ネットワーク アクセスをセキュリティで保護する

  • 6 分

前述のように、Azure Virtual Desktop は共有サービス オファリングです。 Microsoft は、顧客に代わってサービスの一部を管理し、クライアントとセッション ホストを接続するための安全なエンドポイントを提供します。

Azure Virtual Desktop は、リモート デスクトップ プロトコル (RDP) を使用して、ネットワーク接続経由でリモートでの表示および入力機能を提供します。 Azure Virtual Desktop の接続データ フローは、最も近い Azure データセンターの DNS ルックアップから始まります。

  1. Microsoft Entra ID で認証されると、トークンがリモート デスクトップ サービス クライアントに返されます。
  2. ゲートウェイは、接続ブローカーでトークンをチェックします。
  3. ブローカーは、ユーザーに割り当てられたリソースについて Azure SQL データベースにクエリを実行します。
  4. ゲートウェイとブローカーは、接続されたクライアントのセッション ホストを選択します。
  5. セッション ホストは、Azure Virtual Desktop ゲートウェイを使用して、クライアントへのリバース接続を作成します。

インバウンド ポートは開かれていません。 このバージョンでは、ゲートウェイはインテリジェント リバース プロキシとして機能します。 ゲートウェイはすべてのセッション接続を管理し、クライアントに到達するのはピクセルだけです。 次の図は、Azure で実行されている Azure Virtual Desktop の 5 段階の接続プロセスを示しています。

アクセス要求とその結果の 5 段階のデータ フローを含む Azure Virtual Desktop アーキテクチャの図。

NSG サービス タグを使用して Azure Virtual Desktop トラフィックを制限する

サービス タグは、Azure VM のセキュリティを簡素化します。 Azure 仮想ネットワークは Azure Virtual Desktop の展開で使用されるため、サービス タグを使用すると、ネットワーク アクセスを Azure サービスのみに簡単に制限できます。 ネットワーク セキュリティ グループ(NSG)ルールでサービ スタグを使用して、特定の Azureサ ービスへのトラフィックをグローバルにまたは Azure リージョンごとに許可または拒否できます。

NSGs

NSG は、Azure リソースに出入りするネットワーク トラフィック フローを許可または拒否するセキュリティ ルールのコレクションです。 各ルールでは、次のプロパティを指定できます。名前、優先度、送信元または宛先、プロトコル、方向、ポート範囲、およびアクションです。 NSG は、レイヤー 3 およびレイヤー 4 のネットワーク セキュリティ サービスです。

サービス タグ

サービス タグは、Azure サービスからの IP アドレス プレフィックスのグループを表します。 これは、ネットワーク セキュリティ ルールの頻繁な更新の複雑さを最小限に抑えるのに役立ちます。 Microsoft はサービス タグに含まれるアドレス プレフィックスを管理し、アドレスが変更されるとサービス タグを自動的に更新します。 Azure 管理者は、独自のサービス タグを作成したり、タグに含める IP アドレスを指定したりすることはできません。

NSG ルール内でサービス タグを使用して、Azure Virtual Desktop サービスへのネットワーク トラフィックをグローバルまたはリージョンごとに微調整します。 ネットワーク ルールの [宛先] フィールドで Azure Firewall サービス タグを使用できます。 特定の IP アドレスの代わりにそれらを使用できます。

アプリケーション レベルの保護のための Azure Firewall

Azure Virtual Desktop ホスト プールにある VM は、仮想ネットワークのセキュリティ制御の対象となります。 正しく動作するには、Azure Virtual Desktop サービスへのアウトバウンド インターネット アクセスが必要です。 また、ユーザーがインターネットにアクセスする必要がある場合もあります。 Azure Firewall を使用して、環境をロックダウンし、アウトバウンド トラフィックをフィルター処理できます。

Azure Virtual Desktop ホストが正しく機能するには、完全修飾ドメイン名(FQDN)にアクセスする必要があります。 Azure Firewall は、この構成を簡素化するために Azure Virtual Desktop FQDN タグを提供します。

アウトバウンド トラフィックを許可し、ファイアウォール ルールを構成する手順は、このモジュールの範囲外です。 このモジュールの要約には、詳細情報へのリンクが含まれています。