成、パッチ管理設計プロセス、および定期的なパッチ デプロイ スケジュールが必要です。 多層防御の原則に従い、環境を分離することをお勧めします。
次の表は、各シナリオの推奨事項をまとめたものです。
| 信頼レベルのシナリオ | 推奨される解決策 |
|---|---|
| 標準の特権を持つ 1 つの組織のユーザーである | Windows Enterprise マルチセッション OS を使用します。 |
| ユーザーに管理者特権が必要である | 個人用ホスト プールを使用し、各ユーザーに独自のセッション ホストを割り当てます。 |
| さまざまな組織のユーザーが接続する | Azure テナントと Azure サブスクリプションを分離する |
Azure のセキュリティに関するベスト プラクティス
Azure Virtual Desktop は、Azure のサービスです。 Azure Virtual Desktop のデプロイの安全性を最大限に高めるには、必ず周囲の Azure インフラストラクチャと管理プレーンもセキュリティで保護する必要があります。 インフラストラクチャをセキュリティで保護するには、より大規模な Azure エコシステムに Azure Virtual Desktop をどのように適合させるかを検討してください。 Azure エコシステムの詳細については、「Azure セキュリティのベスト プラクティスとパターン」を参照してください。
今日の脅威の状況では、セキュリティ アプローチを念頭に置いた設計が必要です。 理想的には、データとネットワークを侵害や攻撃から保護するために、コンピューター ネットワーク全体に階層化された一連のセキュリティ メカニズムとコントロールを構築することです。 この種のセキュリティ設計は、米国サイバーセキュリティおよびインフラストラクチャ セキュリティ機関 (CISA) が多層防御と呼ぶものです。
次のセクションには、Azure Virtual Desktop デプロイをセキュリティで保護するための推奨事項が含まれています。
Microsoft Defender for Cloud を有効にする
次の目的を達成するために、Microsoft Defender for Cloud の強化されたセキュリティ機能を有効にすることをお勧めします。
- 脆弱性を管理する。
- PCI Security Standards Council などの一般的なフレームワークへのコンプライアンスを評価します。
- 環境の全体的なセキュリティを強化する。
詳細については、強化されたセキュリティ機能の有効化に関するページを参照してください。
セキュア スコアを向上させる
セキュア スコアは、全体的なセキュリティを向上させるための推奨事項とベスト プラクティスに関する助言を提供します。 これらの推奨事項には、どれが最も重要かを選択するのに役立つように優先順位が付けられています。また、クイック修正のオプションを使用すると、潜在的な脆弱性に迅速に対処できます。 また、これらの推奨事項は時間の経過とともに更新されるため、環境のセキュリティを維持するための最良の方法について、常に最新の情報を得ることができます。 詳細については、Microsoft Defender for Cloud のセキュア スコア向上に関するページを参照してください。
多要素認証を要求する
Azure Virtual Desktop のすべてのユーザーと管理者に多要素認証を要求すると、デプロイ全体のセキュリティが向上します。 詳細については、「Azure Virtual Desktop の Microsoft Entra 多要素認証を有効にする」を参照してください。
条件付きアクセスを有効にする
条件付きアクセスを有効にすると、Azure Virtual Desktop 環境へのアクセス権をユーザーに付与する前にリスクを管理できます。 アクセス権を付与するユーザーを決定するときは、そのユーザーが何者か、どのようにサインインするか、どのデバイスが使用されているかについても検討することをお勧めします。
監査ログの収集
監査ログの収集を有効にすると、Azure Virtual Desktop に関連するユーザーと管理者のアクティビティを表示できます。 主要な監査ログの例を次に示します。
RemoteApp を使う
デプロイ モデルを選択するときは、リモートユーザーにデスクトップ全体へのアクセスを提供するか、または RemoteApp として公開されているアプリケーションのみを選択できます。 RemoteApp は、ユーザーが仮想デスクトップでアプリを操作するときにシームレスなエクスペリエンスを提供します。 RemoteApp は、アプリケーションで公開されているリモート マシンのサブセットのみをユーザーが操作できるようにすることで、リスクを軽減します。
Azure Monitor を使用して使用状況を監視する
Azure Monitor を使用して、Azure Virtual Desktop サービスの使用状況と可用性を監視します。 サービスに影響するイベントが発生したときにすぐに通知を受け取れるように、Azure Virtual Desktop サービス用のサービス正常性アラートを作成することを検討してください。
セッション ホストを暗号化する
未承認のアクセスから保存されたデータを保護するために、マネージド ディスク暗号化オプションを使用してセッション ホストを暗号化します。
セッション ホストのセキュリティに関するベスト プラクティス
セッション ホストは、Azure サブスクリプションと仮想ネットワーク内で実行される仮想マシンです。 Azure Virtual Desktop デプロイの全体的なセキュリティは、セッション ホストに配置するセキュリティ コントロールで決まります。 このセクションでは、セッション ホストのセキュリティを維持するためのベスト プラクティスについて説明します。
Endpoint Protection を有効にする
既知の悪意のあるソフトウェアからデプロイを保護するには、すべてのセッション ホストで Endpoint Protection を有効にすることをお勧めします。 Windows Defender ウイルス対策、またはサードパーティ製のプログラムを使用できます。 詳細については、VDI 環境への Windows Defender ウイルス対策の展開ガイドに関するページを参照してください。
FSLogix などのプロファイル ソリューションや、仮想ハード ディスク ファイルをマウントするその他のソリューションの場合は、これらのファイル拡張子を除外することをお勧めします。
エンドポイントの検出と応答製品をインストールする
エンドポイントの検出と応答 (EDR) 製品をインストールして、高度な検出と応答の機能を提供することをお勧めします。 Microsoft Defender for Cloud が有効になったサーバー オペレーティング システムでは、EDR 製品をインストールすると Microsoft Defender for Endpoint がデプロイされます。 クライアント オペレーティング システムの場合は、Microsoft Defender for Endpoint またはサードパーティ製の製品をこれらのエンドポイントにデプロイできます。
脅威と脆弱性の管理の評価を有効にする
オペレーティング システムとアプリケーションに存在するソフトウェアの脆弱性を特定することは、環境のセキュリティを維持するために不可欠です。 Microsoft Defender for Cloud は、Microsoft Defender for Endpoint の脅威と脆弱性の管理ソリューションによって、問題の特定に役立ちます。 Microsoft Defender for Cloud と Microsoft Defender for Endpoint を使用することをお勧めしていますが、必要であれば、サードパーティ製品を使用することもできます。
環境内のソフトウェアの脆弱性を修正する
脆弱性を特定したら、それを修正する必要があります。 これは、実行中のオペレーティング システム、その内部にデプロイされているアプリケーション、新しいマシンの作成元であるイメージを含む仮想環境にも適用されます。 ベンダーの修正プログラムに関する通知情報に従い、修正プログラムを適時に適用します。 新しくデプロイされたマシンのセキュリティを可能な限り確保するために、基本イメージに修正プログラムを毎月適用することをお勧めします。
最大非アクティブ時間と切断のポリシーを確立する
非アクティブなときにユーザーをサインアウトすると、リソースが保持され、承認されていないユーザーがアクセスするのを防止できます。 タイムアウトではユーザーの生産性とリソース使用量のバランスを取ることをお勧めします。 ステートレス アプリケーションを操作するユーザーの場合は、マシンをオフにしてリソースを保持する、より積極的なポリシーを検討してください。 シミュレーションや CAD のレンダリングなど、ユーザーがアイドル状態の場合に実行を継続する、実行時間の長いアプリケーションを切断すると、ユーザーの作業が中断され、場合によってはコンピューターの再起動が必要になることもあります。
アイドル セッションの画面ロックを設定する
アイドル時間中にマシンの画面をロックし、ロックを解除するためには認証を要求するように Azure Virtual Desktop を構成することによって、望ましくないシステム アクセスを防止することができます。
階層化された管理アクセスを確立する
仮想デスクトップへの管理者アクセスをユーザーに付与しないことをお勧めします。 ソフトウェア パッケージが必要な場合は、Microsoft Intune などの構成管理ユーティリティを使って使用できるようにすることをお勧めします。 マルチセッション環境では、ユーザーによるソフトウェアの直接インストールを許可しないことをお勧めします。
どのユーザーがどのリソースにアクセスする必要があるかを検討する
セッション ホストは、既存のデスクトップ デプロイの拡張と考えてください。 ネットワーク リソースへのアクセスは、ネットワークのセグメント化やフィルター処理などを使用して、環境内の他のデスクトップと同じように制御することをお勧めします。 既定では、セッション ホストはインターネット上のあらゆるリソースに接続できます。 Azure Firewall、ネットワーク仮想アプライアンス、またはプロキシーの使用など、トラフィックを制限できるいくつかの方法があります。 トラフィックを制限する必要がある場合は、Azure Virtual Desktop が正常に機能できるように、必ず適切な規則を追加してください。
Microsoft 365 アプリのセキュリティを管理する
セッション ホストをセキュリティで保護することに加え、その内部で実行されているアプリケーションをセキュリティで保護することも重要です。 Microsoft 365 アプリは、セッション ホストに展開される最も一般的なアプリケーションの一部です。 Microsoft 365 展開のセキュリティを向上させるには、Microsoft 365 Apps for enterprise のセキュリティ ポリシー アドバイザーを使用することをお勧めします。 このツールは、セキュリティを強化するために、デプロイに適用できるポリシーを識別します。 セキュリティ ポリシー アドバイザーは、セキュリティと生産性への影響に基づいたポリシーの推奨も行います。
ユーザー プロファイル セキュリティ
ユーザー プロファイルは機密情報を含む可能性があります。 ユーザー プロファイルへのアクセス権を持つユーザーとそのアクセス方法を制限する必要があります。特に、FSLogix プロファイル コンテナーを使用して S MB (メガバイト) 共有上の仮想ハード ディスク ファイルにユーザー プロファイルを格納する場合。 SMB 共有のプロバイダーのセキュリティに関する推奨事項に従う必要があります。 たとえば、Azure Files を使用してこれらの仮想ハード ディスク ファイルを格納している場合は、プライベート エンドポイントを使用して、Azure 仮想ネットワーク内でのみアクセスできるようにします。
セッション ホストに対するその他のセキュリティ ヒント
オペレーティング システムの機能を制限することで、セッション ホストのセキュリティを強化することができます。 実行できるいくつかの操作を次に示します。
リモート デスクトップ セッションで、ドライブ、プリンター、および USB デバイスをユーザーのローカル デバイスにリダイレクトすることによって、デバイスのリダイレクトを制御します。 セキュリティ要件を評価し、これらの機能を無効にする必要があるかどうかを確認することをお勧めします。
ローカルおよびリモート ドライブのマッピングを非表示にして、Windows エクスプローラーのアクセスを制限します。 これにより、ユーザーが、システム構成とユーザーに関する不要な情報を検出するのを防止できます。
環境内のセッション ホストへの直接 RDP アクセスは避けてください。 管理またはトラブルシューティングのために直接 RDP アクセスが必要な場合は、Just-In-Time アクセスを有効にして、セッション ホストでの潜在的な攻撃対象領域を制限します。
ユーザーがローカルおよびリモートのファイル システムにアクセスする場合は、制限付きアクセス許可を付与します。 ローカルおよびリモートのファイル システムが最小限の特権でアクセス制御リストを使用するようにすることで、アクセス許可を制限できます。 こうすると、ユーザーは必要なものにのみアクセスでき、重要なリソースを変更または削除することはできません。
不要なソフトウェアがセッション ホストで実行されないようにします。 セッション ホストのセキュリティを強化するために App Locker を有効にできます。これにより、許可したアプリのみをホストで実行できるようになります。
トラステッド起動
信頼できる起動は、ルートキット、ブート キット、カーネル レベルのマルウェアなどの攻撃ベクトルを使用して、スタックの最下位の脅威から保護することを目的とした強化されたセキュリティ機能を備えた Gen2 Azure VM です。 トラステッド起動の強化されたセキュリティ機能を以下に示します。これらはすべて、Azure Virtual Desktop でサポートされています。 トラステッド起動の詳細については、「Azure 仮想マシン用のトラステッド起動」を参照してください。
トラステッド起動を既定として有効にする
トラステッド起動により、高度で永続的な攻撃手法から保護されます。 この機能を使用すると、検証済みのブート ローダー、OS カーネル、ドライバーを使用して VM を安全にデプロイすることもできます。 また、トラステッド起動により、VM 内のキー、証明書、シークレットも保護されます。 トラステッド起動の詳細については、「Azure Virtual Machines のトラステッド起動」を参照してください。
Azure portal を使用してセッション ホストを追加すると、セキュリティの種類が自動的に [Trusted virtual machines] (信頼された仮想マシン) に変わります。 これにより、VM で Windows 11 の必須要件を確実に満たすことができます。 これらの要件の詳細については、「仮想マシンのサポート」を参照してください。
Azure 機密コンピューティング仮想マシン
Azure 機密コンピューティング仮想マシンの Azure Virtual Desktop サポートにより、ユーザーの仮想デスクトップがメモリ内で暗号化され、使用中に保護され、ハードウェアの信頼のルートによってサポートされます。 Azure Virtual Desktop 用の Azure 機密コンピューティング VM は、サポートされているオペレーティング システムと互換性があります。 コンフィデンシャル VM を Azure Virtual Desktop でデプロイすると、他の仮想マシン、ハイパーバイザー、ホスト OS からの分離を強化するハードウェアベースの分離を利用しているセッション ホスト上で Microsoft 365 とその他のアプリケーションにユーザーはアクセスできます。 これらの仮想デスクトップにパワーを与えるのは、Secure Encrypted Virtualization Secure Nested Paging (SEV-SNP) テクノロジを備えた最新の第 3 世代 (Gen 3) Advanced Micro Devices (AMD) EPYC™ プロセッサです。 メモリ暗号化キーは、ソフトウェアからは読み取れない、AMD CPU 内の専用の安全なプロセッサで生成され、保護されます。 詳細については、Azure 機密コンピューティングの概要に関するページを参照してください。
次のオペレーティング システムは、Azure Virtual Desktop 上の機密 VM を使用したセッション ホストとして使用するためにサポートされています。
- Windows 11 Enterprise、バージョン 22H2
- Windows 11 Enterprise マルチセッション、バージョン 22H2
- Windows Server 2022
- Windows Server 2019
ホスト プールを作成するとき、またはセッション ホストをホスト プールに追加するときに、機密 VM を使用してセッション ホストを作成できます。
OS ディスクの暗号化
オペレーティング システム ディスクの暗号化は、ディスク暗号化キーを機密コンピューティング VM のトラステッド プラットフォーム モジュール (TPM) にバインドする追加の暗号化レイヤーです。 この暗号化により、ディスク コンテンツに VM のみがアクセスできるようになります。 整合性の監視により、定義されたベースラインで構成証明が失敗したために VM が起動しない場合、VM ブート整合性の暗号化構成証明と確認、およびアラートの監視が可能になります。 整合性の監視の詳細については、「Microsoft Defender for Cloud の統合」を参照してください。 ホスト プールを作成するときやホスト プールにセッション ホストを追加するときに、機密 VM を使用してセッション ホストを作成すると、機密コンピューティング暗号化を有効にできます。
セキュア ブート
セキュア ブートとは、プラットフォーム ファームウェアでサポートされるモードであり、マルウェアベースのルートキットおよびブート キットからファームウェアを保護するためのものです。 このモードでは、署名されたオペレーティング システムとドライバーの起動のみが許可されます。
リモート構成証明を使用してブート整合性を監視する
リモート構成証明は、使用している VM の正常性を確認するための優れた方法です。 リモート構成証明によって、メジャーブート レコードが存在すること、本物であること、仮想トラステッドプラットフォームモジュール (vTPM) から取得されたものであることが確認されます。 正常性チェックとして、プラットフォームが正しく起動されたという確実性が暗号化されて提供されます。
vTPM
vTPM は、ハードウェアのトラステッド プラットフォーム モジュール (TPM) の仮想化バージョンであり、VM ごとに TPM の仮想インスタンスがあります。vTPM により、VM のブート チェーン全体 (UEFI、OS、システム、ドライバー) の整合性測定を実行することで、リモート構成証明が有効になります。
ご利用の VM 上では、vTPM を有効にしてリモート構成証明を使用することをお勧めします。 vTPM を有効にすると、フルボリューム暗号化で保存データを保護する Azure Disk Encryption で BitLocker 機能を有効にできます。 vTPM を使用するいずれの機能でも、特定の VM にシークレットがバインドされます。 プールされたシナリオでユーザーが Azure Virtual Desktop サービスに接続した場合に、ユーザーをホスト プール内の任意の VM にリダイレクトすることができます。 機能の設計方法によっては、これが影響を及ぼす可能性があります。
Note
BitLocker を使用して、FSLogix プロファイル データを格納している特定のディスクを暗号化しないでください。
仮想化ベースのセキュリティ
仮想化ベースのセキュリティ (VBS) では、ハイパーバイザーを使用して、OS からアクセスできないセキュリティで保護されたメモリ領域が作成され、分離されます。 ハイパーバイザーで保護されたコード整合性 (HVCI) でも Windows Defender Credential Guard でも、VBS を使用して、脆弱性からの保護を強化できます。
ハイパーバイザーで保護されたコード整合性
HVCI は、VBS を使用することで、悪意のあるまたは検証されていないコードの注入や実行から Windows カーネルモード プロセスを保護する、システムの強力な軽減策です。
Windows Defender Credential Guard
Windows Defender Credential Guard を有効にします。 Windows Defender Credential Guard では、VBS を使用してシークレットを分離および保護することで、特権のあるシステム ソフトウェアからのみそれらにアクセスできるようにすることができます。 これにより、それらのシークレットへの不正アクセスや、Pass-the-Hash 攻撃などの資格情報の盗難攻撃が防止されます。 詳細については、「Credential Guard の概要」を参照してください。
Windows Defender アプリケーション制御
Windows Defender アプリケーション制御 Windows Defender アプリケーション制御は、マルウェアやその他の信頼されていないソフトウェアからデバイスを保護するように設計されています。 承認されたコードのみを実行できるようにすることで、悪意のあるコードの実行を防ぎます。 詳細については、「Windows のアプリケーション制御」を参照してください。
Note
Windows Defender Access Control を使用する際、デバイス レベルのポリシーのみをターゲットにすることをお勧めします。 個々のユーザーへのポリシーをターゲットにすることもできますが、いったんポリシーが適用されると、デバイス上のすべてのユーザーに均等に影響します。
Windows Update
Windows Update の更新プログラムを使用して、セッション ホストを最新の状態に保ちます。 Windows Update を利用すると、安全な方法でデバイスを最新の状態に保つことができます。 エンド ツー エンドで保護するので、プロトコル交換の操作を防ぎ、更新プログラムに承認済みのコンテンツのみが含まれるようにします。 Windows Updates を適切に利用するために、一部の保護された環境のファイアウォールとプロキシの規則の更新が必要になる場合があります。 詳細については、「Windows Update のセキュリティ」を参照してください。
リモート デスクトップ クライアントと他の OS プラットフォーム上の更新プログラム
他の OS プラットフォーム上の Azure Virtual Desktop サービスへのアクセスに使用できるリモート デスクトップ クライアントのソフトウェア更新プログラムは、それぞれのプラットフォームのセキュリティ ポリシーに従って保護されます。 すべてのクライアント更新プログラムは、プラットフォームによって直接配信されます。 詳細については、各アプリのそれぞれのストア ページを参照してください。
次のステップ
- 多要素認証を設定する方法について説明します。
- Azure Virtual Desktop のデプロイにゼロ トラスト原則を適用します。