Azure Firewall を使用して Windows 365 環境を管理およびセキュリティで保護する
この記事では、Azure Firewall を使用して Windows 365 環境を簡略化して保護する方法について説明します。 ここで説明するアーキテクチャ例は、直接最適化された接続パスを介して、必要なエンドポイントへの低メンテナンスと自動アクセスを提供します。 Azure Firewall ネットワーク規則と完全修飾ドメイン名 (FQDN) タグを使用して、環境内でこのアーキテクチャの例をレプリケートできます。
注:
この記事は、Azure ネットワーク接続 (ANC) を使用して Windows 365 をデプロイするお客様に適用されます。 この記事は、Microsoft ホスト型ネットワークを使用する環境には適用されません。 それぞれの詳細については、「 Windows 365 ネットワーク展開オプション」を参照してください。
Windows 365 サービスには、重要なサービス エンドポイントへの最適化された非プロキシ接続が必要です。その多くは Microsoft のインフラストラクチャ内にあります。 インターネット経由でオンプレミス ネットワークを使用してこれらのリソースに接続することは非効率的であり、推奨されません。 このような接続は、構成と管理が複雑になる場合もあります。
たとえば、ANC デプロイ モデルを使用している一部の Windows 365 のお客様は、ExpressRoute またはサイト間 VPN を使用するオンプレミス環境に直接接続している可能性があります。 送信トラフィックは、オンプレミスのトラフィックと同じ方法で既存のプロキシ サーバーを使用してルーティングされる場合があります。 この接続戦略は Windows 365 環境向けに最適化されていないため、パフォーマンスに大きな影響を与える可能性があります。
代わりに、ANC Windows 365 環境で Azure Firewall を使用して、最適化された、セキュリティで保護された、低いメンテナンス、自動アクセスを提供できます。
Windows 365 に必要なエンドポイント
Windows 365 では、次のエンドポイントへのアクセスが必要です。
また、環境からの最適化された接続を構成するときに、他の Microsoft サービス (Office 365 など) へのアクセスを検討することもできます。
特定のサービスの FQDN タグは、これらの規則を簡単な方法で構成および管理するために Azure Firewall で使用でき、このドキュメントの後半で説明します。
Azure Firewall タグと FQDN タグを使用したアーキテクチャの例
Azure 内でネットワークを構成するには、さまざまな方法があります。 ここでは、次を使用します。
- 送信アクセスを管理する Azure Firewall を備えた 1 つの VNet。
- VNet をオンプレミス環境に接続するための ExpressRoute 回線。
この図のトラフィック フロー:
- Contoso 企業ネットワーク: このオンプレミス IP サブネットは、ExpressRoute ゲートウェイを介して VNet にアドバタイズされます。 この範囲 (10.0.0.0/8) へのすべてのトラフィックは、ExpressRoute 回線を介して送信されます。
- Windows 365 サブネットからの他のすべてのトラフィックは、0.0.0.0/0 のユーザー定義ルート (UDR) ルートを介して Azure ファイアウォールに送信されます。 次ホップ IP は、Azure Firewall のプライベート IP に設定されます。
- ファイアウォールには、Windows 365 で必要なエンドポイント用に構成されたアプリケーション 規則 (および FQDN タグ) とネットワーク規則があります。 規則に準拠するトラフィックは許可されます。明示的に許可されていないその他のトラフィックはブロックされます。
Azure Firewall アプリケーション規則
図の環境は、次の Azure Firewall アプリケーション規則 (吹き出し 3 で適用) を使用して設定されました。 Contoso オンプレミス サブネット宛てではないすべてのトラフィックは、ファイアウォールに送信されます。 これらの規則を使用すると、定義されたトラフィックを宛先に送信できます。 Azure Firewall のデプロイの詳細については、「Azure portal を使用して Azure Firewall をデプロイして構成する」を参照してください。
ルールの説明 | 変換先の種類 | FQDN タグ名 | プロトコル | TLS 検査 | 必須 / オプション |
---|---|---|---|---|---|
Windows 365 FQDN | FQDN タグ | Windows365 | HTTP: 80、HTTPS: 443 | 非推奨 | 必須 |
Intune FQDN | FQDN タグ | MicrosoftIntune | HTTP: 80、HTTPS: 443 | 非推奨 | 必須 |
Office 365 FQDN | FQDN タグ | Office365 | HTTP: 80、HTTPS: 443 | & 許可カテゴリを最適化することはお勧めしません | 省略可能 (ただし推奨) |
Windows Update | FQDN タグ | WindowsUpdate | HTTP: 80、HTTPS: 443 | 非推奨 | 省略可能 |
Citrix HDX Plus | FQDN タグ | CitrixHDXPlusForWindows365 | HTTP: 80、HTTPS: 443 | 非推奨 | 省略可能 (Citrix HDX Plus を使用する場合にのみ必要) |
Azure Firewall をパブリック IP アドレスに関連付けて、インターネットへの送信接続を提供できます。 最初のパブリック IP は、 送信 SNAT を提供するためにランダムに選択されます。 最初の IP からのすべての SNAT ポートが使い果たされた後、次に使用可能なパブリック IP が使用されます。 高スループットが必要なシナリオでは、 Azure NAT ゲートウェイを活用することをお勧めします。 NAT ゲートウェイは送信接続を動的にスケーリングし、 Azure Firewall と統合できます。 ガイダンスについては、 NAT Gateway と Azure Firewall の統合に 関するチュートリアルを参照してください。
Windows365 タグ
Windows365 タグには、必要な Azure Virtual Desktop (AVD) エンドポイントが含まれています。ただし、手動で入力する必要がある非標準ポートを持つエンドポイントを除きます (「ネットワーク規則」セクションを参照)。
Windows365 タグには Intune は含まれません。 MicrosoftIntune タグは個別に使用できます。
Windows365 FQDN タグには、このドキュメントの個別の行で [必須] と表示されているエンドポイントを除き、必要なすべてのエンドポイントが含まれています。これは個別に構成する必要があります。 FQDN タグは、サービス タグとは異なります。 たとえば、WindowsVirtualDesktop サービス タグには、*.wvd.microsoft.com が解決する IP アドレスのみが含まれます。
ネットワーク ルール
現在、Azure Firewall は FQDN タグ内の非標準ポートを処理していません。 Windows 365 にはいくつかの標準以外のポート要件があるため、FQDN タグに加えて、次の規則をネットワーク規則として手動で追加する必要があります。
ルールの説明 | 変換先の種類 | FQDN/IP | プロトコル | ポート/秒 | TLS 検査 | 必須 / オプション |
---|---|---|---|---|---|---|
Windows ライセンス認証 | FQDN | azkms.core.windows.net | TCP | 1688 | 非推奨 | 必須 |
登録 | FQDN | global.azure-devices-provisioning.net | TCP | 443, 5671 | 非推奨 | 必須 |
登録 | FQDN | hm-iot-in-prod-preu01.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
登録 | FQDN | hm-iot-in-prod-prap01.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
登録 | FQDN | hm-iot-in-prod-prna01.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
登録 | FQDN | hm-iot-in-prod-prau01.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
登録 | FQDN | hm-iot-in-prod-prna02.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
登録 | FQDN | hm-iot-in-2-prod-prna01.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
登録 | FQDN | hm-iot-in-3-prod-prna01.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
登録 | FQDN | hm-iot-in-2-prod-preu01.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
登録 | FQDN | hm-iot-in-3-prod-preu01.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
TURN を使用した UDP 接続 | IP | 20.202.0.0/16 | UDP | 3478 | 非推奨 | 必須 |
TURN 接続 | IP | 20.202.0.0/16 | TCP | 443 | 非推奨 | 必須 |
登録 | FQDN | hm-iot-in-4-prod-prna01.azure-devices.net | TCP | 443, 5671 | 非推奨 | 必須 |
パートナー セキュリティ ソリューション のオプション
Windows 365 環境を保護するのに役立つその他の方法は、Windows 365 サービスに必要なエンドポイントにアクセスするための自動ルールセットを提供するパートナー セキュリティ ソリューション オプションです。 このようなオプションは次のとおりです。
- チェック ポイント ソフトウェア テクノロジ の更新可能なオブジェクト
次の手順
Windows 365 アーキテクチャの詳細については、こちらをご覧ください。
FQDNS の詳細については、「 FQDN タグの概要」を参照してください。
サービス タグの詳細については、「 仮想ネットワーク サービス タグ」を参照してください。