Azure Firewallを使用してWindows 365環境を管理およびセキュリティで保護する
この記事では、Azure Firewallを使用してWindows 365環境を簡略化して保護する方法について説明します。 ここで説明するアーキテクチャ例は、直接最適化された接続パスを介して、必要なエンドポイントへの低メンテナンスと自動アクセスを提供します。 Azure Firewallネットワーク 規則と完全修飾ドメイン名 (FQDN) タグを使用して、このアーキテクチャの例を環境内でレプリケートできます。
注:
この記事は、Azure ネットワーク接続 (ANC) を使用してWindows 365をデプロイするお客様に適用されます。 この記事は、Microsoft ホスト型ネットワークを使用する環境には適用されません。 それぞれの詳細については、「Windows 365 ネットワーク展開オプション」を参照してください。
Windows 365 サービスには、重要なサービス エンドポイントへの最適化されたプロキシされていない接続が必要です。その多くは Microsoft のインフラストラクチャ内にあります。 インターネット経由でオンプレミス ネットワークを使用してこれらのリソースに接続することは非効率的であり、推奨されません。 このような接続は、構成と管理が複雑になる場合もあります。
たとえば、ANC デプロイ モデルを使用しているWindows 365のお客様の中には、ExpressRoute またはサイト間 VPN を使用するオンプレミス環境に直接接続している場合があります。 送信トラフィックは、オンプレミスのトラフィックと同じ方法で既存のプロキシ サーバーを使用してルーティングされる場合があります。 この接続戦略は、Windows 365環境向けに最適化されておらず、パフォーマンスに大きな影響を与える可能性があります。
代わりに、ANC Windows 365環境でAzure Firewallを使用して、最適化された、セキュリティで保護された、低いメンテナンス、自動アクセスを提供できます。
Windows 365に必要なエンドポイント
Windows 365には、次のエンドポイントへのアクセスが必要です。
また、環境からの最適化された接続を構成するときに、他の Microsoft サービス (Office 365 など) へのアクセスを検討することもできます。
特定のサービスの FQDN タグは、これらの規則を簡単な方法で構成および管理するためにAzure Firewallで使用でき、このドキュメントの後半で説明します。
Azure Firewall タグと FQDN タグを使用したアーキテクチャの例
Azure 内でネットワークを構成するには、さまざまな方法があります。 ここでは、次を使用します。
- 送信アクセスを管理Azure Firewall単一の VNet。
- VNet をオンプレミス環境に接続するための ExpressRoute 回線。
この図のトラフィック フロー:
- Contoso 企業ネットワーク: このオンプレミス IP サブネットは、ExpressRoute ゲートウェイを介して VNet にアドバタイズされます。 この範囲 (10.0.0.0/8) へのすべてのトラフィックは、ExpressRoute 回線を介して送信されます。
- Windows 365 サブネットからのその他のすべてのトラフィックは、0.0.0.0/0 のユーザー定義ルート (UDR) ルートを介して Azure ファイアウォールに送信されます。 次ホップ IP は、Azure Firewallのプライベート IP に設定されます。
- ファイアウォールには、アプリケーション 規則 (および FQDN タグ) と、Windows 365必要なエンドポイント用に構成されたネットワーク規則があります。 規則に準拠するトラフィックは許可されます。明示的に許可されていないその他のトラフィックはブロックされます。
アプリケーション ルールをAzure Firewallする
図の環境は、次のAzure Firewallアプリケーション 規則 (吹き出し 3 で適用) を使用して設定されました。 Contoso オンプレミス サブネット宛てではないすべてのトラフィックは、ファイアウォールに送信されます。 これらの規則を使用すると、定義されたトラフィックを宛先に送信できます。 Azure Firewallのデプロイの詳細については、「Azure portalを使用してAzure Firewallをデプロイして構成する」を参照してください。
| ルールの説明 | 変換先の種類 | FQDN タグ名 | プロトコル | TLS 検査 | 必須 / オプション |
|---|---|---|---|---|---|
| FQDN のWindows 365 | FQDN タグ | Windows365 | HTTP: 80、HTTPS: 443 | 非推奨 | 必須 |
| FQDN のIntune | FQDN タグ | MicrosoftIntune | HTTP: 80、HTTPS: 443 | 非推奨 | 必須 |
| FQDN のOffice 365 | FQDN タグ | Office365 | HTTP: 80、HTTPS: 443 | & 許可カテゴリを最適化することはお勧めしません | 省略可能 (ただし推奨) |
| Windows Update | FQDN タグ | WindowsUpdate | HTTP: 80、HTTPS: 443 | 非推奨 | 省略可能 |
| Citrix HDX Plus | FQDN タグ | CitrixHDXPlusForWindows365 | HTTP: 80、HTTPS: 443 | 非推奨 | 省略可能 (Citrix HDX Plus を使用する場合にのみ必要) |
Windows365 タグ
Windows365 タグには、必要な Azure Virtual Desktop (AVD) エンドポイントが含まれています。ただし、手動で入力する必要がある非標準ポートを持つエンドポイントを除きます (「ネットワーク規則」セクションを参照)。
Windows365 タグにはIntuneが含まれていません。 MicrosoftIntune タグは個別に使用できます。
Windows365 FQDN タグには、このドキュメントの個別の行で [必須] と表示されているエンドポイントを除き、必要なすべてのエンドポイントが含まれています。これは個別に構成する必要があります。 FQDN タグは、サービス タグとは異なります。 たとえば、WindowsVirtualDesktop サービス タグには、*.wvd.microsoft.com が解決する IP アドレスのみが含まれます。
ネットワーク ルール
Azure Firewallは現在、FQDN タグ内の非標準ポートを処理しません。 Windows 365にはいくつかの標準以外のポート要件があるため、FQDN タグに加えて、次の規則をネットワーク規則として手動で追加する必要があります。
| ルールの説明 | 変換先の種類 | FQDN/IP | プロトコル | ポート/秒 | TLS 検査 | 必須 / オプション |
|---|---|---|---|---|---|---|
| Windows ライセンス認証 | FQDN | azkms.core.windows.net | TCP | 1688 | 非推奨 | 必須 |
| 登録 | FQDN | global.azure-devices-provisioning.net | TCP | 443, 5671 | 非推奨 | 必須 |
| 登録 | FQDN | hm-iot-in-prod-preu01.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
| 登録 | FQDN | hm-iot-in-prod-prap01.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
| 登録 | FQDN | hm-iot-in-prod-prna01.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
| 登録 | FQDN | hm-iot-in-prod-prau01.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
| 登録 | FQDN | hm-iot-in-prod-prna02.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
| 登録 | FQDN | hm-iot-in-2-prod-prna01.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
| 登録 | FQDN | hm-iot-in-3-prod-prna01.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
| 登録 | FQDN | hm-iot-in-2-prod-preu01.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
| 登録 | FQDN | hm-iot-in-3-prod-preu01.azure-devices.net | TCP | 443,5671 | 非推奨 | 必須 |
| TURN を使用した UDP 接続 | IP | 20.202.0.0/16 | UDP | 3478 | 非推奨 | 必須 |
| TURN 接続 | IP | 20.202.0.0/16 | TCP | 443 | 非推奨 | 必須 |
| 登録 | FQDN | hm-iot-in-4-prod-prna01.azure-devices.net | TCP | 443, 5671 | 非推奨 | 必須 |
パートナー セキュリティ ソリューション のオプション
Windows 365環境を保護するのに役立つその他の方法は、Windows 365 サービスに必要なエンドポイントにアクセスするための自動ルール セットを提供するパートナー セキュリティ ソリューション オプションです。 このようなオプションは次のとおりです。
- Check Point ソフトウェア テクノロジの更新可能なオブジェクト
次の手順
Windows 365 アーキテクチャの詳細については、こちらをご覧ください。
FQDNS の詳細については、「 FQDN タグの概要」を参照してください。
サービス タグの詳細については、「 仮想ネットワーク サービス タグ」を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示