次の方法で共有

Azure Virtual Desktop展開にゼロ トラスト原則を適用する

この記事では、次の方法で principles of ゼロ トラスト をAzure Virtual Desktopデプロイに適用する手順について説明します。

ゼロ トラスト原則 定義 以下により満たされる
明示的に検証する 常に利用可能なすべてのデータポイントに基づいて認証および承認してください。 Azure Virtual Desktop ユーザーの ID とエンドポイントを確認し、セッション ホストへのアクセスをセキュリティで保護します。
最小限の特権アクセスを使用する ジャスト・イン・タイムおよびジャスト・エナフ・アクセス(JIT/JEA)、リスクベースのアダプティブ・ポリシー、データ保護により、ユーザー・アクセスを制限します。
  • セッション ホストへのアクセスを制限し、このデータへのアクセスを制限します。
  • ストレージ: データを保護するために、保存データ、転送中データ、使用中のデータの 3 つのモードが用意されています。
  • 仮想ネットワーク (VNet): Azure Firewallを使用して、ハブとスポークの VNet 間で許可されるネットワーク トラフィック フローを指定します。
  • 仮想マシン: ロールベースのアクセス制御 (RBAC) を使用してください。
侵害を前提とする 影響範囲を最小限に抑えるために、アクセスをセグメント化します。 エンドツーエンドの暗号化を検証し、分析を使用して可視性を得て、脅威検出を促進し、防御を強化します。
  • Azure Virtual Desktop展開のコンポーネントを分離します。
  • ストレージ: Defender For Storage を使用して、脅威の検出と保護を自動化します。
  • VNet: Azure Firewallを使用してワークロード間のトラフィック フローを防止します。
  • 仮想マシン: エンドツーエンドの暗号化には二重暗号化を使用し、ホストでの暗号化を有効にし、仮想マシンのセキュアなメンテナンスを有効にし、脅威の検出にはMicrosoft Defender for Serversを使用します。
  • Azure Virtual Desktop: Azure Virtual Desktopセキュリティ、ガバナンス、管理、監視機能を使用して防御を強化し、セッション ホスト分析を収集します。

Azure IaaS 環境におけるゼロ トラスト原則の適用方法の詳細については、Azure IaaSにゼロ トラスト原則を適用する概要を参照してください。

参照アーキテクチャ

この記事では、ハブ アンド スポークの次の参照アーキテクチャを使用して、一般的にデプロイされる環境と、インターネット経由でユーザーがアクセスできるAzure Virtual Desktopにゼロ トラストの原則を適用する方法を示します。 Azure Virtual WAN アーキテクチャは、Azure Virtual Desktop の RDP Shortpath を使用したマネージド ネットワーク経由のプライベート アクセスに加えてサポートされます。

Azure Virtual Desktop の参照アーキテクチャのダイアグラム。

Azure Virtual DesktopのAzure環境には、次のものが含まれます。

コンポーネント 説明
ある Azure Virtual Desktop ユーザー プロファイル向けのAzure Storageサービス。
B 接続ハブ VNet。
C Azure Virtual Desktop のセッションホスト仮想マシンに基づくワークロードを持つスポーク VNet。
D Azure Virtual Desktop 制御プレーン。
E Azure Virtual Desktop 管理プレーン。
F Microsoft Entra ID、Microsoft Defender for Cloud、ロールベースのアクセス制御 (RBAC)、Azure Monitorなどの依存 PaaS サービス。
G Azure コンピュート ギャラリー

Azure環境にアクセスするユーザーまたは管理者は、インターネット、オフィスの場所、またはオンプレミスのデータセンターから発信できます。

参照アーキテクチャは、Azure Virtual Desktop のクラウド導入フレームワーク内の Enterprise-scale landing zone で説明されているアーキテクチャに合わせています。

論理アーキテクチャ

この図では、Azure Virtual Desktop展開のAzure インフラストラクチャがMicrosoft Entra テナント内に含まれています。

Microsoft Entra テナント内の Azure Virtual Desktop のコンポーネントの図。

論理アーキテクチャの组成は次のとおりです。

  • Azure Virtual Desktop用のAzureサブスクリプション

    リソースは複数のサブスクリプションに分散でき、各サブスクリプションはネットワーク サブスクリプションやセキュリティ サブスクリプションなど、異なるロールを持つことができます。 これについては、クラウド導入フレームワーク およびランディング ゾーンAzureで説明されています。 サブスクリプションが異なれば、運用環境、開発環境、テスト環境など、異なる環境を保持することもできます。 これは、環境を分離する方法と、それぞれにあるリソースの数によって異なります。 管理グループを使用して、1 つ以上のサブスクリプションをまとめて管理します。 これにより、各サブスクリプションを個別に設定する代わりに、RBAC ポリシーとAzure ポリシーを持つアクセス許可をサブスクリプションのグループに適用できます。

  • Azure Virtual Desktop リソース グループ

    Azure Virtual Desktop リソース グループは、Key Vault、Azure Virtual Desktop サービス オブジェクト、プライベート エンドポイントを分離します。

  • ストレージ リソース グループ

    ストレージ リソース グループは、Azure Files サービスのプライベート エンドポイントとデータ セットを隔離します。

  • セッションホストバーチャルマシンリソースグループ

    専用リソース グループは、セッション ホストの仮想マシン、ディスク暗号化セット、アプリケーション セキュリティ グループを隔離します。

  • スポークVNetリソースグループ

    専用のリソース グループは、スポーク VNet リソースと、組織内のネットワーク スペシャリストが管理できるネットワーク セキュリティ グループを分離します。

この記事の内容は?

この記事では、Azure Virtual Desktop参照アーキテクチャ全体にゼロ トラストの原則を適用する手順について説明します。

ステップ タスク ゼロ トラスト原則の適用
1 ゼロ トラストを使用して ID をセキュリティで保護します。 明示的に検証する
2 ゼロ トラストを使用してエンドポイントをセキュリティで保護します。 明示的に検証する
3 Azure Virtual Desktop のストレージ リソースに ゼロ トラスト 原則を適用します。 明示的に検証する
最小限の特権アクセスを使用する
侵害を前提とする
4 ゼロ トラスト原則を VNet Azure Virtual Desktopハブ アンド スポークに適用します。 明示的に検証する
最小限の特権アクセスを使用する
侵害を前提とする
5 Azure Virtual Desktopのセッションホストにゼロ トラスト原則を適用します。 明示的に検証する
最小限の特権アクセスを使用する
侵害を前提とする
6 セキュリティ、ガバナンス、コンプライアンスをAzure Virtual Desktopに展開します。 侵害を前提とする
7 セキュリティで保護された管理と監視をAzure Virtual Desktopに展開します。 侵害を前提とする

手順 1: ゼロ トラストを使用して ID をセキュリティで保護する

Azure Virtual Desktopで使用される ID にゼロ トラスト原則を適用するには:

  • Azure Virtual Desktopでは、さまざまな種類の identities がサポートされています。 ゼロ トラストの情報を使用して、選択した ID の種類がゼロ トラスト原則に準拠していることを確認します。
  • セッションホストのデプロイ中に、Microsoft Entra Domain Services または AD DS ドメインにセッションホストを参加させるための、特権を最小限に抑えた専用のユーザーアカウントを作成します。

手順 2: ゼロ トラストを使用してエンドポイントをセキュリティで保護する

エンドポイントは、ユーザーがAzure Virtual Desktop環境とセッション ホスト仮想マシンにアクセスするデバイスです。 Endpoint 統合の概要の手順に従い、Microsoft Defender for EndpointとMicrosoft Intuneを使用して、エンドポイントがセキュリティとコンプライアンスの要件に準拠していることを確認します。

手順 3: ゼロ トラスト原則をAzure Virtual Desktopストレージ リソースに適用する

Azure Virtual Desktopデプロイで使用されているストレージ リソースに対して、Azureのストレージに対するゼロトラスト原則の適用で示されている手順を実装します。 これらのステップにより、次のことが保証されます。

  • 保存中、転送中、使用中のAzure Virtual Desktopデータをセキュリティで保護します。
  • ユーザーを検証し、最小限の権限でストレージデータへのアクセスを制御します。
  • ストレージ アカウントのプライベート エンドポイントを構成します。
  • ネットワーク制御で重要なデータを論理的に分離します。 たとえば、ホスト プールごとに個別のストレージ アカウントを使用する場合や、MSIX アプリの添付ファイル共有を使用するなどの目的があります。
  • Defender for Storage を使用して、脅威からの保護を自動化します。

一部の設計では、Azure NetApp ファイル は、SMB 共有を介したAzure Virtual DesktopのFSLogix プロファイルに最適なストレージ サービスです。 Azure NetApp Filesには、削除されたサブネットセキュリティ ベンチマークを含む組み込みのセキュリティ機能が用意されています。

手順 4: ゼロ トラスト原則を VNet Azure Virtual Desktopハブ アンド スポークに適用する

VNet ハブは、複数のスポークバーチャルネットワークの中央接続ポイントです。 ステップを実装します。ゼロトラストの原則をAzureのハブ仮想ネットワークに適用するために、セッションホストからの送信トラフィックをフィルター処理するために使用されているハブ VNet に対して。

スポーク VNet は、Azure Virtual Desktopワークロードを分離し、セッション ホスト仮想マシンを含みます。 Azure のスポーク仮想ネットワークにおける、セッション ホスト/仮想マシンを含むスポーク VNet に対して、ゼロ トラスト 原則を適用する手順を実装します。

NSGを使用して、各サブネットのAzure Virtual Desktopに必要な URL を使用して、個別の VNet 上の異なるホスト プールを分離します。 プライベート エンドポイントをデプロイするときは、そのロールに基づいて VNet 内の適切なサブネットに配置します。

Azure Firewallまたはネットワーク仮想アプライアンス (NVA) ファイアウォールを使用して、セッション ホストAzure Virtual Desktop送信トラフィックを制御および制限できます。 セッション ホストを保護するためのAzure Firewallについては、here の手順を使用します。 ホスト プール サブネットにリンクされているユーザー定義ルート (UDR) を使用して、トラフィックをファイアウォール経由で強制的に通過させます。 ファイアウォールを構成するために必要な Azure Virtual Desktop URL の完全な一覧を確認します。 Azure Firewallでは、この構成を簡略化するために、Azure Virtual Desktop FQDN タグを提供します。

手順 5: Azure Virtual Desktop セッション ホストにゼロ トラスト原則を適用する

セッションホストは、スポークVNet内で実行される仮想マシンです。 セッションホスト用に作成される仮想マシンに対して、Azure の仮想マシンにゼロトラスト原則を適用するための手順を実行します。

Host プールは、Active Directory Domain Services (AD DS)上でグループ ポリシーによって管理されている場合、組織単位 (OU) を分離して設定する必要があります。

Microsoft Defender for Endpointは、エンタープライズ ネットワークが高度な脅威を防止、検出、調査、対応できるように設計されたエンタープライズ エンドポイント セキュリティ プラットフォームです。 セッション ホストにはMicrosoft Defender for Endpointを使用できます。 詳細については、仮想デスクトップ インフラストラクチャ (VDI) デバイスをご覧ください。

手順 6: セキュリティ、ガバナンス、コンプライアンスをAzure Virtual Desktopに展開する

Azure Virtual Desktop サービスを使用すると、Azure Private Link を使用して、プライベート エンドポイントによってリソースにプライベートに接続できます。

Azure Virtual Desktopには、セッション ホストを保護するための高度なセキュリティ機能が組み込まれています。 ただし、Azure Virtual Desktop環境とセッション ホストのセキュリティ防御を強化するには、次の記事を参照してください。

さらに、Microsoft のクラウド導入フレームワークに従って、Azure Virtual Desktopランディング ゾーンのセキュリティ、ガバナンス、コンプライアンスに関する主要な設計上の考慮事項と推奨事項を参照してください。

手順 7: セキュリティで保護された管理と監視をAzure Virtual Desktopに展開する

管理と継続的な監視は、Azure Virtual Desktop環境が悪意のある動作に関与しないようにするために重要です。 Azure Virtual Desktop Insights を使用して、データをログに記録し、診断データと使用状況データを報告します。

次の追加記事を参照してください。

  • Azure Virtual Desktop向けのAzure Advisorからの推奨事項を確認。
  • 詳細なポリシー管理には、Microsoft Intune を使用します。
  • ホスト プール レベルで詳細な設定を行う場合は、RDP プロパティを確認して設定します。

Azure Virtual Desktop展開をセキュリティで保護する

トレーニング Azure Virtual Desktopデプロイをセキュリティで保護する
Microsoft Azure Virtual Desktop 展開でアプリケーションとデータのセキュリティを維持するのに役立つ Microsoft セキュリティ機能について説明します。

開始

Azureを使用してAzure Virtual Desktop展開を保護する

トレーニング Azure を使用して Azure Virtual Desktop の展開を保護します
Azure Firewallをデプロイし、すべてのネットワーク トラフィックをAzure Firewall経由でルーティングし、ルールを構成します。 Azure Virtual Desktop ホスト プールからの送信ネットワーク トラフィックを、Azure Firewall経由でサービスにルーティングします。

開始

Azure Virtual Desktopのアクセスとセキュリティを管理する

トレーニング Azure Virtual Desktop
Azure Virtual DesktopのAzureロールを計画して実装し、リモート接続の条件付きアクセス ポリシーを実装する方法について説明します。 このラーニング パスは、試験 AZ-140: Microsoft Azure Virtual Desktopの構成と運用に合わせて調整されています。

開始

ユーザー ID とプロファイルを設計する

トレーニング ユーザー ID とプロファイルを設計する
ユーザーは、オンプレミスとクラウドの両方で、これらのアプリケーションにアクセスする必要があります。 Windows Desktop のリモート デスクトップ クライアントを使用して、別のWindows デバイスからWindowsアプリとデスクトップにリモートでアクセスします。

開始

Azureのセキュリティに関する詳細なトレーニングについては、Microsoft カタログの以下のリソースを参照してください。
Azure

次のステップ

ゼロ トラスト原則をAzureに適用するには、次の追加の記事を参照してください。

テクニカルイラスト

この記事で使用されている図をダウンロードできます。 Visio ファイルを使用して、これらの図を独自に変更します。

PDF | Visio

その他の技術的な図については、ここをクリックしてください。

リファレンス

この記事で紹介するさまざまなサービスやテクノロジについては、以下のリンクを参照してください。

  • Last updated on