セッション ホストおよびアプリケーションの保護
お客様は、Azure Virtual Desktop の展開をセキュリティで保護するために、いくつかのアクションを実行し、複数のツールを使用できます。 次の表に、Azure Virtual Desktop の展開のセキュリティを確保するためのテスト済みの推奨事項を示します。
| 注意事項 | 結果 |
|---|---|
| クラウド セキュリティ態勢管理(CSPM)機能で Microsoft Defender for Cloud を有効にする | セキュリティ スコアの CSPM 機能を使用して、全体的なセキュリティを向上させます。 |
| 多要素認証が必要 | ユーザー認証を強化します。 |
| 条件付きアクセスの有効化 | ユーザーにアクセスを許可する前に、リスクを管理します。 |
| 監査ログの収集 | ユーザーおよび管理者のアクティビティを確認します。 |
| RemoteApp の使用 | リモート マシンのサブセットのみを公開してユーザーを作業させることにより、リスクを軽減します。 |
| Azure Monitor による使用状況の監視 | Azure Virtual Desktop サービスの通知を受信するサービス正常性のアラートを作成します。 |
| エンドポイント保護の有効化 | 既知のマルウェアから展開を保護します。 |
| エンドポイントでの検出と対応 (EDR) 製品のインストール | EDR を使用して、高度な検出および応答機能を提供します。 |
| 脅威および脆弱性管理の評価の有効化 | サーバー オペレーティング システムの脆弱性評価により、問題点を特定します。 |
| お客様の環境におけるソフトウェアの脆弱性の修正 | 脆弱性が特定された場合は、オンプレミスまたは仮想環境で修正する必要があります。 |
| 最大非アクティブ時間および切断ポリシーの確立 | リソースを保護し、不正アクセスを防止するには、非アクティブなユーザーをサインアウトします。 |
| アイドル セッションのロック設定画面 | アイドル時間中にマシンの画面をロックするように Azure Virtual Desktop を構成し、ロック解除の認証を要求することで、不要なシステム アクセスを防止します。 |
| ユーザーに仮想デスクトップへのアクセス権を付与しない | Configuration Manager を使用してソフトウェア パッケージを管理します。 |
| どのユーザーがどのリソースにアクセスするかを検討します。 | インターネット リソースへのホスト接続を制限します。 |
| オペレーティング システムの機能の制限 | セッション ホストのセキュリティを強化します。 |
| Azure Virtual Desktop ホスト プールで、RDP プロパティの下でデバイスのリダイレクトを制限します。 | データ漏えいを防止します。 |
Microsoft Defender for Endpoint を使用したエンドポイント保護の有効化
企業のエンドポイントのセキュリティを確保するために、Microsoft Defender for Endpoint を構成することをお勧めします。 以前は Windows Defender for Endpoint と呼ばれていました。 Microsoft Defender for Endpoint は通常、オンプレミスで使用されますが、仮想デスクトップ インフラストラクチャ (VDI) 環境でも使用できます。
Azure Virtual Desktop VM に Microsoft Defender for Endpoint を展開するには、その VM を Microsoft Defender for Cloud に登録します。 Defender for Cloud は、標準サービスの一部としてライセンスを提供します。
自動プロビジョニングも使用する必要があります。 Defender for Cloud の自動プロビジョニングの設定には、サポートされている拡張機能の種類ごとに切り替えがあります。 内線番号の自動プロビジョニングを有効にする場合は、適切な DeployIfNotExists ポリシーを割り当てて、その種類の既存および将来のすべてのリソースに内線番号がプロビジョニングされるようにします。
注:
ログ分析エージェントの自動プロビジョニングを有効にします。 ログ分析エージェントの自動プロビジョニングがオンになっている場合、Defender for Cloud は、サポートされているすべての Azure VM および作成された新しい VM にエージェントを展開します。
Microsoft エンドポイント マネージャーと Microsoft Intune の統合
Microsoft 365 には、Microsoft エンドポイント マネージャーの管理センターと Microsoft Endpoint Configuration Manager のサポートが含まれています。
Microsoft Intune を使用してコンプライアンスを作成して確認できます。 また、これを使用して、Azure を使用するデバイスにアプリ、機能、および設定を展開することもできます。
Microsoft Intune は、認証と承認のために Microsoft Entra ID と統合されています。 また、データ保護のために Azure Information Protection と統合されています。 Microsoft Intune は Microsoft 365 製品スイートで使用できます。
次の表に、Microsoft Intune の主な機能の一部を示します。
| 機能 | 説明 |
|---|---|
| デバイス管理 | Microsoft Intune のユーザー所有の登録済みデバイスおよび組織所有の登録済みデバイスは、組織のセキュリティ ポリシーと一致するように構成したポリシーを通じて規則および設定を受け取ります。 |
| アプリ管理 | Microsoft Intune のモバイル アプリケーション管理により、組織所有のデバイスや個人用デバイスでアプリ管理を行うことができます。 |
| コンプライアンスおよび条件付きアクセス | Intune は Microsoft Entra ID と統合され、広範なアクセス制御シナリオを有効にします。 |
アプリケーション制御は、すべてのアプリケーションが信頼できることを前提とするアプリケーション信頼モデルから移行します。 新しいモデルでは、アプリケーションを実行する前に信頼を得る必要があります。 Windows 10 には、アプリケーション制御のための 2 つのテクノロジ (Windows Defender Application Control と AppLocker) が搭載されています。
Windows Defender Application Control
Windows 10 では、Windows Defender Application Control が導入されました。 組織はこの機能を使用して、Windows 10 クライアント上で実行できるドライバーとアプリケーションを制御できます。
初期の Windows 10 では、Windows Defender Application Control は構成可能なコード整合性と呼ばれていました。 構成可能なコード整合性には、Windows 10 を実行する以外に特定のハードウェアまたはソフトウェア要件はありません。 また、現在は使用されていない Device Guard を含む機能の 1 つでした。
AppLocker
アプリケーション制御戦略全体の一部として AppLocker を使用することをお勧めします。 定義済みのアプリケーションをシステム上で実行できます。
AppLocker 制御ポリシーの制限規則は、次のものに基づいています。
- デジタル署名などのファイル属性
- 製品名
- ファイル名
- ファイルのバージョン
既定の規則は、多くのスクリプト、Windows インストーラー パッケージ、および実行可能ファイルをブロックします。
AppLocker には、Windows が正しく動作するために必要なファイルが AppLocker 規則の収集で許可されるように、各規則の既定の規則が含まれています。 既定の規則では、ローカル管理者グループのメンバーがすべての Windows インストーラー ファイルを実行することもできます。 既定の規制は次のとおりです。
- Everyone グループのメンバーに、デジタル署名された Windows インストーラーの実行を許可します。
- Everyone グループのメンバーが、Windows\Installer フォルダーにあるすべての Windows インストーラー ファイルを実行できるようにします。
- ローカル管理者グループのメンバーがすべてのスクリプトを実行できるようにします。
AppLocker の規制の収集は、ファイルの許可リストとして機能します。 規則の収集にリストされているファイルのみを実行できます。 この構成により、AppLocker の規制が適用されたときに何が起こるかを簡単に判断できます。 AppLocker は既定で許可リストとして機能するため、ファイルの実行を明示的に許可または拒否する規制がない場合、AppLocker の既定の拒否アクションによってファイルがブロックされます。