Windows Cloud IO Protection

重要

Windows Cloud IO Protection はパブリック プレビュー段階です。 ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される法的条件については、「Microsoft Azure プレビューの補足使用条件」を参照してください。

概要: Windows 365 クラウド PC の入力のセキュリティ保護

Windows 365クラウド PC は既にセッションを暗号化し、MFA などの ID ベースの認証方法を適用して、ハイジャックや中間者攻撃を防ぎます。 ただし、機密データを引き続き侵害する可能性があるキー ロガーなどの Windows クラウド セッションを対象とするエンドポイント デバイス常駐の脅威は、コンプライアンス リスクや財務上の損失につながる可能性があります。

Windows Cloud IO Protection は、マルウェアに対して脆弱な OS レイヤーをバイパスして、キーストロークをクラウド PC に安全にルーティングするカーネル レベルのドライバーとシステム レベルの暗号化によって、このギャップに対処します。 この機能がクラウド PC または仮想デスクトップ セッション ホストAzure有効になっている場合、厳密な信頼モデルが適用されます。

  • 接続できるのは、保護されたエンドポイント物理デバイスだけです。

  • エンドポイントを保護するには、 Windows Cloud IO Protect MSI がインストールされている必要があります。

MSI が見つからない場合、接続はブロックされ、エラー メッセージが表示されます。 これにより、Windows アプリと Cloud PC/Azure Virtual Desktop セッション ホスト間のセキュリティで保護されたチャネルが確保され、妥協のない入力保護が実現されます。

Windows Cloud Input Protect MSI をインストールする手順

前提条件:

  • エンドポイントは、Windows 11を使用した物理デバイス (仮想マシンはサポートされていません) である必要があります。 エンドポイント デバイスは TPM 2.0 を使用する必要があります。

  • Windows Cloud IO Protect MSI をインストールするには、ユーザーにローカル 管理権限が必要です。

  1.  ユーザーが物理デバイス (Windows Cloud Input Protect MSI を使用しない) からWindows 365 クラウド PCまたは仮想デスクトップ セッション ホストAzure接続しようとすると、次のエラー メッセージが表示されます。

    キーボード保護クライアントがインストールされていないためのエラー メッセージのスクリーンショット。

  2. ユーザーは、2 種類の MSI インストーラーを選択して、Windows Cloud Input Protect msi をインストールできます。

Windows Appの前提条件

この機能には、バージョン 2.0.704.0 以降Windows App必要があります。 Microsoft Store でアプリを更新します。

Windows App バージョンを示すスクリーンショット。

Cloud PC/Azure Virtual Desktop セッション ホストで Windows Cloud Input Protection を構成する

Windows Cloud Input Protection は、Windows 365 (Intune) と AVD (Azure portal) の両方に対してリモート デスクトッププロパティ (RDP) を使用して構成できます

注:

レジストリ キー fWCIOKeyboardInputProtection を使用してこの機能を有効にした場合は、次の手順に従って、AVD のレジストリ キーのサポートとして削除するか、RDP プロパティで非推奨になるWindows 365してください

  1. レジストリ エディター アプリを開く
  2. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services] に移動します
  3. fWCIOKeyboardInputProtection を削除する

RDP プロパティを使用して AVD 用の Windows Cloud Input Protection を構成する手順

  1. Azure portalにサインインします。

  2. [Host Pool>RDP Properties>Advanced Tab> に移動します。

  3. スクリーンショットに示すように、「enablewindowscloudiokeyboardinputprotection:i:1」と入力します。

    AZURE PORTAL RDP プロパティの enablewindowscloudiokeyboardinputprotection 設定のスクリーンショット。

RDP プロパティを使用して Windows Cloud Input Protection for Win 365 を構成する手順

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス>Windows 365>Settings>Create>Remote Connection Experience (preview)) に移動します。

    Win365 RDP プロパティリモート接続エクスペリエンス

  3. リモート接続エクスペリエンス オブジェクトを作成し 、[構成設定] に移動して 入力保護を有効にします。

    Win 365 RDP プロパティ入力保護

  4. リモート接続オブジェクトが作成されると、設定が有効になります。

注:

この機能は、次の場合にサポートされています。

  • 最新の Microsoft でサポートされている Windows クライアント OS バージョンを使用した Windows Cloud PC/Azure Virtual Desktop セッション ホスト
  • サポートされているクライアント。 Windows 11サポートされているネイティブ クライアントを実行している物理デバイスで、Windows Cloud IO Protect msi がインストールされています。 
  • サポートされていないクライアント。  仮想エンドポイント デバイス (VM)、MAC OS、iOS、Android、Web、Windows クラウド以外の IO が有効な Windows デバイス (Windows 365 Link デバイスを含む)。
  • Last updated on